4.19. 防火牆設定
Red Hat Enterprise Linux 提供了防火牆的保護以強化系統的安全性。 防火牆存在於您的電腦與網路之間,它也用來決定網路上遠端使用者可以存取您電腦上的哪些資源。 一個妥善設定的防火牆可以大幅增加您系統的安全性。
接下來,您得選擇是不是要在 Red Hat Enterprise Linux 上,啟用防火牆功能。
- 無防火牆
無防火牆的設定提供了完全存取您的系統,而且不做任何的 安全性檢驗。 安全性檢驗就是用來停止存取某些服務。 如果您的系統在一個信任的 網路環境內(非網際網路),或打算往後再設定防火牆,您才應該選擇這個選項。
- 啟用防火牆
如果您選擇 『啟用防火牆』,您的系統將不會接受您沒有明確 指定的連線(除了預設的設定外)。 預設情況下,只有允許來自內部要求的連線,如 DNS 回應或 DHCP 要求。 假如您需要存取在這部機器上執行的服務,您可以選擇允許 特定的服務通過防火牆。
如果您打算連上網際網路,那麼這是最安全的選項。
再來請選擇您想允許通過防火牆的服務。
啟用這些選項將允許通過防火牆的特定服務。 請注意,預設情況下這些服務也許 沒有安裝在系統上。 請確定您有選擇任何您可能需要的選項。
- 遠端登入(SSH)
Secure SHell (SSH)是用來登入遠端系統,並在其上執行指令的工具組。如果您計畫使用SSH,穿過防火牆存取您的電腦,請啟用這個選項。要使用SSH工具遠端存取電腦,您必須先安裝openssh-server套件。
- 網頁伺服器(HTTP,HTTPS)
HTTP 與 HTTPS 是 Apache(與其他網頁伺服器)用來傳遞網頁的通訊協定。如果您打算在網際網路上公開您的網站,請啟用這個選項。如果您只想從本機存取網頁,或設計網頁,那不需要啟用這選項。如果您想要建立網頁伺服器,那您必須先安裝httpd套件。
- 檔案傳輸(FTP)
FTP是讓網路上的機器,互相傳遞資料的通訊協定。如果您計畫在網路上公開您的FTP伺服器,請啟用這個選項。要建立FTP伺服器,您必須先安裝vsftpd套件。
- 郵件伺服器 (SMTP)
如果您打算設定郵件伺服器,讓別人可以通過防火牆,連進您的電腦以傳送郵件,請啟用這個選項。如果您透過ISP的POP3或IMAP伺服器,或是fetchmail之類的工具來收發郵件,那就不需要啟用這選項。請千萬小心,網路使用者可以透過設定不當的SMTP伺服器,發送垃圾郵件。
請注意 預設上,Sendmail郵件傳遞程式(MTA,Mail Transport Agent)只會接受來自本機的網路連線。要設定Sendmail也能接受來自其他電腦的連線需求,請打開檔案/etc/mail/sendmail.mc,修改DAEMON_OPTIONS這一行(或直接用dnl指令,把整行當成註解)。接下來您必須以 root 身份執行以下指令,以產生一份新的/etc/mail/sendmail.cf。
make -C /etc/mail
要讓這功能運作,您必須先安裝sendmail-cf套件。
除此之外,您還可以在安裝 Red Hat Enterprise Linux 時,一併設定SELinux(增強安全性的Linux)。
SELinux能讓您為所有的對象(使用者、程式、以及執行程序)與物件(檔案與裝置),設定更細膩的存取權限(permission)。您可以為應用程式設定適切的權限,以確保安全。
Red Hat Enterprise Linux 所採用的 SELinux 專為多種伺服器程序而設計,可以改善其執行安全,降低系統每天面對的安全風險。
在安裝過程中,您可以選擇以下三種狀態:
停用 — 如果您不打算在系統上啟用 SELinux 安全控制,請選擇停用。這選項會強制關閉這功能,也不會在電腦上使用任何安全性政策。
警告 — 如果您想要在任何拒絕存取的情形下收到警示訊息,請選擇警告。這選項會為資料與程式加入標籤,並紀錄相關活動;但不會套用任何安全性規則。對於想要先看看SELinux對日常運作有何影響,然後逐步採用SELinux政策的使用者來說,警告狀態是很好的開始。選擇警告的使用者要注意,不管是正面或負面的訊息,都有誤報的可能。
啟用 — 如果您想要啟用SELinux的完整功能,請選擇啟用。這狀態會套用所有的安全性政策,例如不讓未驗證身份的使用者存取某些檔案或程式,以進一步的保護系統。如果您確定啟用SELinux後,系統仍能正常運作,就可以啟用這選項。
想更進一步了解SELinux,請使用以下網址,參閱更多訊息:
 | 建議 |
|---|---|
在安裝完成後,要更改安全等級設定,請使用安全等級設定工具。 在 shell 提示符號下輸入 system-config-securitylevel 指令,以啟動 安全等級設定工具。假如您不是 root,系統將會提示您輸入 root 的密碼。 |