2.16. Configuration du pare-feu
Red Hat Enterprise Linux vous offre aussi une protection pare-feu pour une sécurité accrue de votre système. Le pare-feu se situe entre votre ordinateur et le réseau ; il définit les ressources de votre ordinateur qui sont accessibles aux utilisateurs distants du réseau. Un pare-feu configuré de façon appropriée peut augmenter considérablement la sécurité de votre système.
Vous pouvez ensuite décider d'activer un pare-feu pour votre système Red Hat Enterprise Linux.
- Pas de pare-feu
Pas de pare-feu offre un accès complet au système et n'effectue aucun contrôle de sécurité. Le contrôle de sécurité correspond à la désactivation de l'accès à certains services. Il est recommandé de sélectionner cette option uniquement si vous êtes dans un réseau sécurisé (pas sur Internet) ou si vous envisagez de configurer le pare-feu plus tard de façon plus détaillée.
- Activer le pare-feu
En choisissant Activer le pare-feu, votre système n'acceptera pas les connexions (autres que les paramètres par défaut) que vous n'avez pas explicitement définies. Par défaut, seules les connexions en réponse aux requêtes sortantes, comme les réponses DNS ou les requêtes DHCP, sont autorisées. Si vous avez besoin de l'accès aux services exécutés sur cette machine, vous pouvez choisir d'autoriser certains services à traverser le pare-feu.
Si vous connectez votre système à l'internet, ce choix est l'option la plus sûre.
Ensuite, sélectionnez les services devant être autorisés à traverser le pare-feu.
Ces options permettent de laisser passer les services spécifiés à travers le pare-feu. Remarque : par défaut, ces services ne sont pas installés sur le système. Assurez-vous de bien sélectionner toutes les options dont vous pouvez avoir besoin.
- Connexion à distance (SSH)
Secure SHell (SSH) est une série d'outils permettant de se connecter à des ordinateurs distants et d'y exécuter des commandes. Activez cette option si vous envisagez d'utiliser les outils SSH pour accéder à votre ordinateur via un pare-feu. Pour pouvoir vous connecter à distance à un ordinateur via les outils SSH, installez le paquetage openssh-server.
- Serveur Web (HTTP, HTTPS)
Les protocoles HTTP et HTTPS sont utilisés par Apache (ainsi que par d'autres serveurs Web) pour la gestion des pages Web. Activez cette option si vous envisagez de rendre public votre serveur Web. Elle n'est pas nécessaire pour afficher les pages localement ou pour créer des pages Web. Si vous souhaitez gérer les pages Web, installez le paquetage httpd.
- Transfert de fichiers (FTP)
Le protocole FTP est utilisé pour transférer des fichiers entre ordinateurs sur un réseau. Activez cette option si vous envisagez de rendre public votre serveur FTP. Pour utiliser cette option, installez le paquetage vsftpd.
- Serveur de messagerie (SMTP)
Activez cette option si vous voulez autoriser la distribution de courrier entrant à travers votre pare-feu, afin que les hôtes distants puissent directement se connecter à votre ordinateur pour livrer le courrier. Elle n'est pas nécessaire si vous récupérez votre courrier de votre serveur ISP à l'aide de POP3 ou d'IMAP, ou si vous utilisez un outil tel que fetchmail. Veuillez noter que si votre serveur SMTP est mal configuré, des ordinateurs distants pourront utiliser votre serveur pour envoyer du courrier indésirable.
Remarque Par défaut, l'agent de transport de courrier (ATC) Sendmail n'accepte pas de connexions réseau depuis un hôte autre que l'ordinateur local. Afin de configurer Sendmail comme un serveur pour les autres clients, vous devez éditer /etc/mail/sendmail.mc et modifier la ligne DAEMON_OPTIONS de façon à également écouter les périphériques réseau (ou commentez entièrement cette option à l'aide du délimiteur de commentaire dnl). Vous devez alors régénérer /etc/mail/sendmail.cf en exécutant la commande suivante (en tant que super-utilisateur) :
make -C /etc/mail
Pour ce faire, le paquetage sendmail-cf doit être installé.
De plus, vous pouvez désormais configurer SELinux (Security Enhanced Linux) durant votre installation de Red Hat Enterprise Linux.
SELinux vous permet de fournir des permissions granulaires pour tous les sujets (utilisateurs, programmes et processus) et objets (fichiers et périphériques). Vous pouvez donner, en toute sécurité, à une application seulement les permissions dont elle a besoin pour fonctionner.
L'implémentation SELinux dans Red Hat Enterprise Linux est conçue pour améliorer la sécurité de divers démons de serveur tout en minimisant l'impact sur les opérations quotidiennes de votre système.
Vous pouvez choisir parmi trois états durant l'installation :
Désactiver — Sélectionnez Désactiver si vous ne souhaitez pas que les contrôles de sécurité SELinux soient activés sur ce système. Ce paramètre désactive la mise en application de ces contrôles et ne configure pas la machine de façon à utiliser une politique de sécurité.
Avertir — Sélectionnez Avertir pour être averti de tout refus. L'état Avertir donne des étiquettes aux données et aux programmes et les journalise, mais ne met en application aucune politique. Cet état est un bon point de départ pour les utilisateurs qui souhaitent éventuellement une politique SELinux entièrement active, mais qui souhaitent tout d'abord voir les effets de la politique sur le fonctionnement général de leur système. Notez que les utilisateurs qui sélectionnent l'état Avertir peuvent remarquer des notifications positives et négatives fausses.
Activer — Sélectionnez Activer si vous souhaitez que SELinux agisse dans un état entièrement actif. L'état Activer met en application toutes les politiques, comme le refus d'accès à des utilisateurs non autorisés sur certains fichiers et programmes, pour une protection de système supplémentaire. Sélectionnez cet état uniquement si vous êtes sûr que votre système puisse fonctionner correctement avec SELinux entièrement activé.
Pour obtenir de plus amples informations sur SELinux, consultez les URL suivants :
 | Astuce |
|---|---|
Pour modifier la configuration de votre niveau de sécurité une fois l'installation terminée, utilisez l'Outil de configuration du niveau de sécurité. Saisissez la commande system-config-securitylevel à une invite du shell afin de lancer l'Outil de configuration du niveau de sécurité. Si vous n'êtes pas connecté en tant que super-utilisateur, le programme vous demandera de saisir le mot de passe root pour continuer. |