4.19. Configurazione del firewall
Red Hat Enterprise Linux vi offre una protezione di tipo firewall per una maggiore sicurezza del sistema. Il firewall è quell'elemento presente tra il vostro computer e la rete, e stabilisce quali risorse del computer gli utenti remoti possono accedere. Un firewall configurato in modo adeguato può aumentare notevolmente la sicurezza del vostro sistema.
Successivamente, potete decidere se abilitare un firewall per il vostro sistema Red Hat Enterprise Linux.
- Nessun firewall
Nessun firewall, viene abilitato l'accesso completo al vostro sistema e non vengono effettuate verifiche di sicurezza. Tali controlli servono a disabilitare l'accesso a determinati servizi. Questa scelta è consigliata unicamente all'interno di una rete fidata (non Internet) o se si desidera configurare il firewall in modo più dettagliato successivamente.
- Abilita il firewall
Se scegliete Abilita il firewall, il vostro sistema non accetta collegamenti (tranne le impostazioni di default) che non siano stati definiti esplicitamente da voi. Per default sono permessi i collegamenti in risposta alle richieste in uscita, come ad esempio le repliche DNS o le richieste DHCP. Se è necessario un accesso ai servizi in esecuzione su questa macchina, potete scegliere di abilitare specifici servizi attraverso il firewall.
Se state collegando il vostro sistema ad Internet, questa è la scelta più sicura.
Successivamente, selezionate quali servizi, se presenti, dovrebbero essere abilitati a passare attraverso il firewall.
Attivando queste opzioni è possibile permettere ad alcuni servizi specifici, di passare attraverso il firewall. Da notare che questi servizi potrebbero non essere installati per default sul sistema. Assicurarsi di abilitare qualsiasi opzione che potrebbe essere a voi necessaria.
- Login Remoto (SSH)
Secure Shell (SSH) è una suite di tool usata per collegarsi ed eseguire i comandi su una macchina remota. Se intendete utilizzare i tool SSH per accedere alla vostra macchina attraverso un firewall, abilitate questa opzione. Usando i tool SSH, dovete installare il pacchetto openssh-server per accedere alla macchina in modo remoto.
- Web Server (HTTP, HTTPS)
I protocolli HTTP e HTTPS sono utilizzati da Apache (e da altri Web server) per servire le pagine Web. Se pensate di rendere il vostro Web server disponibile al pubblico, attivate questa opzione. La suddetta opzione non è necessaria per visualizzare le pagine in modo locale o per sviluppare pagine Web. È necessario che il pacchetto httpd sia installato per poter servire le pagine Web.
- File Transfer (FTP)
Il protocollo FTP è utilizzato per il trasferimento di file tra le macchine presenti sulla rete. Se volete rendere il vostro server FTP disponibile al pubblico, abilitate questa opzione. È necessario che il pacchetto wu-ftpd sia installato per utilizzare questa opzione.
- Mail Server (SMTP)
Abilitate questa opzione se desiderate abilitare in entrata la consegna di posta,in questo modo si consente agli host remoti di potersi collegare direttamente alla vostra macchina per consegnare la posta. Non abilitate l'opzione se ricevete la posta dal vostro server Internet Service Provider tramite POP3 o IMAP oppure tramite un tool come fetchmail. Un server SMTP non configurato correttamente può abilitare macchine remote ad usare il vostro server per inviare posta indesiderata.
Nota Bene Per dafeult, il Sendmail mail transport agent (MTA) non accetta i collegamenti di rete provenienti da qualsiasi host che non sia il computer locale. Per configurare Sendmail come server disponibile per altri client, è necessario modificare /etc/mail/sendmail.mc, e cambiare la riga DAEMON_OPTIONS in modo da ascoltare i dispositivi della rete (oppure decommentate interamente questa opzione usando il delimitatore dnl). A questo punto è necessario rigenerare /etc/mail/sendmail.cf utilizzando il seguente comando (come utente root):
make -C /etc/mail
È necessario aver installato il pacchetto sendmail-cf per funzionare.
In aggiunta, sarete adesso in grado di impostare SELinux (Security Enhanced Linux) durante la vostra installazione di Red Hat Enterprise Linux.
SELinux vi permette di fornire dei permessi granulari per tutti i soggetti (utenti, programmi e processi) e oggetti (file e dispositivi). Potete garantire ad un'applicazione in modo sicuro, solo i permessi necessari per il suo corretto funzionamento.
L'implementazione di SELinux in Red Hat Enterprise Linux è stata ideata per migliorare la sicurezza dei diversi demoni server, minimizzando l'impatto sulle operazioni giornaliere del vostro sistema.
Sono disponibili, durante il processo d'installazione, tre stati tramite i quali è possibile effettuare un selezione:
Disabilita — Selezionate Disabilita se non desiderate abilitare i controlli di sicurezza SELinux sul sistema.L'impostazione Disabilitato fà in modo che la macchina non utilizzi alcuna policy di sicurezza.
Attenzione — Selezionate Attenzione per essere a conoscenza di qualsiasi rifiuto. Lo stato di Attenzione assegna delle etichette a dati e programmi, registrandoli, ma senza forzare alcuna policy. Lo stato di Attenzione rappresenta la scelta idonea per gli utenti che desiderano implementare una policy attiva di SELinux, ma che prima desiderano sapere gli effetti collaterali che tale policy possa avere sulle operazioni generali del sistema. Notate, gli utenti che selezionano lo stato di Attenzione, possono notare alcune notifiche, siano esse negative che positive, non corrette.
Attivo — Selezionate Attivo se desiderate che SELinux si comporti con uno stato attivo. Lo stato Attivo forza tutte le policy, come ad esempio il rifiuto per l'accesso dei file e dei programmi a utenti non autorizzati, o per una protezione supplementare. Selezionate questo stato solo se siete sicuri che il vostro sistema possa funzionare in modo corretto se SELinux è stato pienamente abilitato.
Per informazioni aggiuntive su SELinux, consultate i seguenti URL:
 | Suggerimento |
|---|---|
Per modificare la vostra configurazione di sicurezza dopo aver completato l'installazione, utilizzate lo Strumento di configurazione del livello di sicurezza. Digitate il comando system-config-securitylevel al prompt della shell per lanciare lo Strumento di configurazione del livello di sicurezza. Se non siete un utente root, è necessario specificare la password root per continuare. |