4.19. फायरवाल विन्यास
प्रवर्द्धित सिस्टम सुरक्षा के लिए Red Hat Enterprise Linux फायरवाल सुरक्षा देता है. आपके कंप्यूटर और संजाल के बीच एक फायरवाल मौजूद रहता है, और निर्धारित करता है कि संजाल पर बैठा दूरस्थ उपयोक्ता आपके कंप्यूटर स्थित किस संसाधन तक पहुंच सकता है. विधिवत विन्यस्त फायरवाल आपके सिस्टम की सुरक्षा को काफी बढ़ा देता है.
आगे, आप निर्धारित कर सकते हैं कि आपको Red Hat Enterprise Linux सिस्टम पर फायरवाल सक्रिय करना है कि नहीं.
- कोई फायरवाल नहीं
कोई फायरवाल नहीं आपके सिस्टम में पूरा अभिगम देता है और कोई सुरक्षा जांच उपलब्ध नहीं करता है. सुरक्षा जांच कुछ सेवाओं में अभिगम को निष्क्रिय करना है. इसका चयन सिर्फ तभी किया जाना चाहिए अगर आप एक विश्वसनीय संजाल पर चल रहे हैं (इंटरनेट पर नहीं) या ज्यादा फायरवाल विन्यास बाद में करने की योजना रखते हैं.
- फायरवाल सक्रिय करें
अगर आप फायरवाल सक्रिय करें चुनते हैं, तो वह संबंधन आपके सिस्टम द्वारा स्वीकार (मूलभूत व्यवस्था के अलावे) नहीं किया जाता है जो स्पष्ट रूप से आपके द्वारा परिभाषित नहीं है. मूलभूत रूप से आउटबाउंड आग्रह की अनुक्रिया में प्राप्त संबंधन, जैसे कि DNS जवाब या DHCP आग्रह, को अनुमति है. अगर इस मशीन पर चलने वाली सेवाओं की जरूरत होती है, आप निर्दिष्ट सेवाओं को फायरवाल से होकर अनुमति देने के लिए चुन सकते हैं.
अगर आप अपने सिस्टम को इंटरनेट से जोड़ रहे हैं, यह चयन का सबसे सुरक्षित तरीका है.
आगे, उन सेवाओं को चुनें, अगर कोई है, जिसे फायरवाल से होकर गुजरने के लिए अनुमति दी जानी चाहिए.
इन विकल्पों को सक्रिय करना निर्दिष्ट सेवाओं को फायरवाल से होकर जाने की अनुमति देता है. नोट करें कि ये सेवाएं मूलभूत रूप से सिस्टम पर अधिष्ठापित नहीं भी हो सकती है. निश्चित करें कि आप किसी विकल्प को, जिसकी आपको जरूरत है, सक्रिय करने के लिए चुनते हैं.
- दूरस्थ लॉगिन (SSH)
Secure Shell (SSH) दूरस्थ मशीन पर लॉगिन होने और समादेश के निष्पादन के लिए उपकरणों की एक पेटी है. अगर आप अपने मशीन में फायरवाल के मार्फत जाने के लिए SSH उपकरण का प्रयोग करना चाहते हैं तो इस विकल्प को सक्रिय करें. SSH उपकरण के प्रयोग से आपको अपने मशीन के दूरस्थ लॉगिनके लिए openssh-server संकुल अधिष्ठापन की जरूरत है.
- वेब सर्वर (HTTP, HTTPS)
वेबपृष्ठों की सेवा के लिए HTTP और HTTPS प्रोटोकॉल का प्रयोग Apache द्वारा (और अन्य वेब सर्वर द्वारा) किया जाता है. अगर आप अपने वेब सर्वर को जनसामान्य के लिए उपलब्ध करने की योजना बनाते हैं तो इस विकल्प को सक्रिय करें. यह विकल्प पृष्ठों को स्थानीय रूप से देखने या वेबपृष्ठ विकास के लिए जरूरी नहीं है. आप httpd संकुल को जरूर अधिष्ठापित करें यदि आप वेबपृष्ठों के लिए काम करना चाहते हैं.
- फाइल स्थानांतरण (FTP)
FTP प्रोटोकॉल का प्रयोग संजाल पर मशीन के बीच फाइल स्थानांतरण के लिए होता है. अगर आप अपने FTP सर्वर को जन सामान्य के लिए उपलब्ध करना चाहते हैं तो इस विकल्प को सक्रिय करें. आप vsftpd संकुल को फाइल को जनोपलब्ध कराने के लिए अवश्य अधिष्ठापित करना ही चाहिए.
