2.15. Firewall-Konfiguration
Red Hat Enterprise Linux bietet einen Firewall-Schutz als weitere Sicherheit für Ihr System. Die Firewall befindet sich zwischen Ihrem Computer und dem Netzwerk und bestimmt, auf welche Ressourcen Ihres Computers Remote-Benutzer des Netzwerks zugreifen können. Eine korrekt konfigurierte Firewall kann die Sicherheit Ihres Systems erheblich verbessern.
Als nächstes können Sie darüber entscheiden, ob Sie eine Firewall für Ihr Red Hat Enterprise Linux System aktivieren möchten.
- Keine Firewall
Keine Firewall erlaubt vollständigen Zugang und führt keine Sicherheitsprüfungen durch. Sie sollten dies nur wählen, wenn Sie sich in einem sicheren Netzwerk befinden (nicht im Internet), oder wenn Sie planen, eine detaillierte Firewall-Konfiguration später durchzuführen.
- Aktiviere Firewall
Wenn Sie Aktiviere Firewall wählen, akzeptiert Ihr System keine Verbindungen (mit Ausnahme der Standardeinstellungen), die nicht ausdrücklich von Ihnen festgelegt wurden. Standardmäßig sind ausschließlich Verbindungen erlaubt, die Antworten auf ausgehende Anfragen darstellen, wie DNS-Antworten und DHCP-Anforderungen. Sollte Zugriff auf bestimmte Services erfordert werden, können diese durch die Firewall gelassen werden.
Wenn Sie Ihr System mit dem Internet verbinden, so ist dies die sicherste Option.
Wählen Sie als nächstes die Dienste, falls vorhanden, die durch die Firewall gelassen werden sollen.
Indem Sie diese Option aktivieren, erlauben Sie den ausgewählten Diensten, die Firewall zu durchlaufen. Beachten Sie bitte, dass diese Dienste nicht standardmäßig im System installiert werden. Stellen Sie daher sicher, dass Sie alle Optionen, die Sie evtl. benötigen, aktivieren.
- Fernanmeldung (SSH)
Secure Shell (SSH) ist eine Sammlung von Hilfsprogrammen für das Anmelden und Ausführen von Befehlen auf einem Remote-Rechner. Wenn Sie auf Ihren Computer über eine Firewall mit SSH-Tools zugreifen wollen, sollten Sie die Option aktivieren. Das Paket openssh-server muss zur Fernanmeldung auf Ihren Computer mittels SSH-Tools installiert sein.
- WWW (HTTP, HTTPS)
Die HTTP- und HTTPS-Protokolle werden von Apache (und anderen Webservern) für das Bereitstellen von Webseiten benutzt. Wenn Sie vorhaben, Ihren Webserver öffentlich verfügbar zu machen, aktivieren Sie diese Option. Diese Option ist nicht nötig, um Seiten lokal anzuzeigen oder um Webseiten zu entwickeln. Sie müssen das Paket httpd installieren, wenn Sie Webseiten bereitstellen wollen.
- Dateiübertragung (FTP)
Das FTP-Protokoll wird verwendet, um Dateien zwischen verschiedenen Computern eines Netzwerks zu übertragen. Wenn Sie Ihren FTP-Server öffentlich zur Verfügung stellen möchten, aktivieren Sie diese Option. Installieren Sie das vsftpd-Paket, um Dateien öffentlich anzubieten.
- Mail Server (SMTP)
Wenn Sie die eingehende Mail durch die Firewall zulassen möchten, so dass sich Remote-Hosts direkt mit Ihrem Computer verbinden können, um die Mitteilungen zu liefern, aktivieren Sie diese Option. Sie brauchen dies nicht zu tun, wenn Sie Ihre Mail vom Server Ihres ISP über POP3 oder IMAP erhalten oder wenn Sie ein Tool wie z.B. fetchmailbenutzen.Beachten Sie dabei, dass ein inkorrekt konfigurierter SMTP-Server es Remote-Rechnern ermöglichen kann, Ihren Server zu benutzen, um Junk-Mails zu versenden.
