4.19. ফায়ারওয়াল কনফিগার করার প্রক্রিয়া
সিস্টেমের উন্নত সুরক্ষার জন্য Red Hat Enterprise Linux ফায়ারওয়াল নিরাপত্তা ব্যবস্থা উপলব্ধ করে। ফায়ারওয়ালটি আপনার কম্পিউটার এবং নেটওয়ার্কের মধ্যে অবস্থান করে এবং দূরবর্তী ব্যবহারকারীরা আপনার সিস্টেমের কোন রিসোর্সগুলি ব্যবহার করতে সক্ষম হবেন তা নির্ধারণ করে। সঠিকভাবে কনফিগার করা ফায়ারওয়াল আপনার সিস্টেমের নিরাপত্তা অনেকগুণ বাড়িয়ে তুলবে।
আপনার Red Hat Enterprise Linux সিস্টেমে ফায়ারওয়াল সক্রিয় করা হবে কিনা তা আপনি পরবর্তী ধাপে নির্ধারণ করতে সক্ষম হবেন।
- ফায়ারওয়ালবিহীন
ফায়ারওয়ালবিহীন অপশনটি নির্বাচন করা হলে আপনার সিস্টেম, নিরাপত্তাজড়িত কোনো পরীক্ষাবিনা সম্পূর্ণরূপে ব্যবহার করা সম্ভব। নিরাপত্তা-পরীক্ষণের সময় কয়েকটি নির্দিষ্ট পরিসেবার ব্যবহার নিষ্ক্রিয় করা হয়। শুধুমাত্র কোনো বিশ্বাসযোগ্য নেটওয়ার্কে (ইন্টারনেট নয়) ব্যবহারের জন্য অথবা ভবিষ্যতে ফায়াওয়াল কনফিগার করার পরিকল্পনা থাকলে, এই অপশনটি নির্বাচন করুন।
- ফায়ারওয়াল সক্রিয় করো
ফায়ারওয়াল সক্রিয় করো অপশনটি নির্বাচন করা হলে, আপনার দ্বারা উল্লিখিত সংযোগ ভিন্ন অন্য কোনো সংযোগ (ডিফল্টরূপে নির্ধারিত বৈশিষ্ট্য ব্যতীত) গ্রহণ করা হয় না। ডিফল্ট অবস্থায়, বহির্মুখী অনুরোধের প্রত্যুত্তর, যেমন DNS-র উত্তর অথবা DHCP অনুরোধ, অনুমোদিত হয়ে থাকে। এই মেশিনে নির্বাহমান কোনো পরিসেবা ব্যবহার করার প্রয়োজন হয়, আপনি সেগুলিকে ফায়ারওয়ালের মধ্যে দিয়ে ব্যবহারের জন্য অনুমোদন করতে পারেন।
এই সিস্টেমটিকে সবচেয়ে নিরাপদরূপে ইন্টারনেটের সাথে সংযুক্ত করতে হলে এই অপশনটি নির্বাচন করুন।
কোন পরিসেবাগুলিকে ফায়ারওয়াল পেরিয়ে যাওয়ার অনুমতি প্রদান করা হবে তা পরবর্তী ধাপে নির্বাচন করুন।
এই অপশনগুলিকে সক্রিয় করা হলে নির্দিষ্ট কয়েকটি পরিসেবাকে ফায়ারওয়ালের মধ্যে দিয়ে ব্যবহার করার অনুমতি প্রদান করা হবে। উল্লেখ্য, এই পরিসেবাগুলি ডিফল্টরূপে আপনার সিস্টেমে ইনস্টল নাও করা হতে পারে।
- দূরবর্তী লগ-ইন (SSH)
Secure Shell (SSH) টুলের সাহায্যে একটি দূরবর্তী মেশিনে লগ-ইন করে কমান্ড নির্বাহ করা সম্ভব। আপনি যদি SSH টুল ব্যবহার করে ফায়াওয়ালের মধ্যে দিয়ে আপনার মেশিনটি ব্যবহার করতে ইচ্ছুক থাকেন, তাহলে এই অপশনটি সক্রিয় করুন। SSH টুলগুলি ব্যবহার করে দূরবর্তী অবস্থান থেকে আপনার মেশিন ব্যবহার করতে হলে openssh-server প্যাকেজটি ইনস্টল করা আবশ্যক।