- डाक सर्वर (SMTP)
अगर आप आती डाक को फायरवाल से होकर आने की अनुमति देते हैं, ताकि दूरस्थ मेजबान डाक देने के लिए आपके मशीन से सीधे जुड़ सके तो इस विकल्प को सक्रिय करें. आपको इसे सक्रिय करने की आवश्यकता नहीं है अगर आप अपनी डाक POP3 या IMAP के प्रयोग से अपने इंटरनेट सेवा प्रदाता के सर्वर से प्राप्त करते हैं, या अगर आप एक उपकरण जैसे कि fetchmail प्रयोग करते हैं. नोट करें कि एक गलत विन्यस्त SMTP सर्वर दूरस्थ मशीन को आपके सर्वर से स्पैम भेजने के लिए प्रयोग कर सकता है.
नोट मूलभूत रूप से, Sendmail डाक परिवहन एजेंट (MTA) स्थानीय कंप्यूटर के अलावे किसी मेजबान से संजाल संबंधन स्वीकार नहीं करता है. अन्य clients के लिए एक सर्वर के रूप में Sendmail को विन्यस्त करने के लिए, आप /etc/mail/sendmail.mc को अवश्य संपादित करें और संजाल युक्ति पर सुनने के लिए DAEMON_OPTIONS रेखा को बदलें (या dnl टिप्पणी delimiter के प्रयोग से इस विकल्प को पूरी तरह से कमेंट आउट करें). आप तब /etc/mail/sendmail.cf को निम्न समादेश चलाकर (बतौर रूट) अवश्य पुनरुत्पादित करें.
make -C /etc/mail
आपके पास इसे करने के लिए sendmail-cf संकुल जरूर अधिष्ठापित होना चाहिए.
इसके अलावे, आप अब अपने Red Hat Enterprise Linux के अधिष्ठापन के दौरान SELinux (Security Enhanced Linux) व्यवस्थित कर सकते हैं.
SELinux आपको सभी विषयों (उपयोक्ताओं, प्रोग्राम, या प्रक्रियाओं) और वस्तुओं (फाइल और युक्तियों) के लिए ग्रैनुलर अनुमति देता है. आप सुरक्षित रूप से एक आवेदन को अपना काम करने लिए जरूरी अनुमति दे सकते हैं.
Red Hat Enterprise Linux में SELinux कार्यान्वयन आपके सिस्टम के दैनन्दिन ऑपरेशन पर प्रभाव को न्यून करते हुए विविध सर्वर डीमन की सुरक्षा को बढ़ाने के लिए डिजायन किया गया.
अधिष्ठापन प्रक्रिया के दौरान आपके चयन के लिए तीन स्थितियां है:
निष्क्रिय — निष्क्रिय चुनें अगर आप इस सिस्टम पर SELinux सुरक्षा नियंत्रण नहीं रखना चाहते हैं. निष्क्रिय की गई व्यवस्था पुनर्बलन बंद करती है और मशीन को सुरक्षा नीति के उपयोग के लिए मशीन को व्यवस्थित नहीं करती है.
चेतावनी — किसी मनाही को संसूचित करने के लिए चेतावनी चुनें. चेतावनी अवस्थिति आंकड़ा और प्रोग्राम को लेबल देता है, उन्हें लॉग करता है, लेकिन किसी नीति को पुनर्वलित नहीं करता है. चेतावनी अवस्थिति उपयोक्ताओं के लिए एक अच्छी शुरूआत करने वाली स्थिति है जो अंततः एक पूर्ण सक्रिय SELinux नीति चाहते हैं, लेकिन जो पहले देखना चाहते हैं कि उनके सामान्य सिस्टम ऑपरेशन पर नीति कौन सा प्रभाव लाती है. नोट करे कि चेतावनी अवस्थिति को चुनने वाले उपयोक्ता कुछ छद्म सकारात्मक और नकारात्मक ज्ञापन पा सकते हैं.
सक्रिय — सक्रिय चुनें अगर आप SELinux को पूर्ण सक्रिय स्थिति में चलाना चाहते हैं. सक्रिय स्थिति सभी नीतियों को पुनर्बलित करती है जैसे कि अतिरिक्त सिस्टम संरक्षा के लिए अनधिकृत उपयोक्ताओं और प्रोग्राम को अभिगम नहीं देना. इसका चयन सिर्फ तभी करें जब आप निश्चित रहें कि आपका सिस्टम पूर्ण सक्रिय SELinux के साथ अब भी ठीक से कार्य कर सकता है.
SELinux के बारे में अतिरिक्त जानकारी के लिए निम्नलिखित URLs को देखें:
 | संकेत |
|---|---|
आपके द्वारा अधिष्ठापन समाप्त किए जाने के बाद अपने सुरक्षा विन्यास को बदलने के लिए सुरक्षा स्तर विन्यास उपकरण प्रयोग करें. एक शैल प्रांप्ट में system-config-securitylevel समादेश सुरक्षा स्तर विन्यास उपकरण को लांच करने के लिए टंकित करें.system-config-securitylevel समादेश एक शैल प्रांप्ट में सुरक्षा स्तर विन्यास उपकरण को लांच करने के लिए टंकित करें |