4.19. Configuración del cortafuegos
Red Hat Enterprise Linux también le ofrece protección vía cortafuegos (firewall) para una seguridad mejorada del sistema. Un cortafuegos se dispone entre su ordenador y la red y determina qué recursos de su equipo están accesibles para los usuarios remotos de la red. Un cortafuegos bien configurado puede aumentar significativamente la seguridad de su sistema
Luego, puede decidir si desea habilitar el cortafuegos para su sistema Red Hat Enterprise Linux.
- Ningún cortafuegos
La configuración Ningún cortafuegos proporciona un acceso completo al sistema y no realiza ningún tipo de verificación de seguridad. La comprobación de seguridad es la desactivación del acceso a determinados servicios. Tan sólo se recomienda esta opción si está usando una red certificada y segura (no Internet), o si planea realizar una configuración detallada del cortafuegos más adelante.
- Habilitar cortafuegos
Si elige Habilitar cortafuegos, su sistema no aceptará más que las conexiones (además de las definidas por defecto) que hayan sido explícitamente definidas por usted. Por defecto, sólo se aceptan las conexiones en respuesta a las peticiones salientes, tales como respuestas a DNS o peticiones DHCP. Si se requiere el acceso a servicios en esta máquina, puede seleccionar permitir ciertos servicios a través del cortafuegos.
Si conecta su sistema a Internet, ésta es la opción más segura a seleccionar.
Luego, seleccione cuáles servicios, si existen, se deberían permitir pasar a través del cortafuegos.
Al activar estas opciones, permitirá que los servicios especificados puedan pasar a través del cortafuegos. Tenga en cuenta que estos servicios puede que no estén instalados en el sistema por defecto. Asegúrese de habilitar cualquier opción que necesite.
- Conexión remota (SSH)
Secure SHell (SSH) es un paquete de utilidades para poder conectarse y ejecutar programas en una máquina remota. Si planea utilizar las utilidades SSH para accesar su máquina a través de un cortafuegos, deberá activar esta opción. Necesitará tener el paquete openssh-server instalado para acceder a la máquina remotamente utilizando las herramientas SSH.
- Servidor Web (HTTP, HTTPS)
Los protocolos HTTP y HTTPS son utilizados por Apache (y otros servidores web) para servir páginas web. Si quiere crear un servidor web disponible públicamente, habilite esta opción. Esta opción no es necesaria para la publicación de páginas web localmente o para el desarrollo de páginas web. Necesitará instalar el paquete httpd si quiere servir páginas web.
- Transferencia de archivos (FTP)
El protocolo FTP se utiliza para transferir archivos entre máquinas en una red. Si planea colocar un servidor FTP disponible públicamente, habilite esta opción. Necesitará instalar el paquete vsftpd para poder servir archivos públicamente.
- Servidor de correo (SMTP)
Si desea permitir la entrega de correo a través de su cortafuegos, de tal forma que los hosts remotos se puedan conectar directamente a su máquina para repartir el correo, habilite esta opción. No necesita esta opción para obtener su correo desde su servidor ISP usando POP3 o IMAP, o si utiliza una herramienta como fetchmail. Observe que un servidor configurado inadecuadamente puede permitir que máquinas remotas usen su servidor para enviar correo basura.
Nota Por defecto, el agente de transporte (MTA) Sendmail no acepta conexiones de red desde ningún host exepto la máquina local. Para configurar Sendmail como un servidor para otros clientes, debe editar /etc/mail/sendmail.mc y cambiar la línea DAEMON_OPTIONS para que también escuche en dispositivos de red (o coloque esta opción en comentarios usando el delimitador dnl). Luego deberá volver a generar /etc/mail/sendmail.cf ejecutando el comando siguiente (como root):
make -C /etc/mail
Tiene que tener el paquete sendmail-cf instalado para que esto funcione.
Adicionalmente, puede configurar SELinux (Security Enhanced Linux) durante la instalación de Red Hat Enterprise Linux.
SELinux le permite proporcionar permisos de forma granulada para todos los sujetos (usuarios, programas y procesos) y objetos (archivos y dispositivos). De forma segura puede otorgarle solamente los permisos que una aplicación necesita para funcionar.
La implementación de SELinux en Red Hat Enterprise Linux está diseñada para mejorar la seguridad de varios demonios de servidores a la vez que se minimiza el impacto de las operaciones cotidianas de su sistema.
Están disponibles tres estados para seleccionar durante el proceso de instalación:
Inhabilitado — Seleccione Inhabilitado si no desea activar los controles de SELinux en este sistema. La configuración Inhabilitado hace que la máquina no utilice las políticas de seguridad.
Atención — Seleccione Atención para que se le notifique de cualquier detalle. El estado Atención asigna etiquetas a los datos y programas, y los registra, pero no hace cumplir ninguna política. El estado Atención es un buen estado de comienzo para los usuarios que eventualmente desean activar completamente SELinux, pero primero quieren ver los efectos que tendrán las políticas en su operación general del sistema. Observe que los usuarios seleccionando el estado Atención pueden experimentar algunas notificaciones de falsos positivos o negativos.
Activo — Seleccione Activo si desea que SELinux actúe en un estado completamente activo. El estado Activo hace cumplir todas las políticas, tal como negar el acceso a los usuarios no autorizados para ciertos archivos y programas, para protección adicional del sistema. Seleccione este estado si está seguro de que su sistema puede funcionar adecuadamente con SELinux activado completamente.
Para información adicional sobre SELinux, consulte el siguiente enlace:
 | Sugerencia |
|---|---|
Para cambiar su configuración de seguridad después de haber finalizado la instalación, use la Herramienta de configuración de nivel de seguridad. Escriba el comando system-config-securitylevel en la shell de la línea de comandos para lanzar la Herramienta de configuración de nivel de seguridad. Si no es root, se le pedirá la contraseña root para continuar. |