Anmerkung Standardmäßig werden vom Sendmail Mail Transport Agent (MTA) keine Netzwerkverbindungen von jeglichen Hosts, außer dem lokalen Rechner akzeptiert. Um Sendmail als Server für andere Clients zu konfigurieren, müssen Sie /etc/mail/sendmail.mc bearbeiten und die DAEMON_OPTIONS-Zeile dahingehend zu verändern, dass auch auf andere Netzwerk-Geräte reagiert wird (Listener Modus) (oder Sie kommentieren diese Option mit Hilfe des dnl Comment-Delimiters völlig aus). Danach müssen Sie /etc/mail/sendmail.cf erneuern, indem Sie folgenden Befehl (als root) ausführen:
make -C /etc/mail
Dazu muss das Paket sendmail-cf installiert sein.
Zusätzlich dazu können Sie nun SELinux (Security Enhanced Linux) während Ihrer Red Hat Enterprise Linux-Installation einrichten.
SELinux ermöglicht es Ihnen feinkörnige Rechte für alle Subjekte (Benutzer, Programme und Prozesse) und Objekte (Dateien und Geräte) bereitzustellen. Sie können bedenkenlos und auf sichere Art an eine Applikation lediglich die Rechte vergeben, welche diese braucht, um ordnungsgemäß zu funktionieren.
Die SELinux-Implementierung unter Red Hat Enterprise Linux ist so ausgelegt, dass die Sicherheit unterschiedlicher Server-Daemons verbessert wird, wobei gleichzeitig die Auswirkungen auf den tagtäglichen Betrieb Ihres Systems minimal gehalten werden.
Es gibt drei Stati, aus denen Sie während des Installationsvorganges auswählen können:
Deaktivieren — Wählen Sie Deaktivieren, wenn Sie auf diesem System die SELinux Security-Policy nicht aktiviert haben möchten (Gewährung aller Zugriffe). Durch die Einstellung Deaktivieren wird der Enforcing Modus abgeschaltet und der der Rechner weiters nicht zur Benutzung der Security Policy konfiguriert.
Warnen — Wählen Sie Warnen, um über jegliche Form von Verweigerung benachrichtigt zu werden. Der Warnen-Status vergibt Labels an Daten und Programme und protokolliert diese, wobei aber keine Security Policys erzwungen werden. Der Warnen-Status ist ein idealer Ausgangspunkt für Benutzer, welche eventuell mit einer voll aktivierten SELinux Policy arbeiten möchten, jedoch aber zuerst an den Auswirkungen einer solchen Policy auf deren allgemeinen Systembetrieb interessiert sind. Beachten Sie dabei, dass Benutzer, welche den Warn-Status auswählen, höchstwahrscheinlich auch einige falsche positive sowie negative Notifikationen bemerken werden.
Aktiv — Wählen Sie Aktiv, wenn Sie möchten, dass SELinux sich in einem völlig aktiven Status befindet. Der Aktiv-Status erzwingt sämtliche Policys, wie z.B. das Verweigern des Zugangs für unauthorisierte Benutzer zu bestimmten Dateien und Programmen als Form von zusätzlichem Systemschutz. Wählen Sie diesen Status nur, wenn Sie sicher sind, dass Ihr System auch bei völliger Aktivierung von SELinux immer noch einwandfrei funktionieren kann.
Für zusätzliche Information über SELinux, siehe folgende URLs:
 | Tipp |
|---|---|
Wenn Sie Ihre Sicherheitskonfiguration nach der Installation ändern möchten, verwenden Sie hierzu das Security Level Configuration Tool. Geben Sie den Befehl system-config-securitylevel an einem Shell-Prompt ein, um das Security Level Configuration Tool zu starten. Wenn Sie nicht als root angemeldet sind, werden Sie aufgefordert, das root-Passwort einzugeben, um fortfahren zu können. |