- ওয়েব সার্ভার (HTTP, HTTPS)
Apache (এবং অন্যান্য ওয়েব-সার্ভারগুলি) HTTP এবং HTTPS প্রোটোকল ব্যবহার করে ওয়েব পেজ পরিবেশন করে থাকে। আপনি যদি আপনার ওয়েব সার্ভারটিকে সার্বজনিকভাবে উপলব্ধ করতে ইচ্ছুক থাকেন তাহলে এই অপশনটিকে সক্রিয় করুন। স্থানীয়ভাবে ওয়েব-পেজ প্রত্যক্ষ অথবা নির্মাণ করতে, এই অপশনটির প্রয়োজন নেই। ওয়েব পেজ উপলব্ধ করতে হলে httpd প্যাকেজটি ইনস্টল করা আবশ্যক।
- ফাইল স্থানান্তর (FTP)
নেটওয়ার্কে উপস্থিত মেশিনের মধ্যে ফাইল বিনিময় করতে FTP প্রোটোকল ব্যবহার করা হয়। আপনি যদি আপনার FTP সার্ভারটিকে সার্বজনিকভাবে উপলব্ধ করতে ইচ্ছুক থাকেন, তাহলে এই অপশনটি নির্বাচন করুন। এই ফাইলগুলি সার্বজনিকভাবে উপলব্ধ করতে হলে vsftpd প্যাকেজটি ইনস্টল করা আবশ্যক।
- মেইল সার্ভার (SMTP)
আপনি যদি ফায়ারওয়ালের মধ্যে দিয়ে অন্তর্মুখী মেইল গ্রহণ করতে ইচ্ছুক থাকেন তাহলে, এই অপশনটি সক্রিয় করুন। এর ফলে দূরবর্তী হোস্টরা সরাসরি আপনার মেশিনে সংযোগ করে মেইল বন্টন করতে পারবেন। আপনি যদি আপনার ইন্টারনেট পরিসেবা উপলব্ধকারীর (ISP) POP3 অথবা IMAP সার্ভারের থেকে মেইল সংগ্রহ করেন অথবা fetchmail-র সমতূল্য কোনো টুল ব্যবহার করেন, তাহলে এটি সক্রিয় করার প্রয়োজন নেই। উল্লেখ্য একটি অসুদ্ধভাবে কনফিগার করা SMTP সার্ভার, দূরবর্তী কোনো মেশিনকে আপনার মেশিন ব্যবহার করে স্প্যাম অথবা অবাঞ্ছীত মেইল প্রেরণ করতে সক্ষম।
উল্লেখ্য ডিফল্ট অবস্থায়, Sendmail মেইল পরিবহনকারী এজেন্ট (MTA)-টি স্থানীয় কম্পিউটার ব্যতীত অন্য কোনো হোস্টের থেকে সংযোগ গ্রহণ করে না। অন্যান্য ক্লায়েন্টদের জন্য Sendmail-কে সার্ভার হিসাবে কনফিগার করতে হলে, /etc/mail/sendmail.mc ফাইলটি সম্পাদন করে, DAEMON_OPTIONS পংক্তিটি পরিবর্তন করুন (অথবা এই অপশনটি dnl কমেন্ট ডিলিমিটার ব্যবহার করে কমেন্টরূপে চিহ্নিত করুন) যার ফলে নেটওয়ার্ক ডিভাইসে অপেক্ষা করা সম্ভব হবে। এর পরে, নিম্নোক্ত কমান্ডটি (root পরিচয় ব্যবহার করে) নির্বাহ করে /etc/mail/sendmail.cf পুনরায় নির্মাণ করুন:
make -C /etc/mail
এই পরিসেবাটি চালানোর জন্য sendmail-cf প্যাকেজটি ইনস্টল করা আবশ্যক।
উপরন্তু, এখন Red Hat Enterprise Linux ইনস্টলেশনের সময় SELinux (Security Enhanced Linux)-র ব্যবহার নির্ধারণ করতে আপনি সক্ষম হবেন।
SELinux, সমস্ত সত্ত্বা (ব্যবহারকারী, প্রোগ্রাম, এবং প্রসেস) এবং বস্তুর (ফাইল এবং ডিভাইস) জন্য গ্র্যানুলার (granular) অথবা আংশিক অনুমতি প্রদান করতে সক্ষম। একটি অ্যাপ্লিকেশনের জন্য আপনি কেবলমাত্র প্রয়োজনীয় অনুমতিগুলি প্রদান করতে পারেন।
Red Hat Enterprise Linux -এ উপলব্ধ SELinux আপনার সিস্টেমের নিত্যনৈমিত্তিক কর্মচালনার উপর ন্যূনতম প্রভাব ফেলে বিভিন্ন সার্ভার ডেমনের সুরক্ষা উন্নত করবে।
ইনস্টলেশন প্রক্রিয়ার সময় আপনি তিনটি অবস্থার মধ্যে থেকে নির্বাচন করতে পারবেন:
নিষ্ক্রিয় করো — এই সিস্টেমে SELinux 'র সুরক্ষা নিয়ন্ত্রণ সক্রিয় করার ইচ্ছা না থাকলে নিষ্ক্রিয় করো অপশনটি নির্বাচন করুন। নিষ্ক্রিয় করা আছে হিসাবে নির্ধারিত হলে মেশিনটিকে সুরক্ষানীতি পালন করার জন্য প্রস্তুত করা হয় না।
সতর্কবাণী উত্পন্ন করো — কোনো প্রত্যাখান সম্পর্কে সূচনা প্রাপ্ত করতে হলে সতর্কবাণী উত্পন্ন করো অপশনটি নির্বাচন করুন। সতর্কবাণী উত্পন্ন করো অবস্থায় ডাটা এবং প্রোগ্রামের লেবেল স্থাপন করে, সেগুলিকে লগ করা হয়, কিন্তু কোনো নীতি বাধ্যতামূলকভাবে পালন করা হয় না। যে ব্যবহারকারীরা সম্পূর্ণ সক্রিয় SELinux নীতি ব্যবহার করে, সিস্টেমের সাধারণ কর্মপ্রণালীর উপর এর প্রভাব জানতে ইচ্ছুক, তারা সতর্কবাণী উত্পন্ন করো অবস্থা ব্যবহার করে পরীক্ষা-নিরীক্ষা করতে পারেন। উল্লেখ্য সতর্কবাণী উত্পন্ন করো অবস্থা নির্বাচন করলে, ব্যবহারকারীরা কয়েকটি বিভ্রান্তিকর সূচনা পেতে পারেন।
সক্রিয় — আপনি যদি SELinux-র সম্পূর্ণ সক্রিয় রূপ দেখতে ইচ্ছুক থাকেন তাহলে সক্রিয় নির্বাচন করুন। সক্রিয় অবস্থায় সমস্ত নীতি প্রয়োগ করা হয়, যেমন সিস্টেমের অতিরিক্ত নিরাপত্তার জন্য অননুমোদিত ব্যবহারকারীদেরকে নির্দিষ্ট ফাইল এবং প্রোগ্রাম ব্যবহার করার অনুমতি প্রদান না করা, প্রভৃতি। আপনি যদি নিশ্চিত থাকেন যে SELinux-র সম্পূর্ণ সক্রিয় অবস্থায় আপনার সিস্টেম সঠিকভাবে চালানো সম্ভব হবে, তাহলেই এই অবস্থাটি নির্বাচন করুন।
SELinux সম্পর্কে অধিক বিবরণের জন্য, নিম্নোক্ত URLগুলি দেখুন:
 | উপদেশ |
|---|---|
ইনস্টলেশন সম্পন্ন হওয়ার পরে সুরক্ষা সংক্রান্ত কনফিগারেশন পরিবর্তন করার জন্য সুরক্ষার স্তর কনফিগারেশনের টুল ব্যবহার করুন। সুরক্ষার স্তর কনফিগারেশনের টুল নির্বাহণের জন্য একটি শেল প্রম্পটে system-config-securitylevel কমান্ডটি টাইপ করুন। Root পরিচয় ব্যবহার না করা হলে, অগ্রসর হওয়ার জন্য আপনাকে root পাসওয়ার্ড লিখতে অনুরোধ করা হবে। |