4.19. Configuração do Firewall
O Red Hat Enterprise Linux oferece proteção do firewall para segurança avançada do sistema. Existe um firewall entre seu computador e a rede, que determina quais recursos de seu computador serão acessados por usuários remotos da rede. Um firewall configurado apropriadamente pode aumentar significativamente a segurança de seu sistema.
Em seguida, você pode optar por ativar um firewall para seu sistema Red Hat Enterprise Linux.
- Sem firewall
Sem firewall (sem bloqueio) oferece acesso completo ao seu sistema e não executa a checagem de segurança. A checagem de segurança consiste em desabilitar o acesso a determinados serviços. Esta opção deve ser selecionada somente se você estiver instalando em uma rede confiável (que não na Internet) ou planeja executar outras configurações do firewall mais tarde.
- Habilitar firewall
Se você escolher Habilitar firewall, seu sistema não aceitará as conexões (além das configurações default) que não forem explicitamente definidas por você. Por default, são permitidas somente as conexões em resposta a pedidos internos, como respostas DNS ou pedidos DHCP. Se precisar de acesso a serviços rodando nesta máquina, você pode optar por permitir serviços específicos através do firewall.
Se você está conectando seu sistema à Internet, esta é a opção mais segura.
Em seguida, selecione quais serviços, se houver, devem ter a passagem permitida pelo firewall.
Ativar estas opções permite que os serviços especificados passem pelo firewall. Lembre-se: estes serviços não devem ser instalados no sistema, por default. Certifique-se de habilitar todas as opções das quais poderá precisar.
- Login Remoto (SSH)
Secure SHell (SSH) é um conjunto de ferramentas para se autenticar e executar comandos numa máquina remota. Ative esta opção se você planeja usar ferramentas SSH para acessar sua máquina através de um firewall. Você precisa ter o pacote openssh-server instalado para poder acessar sua máquina remotamente, usando ferramentas SSH.
- Servidor Web (HTTP, HTTPS)
Os protocolos HTTP e HTTPS são usados pelo Apache (e por outros servidores Web) para servir páginas web. Ative esta opção se você pretende tornar seu servidor Web publicamente disponível. Esta opção não é necessária para visualizar páginas localmente ou para desenvolver páginas web. Para servir páginas web, você deverá instalar o pacote httpd.
- Transferência de Arquivos (FTP)
O protocolo FTP é usado para transferir arquivos entre máquinas de uma rede. Ative esta opção se você deseja tornar seu servidor FTP publicamente disponível. É necessário instalar o pacote vsftpd para servir aquivos publicamente.
- Servidor de Correio (SMTP)
Ative esta opção se você deseja permitir a entrada de correspondência através de seu firewall, para assim máquinas remotas poderem se conectar diretamente à sua e entregar correspondência. Você não precisa ativá-la se receber sua correspondência pelo servidor de seu provedor usando POP3 ou IMAP, ou se usar alguma ferramenta como o fetchmail. Lembre-se que um servidor SMTP mal configurado pode permitir que máquinas remotas usem seu servidor para enviar spam.
Nota Por default, o agente de transporte de correio (MTA) Sendmail não aceita conexões de rede de nenhuma máquina além do computador local. Para configurar o Sendmail como um servidor para outros clientes, você deve editar o /etc/mail/sendmail.mc e alterar a linha DAEMON_OPTIONS para escutar também os dispositivos de rede (ou comentar esta opção inteiramente usando o delimitador de comentário dnl). Então, você deve gerar o /etc/mail/sendmail.cf novamente, executando o seguinte comando (como root):
make -C /etc/mail
Você deve ter o pacote sendmail-cf para isto funcionar.
Além disso, agora você pode configurar o SELinux (Security Enhanced Linux) durante a instalação do Red Hat Enterprise Linux.
O SELinux permite a você atribuir permissões granulares para todos os sujeitos (usuários, programas e processos) e objetos (arquivos e dispositivos). Você pode seguramente atribuir a uma aplicação somente as permissões que precisa para executar sua função.
A implementação do SELinux no Red Hat Enterprise Linux é desenvolvida para aprimorar a segurança dos vários daemons de servidor, enquanto minimiza o impacto nas operações diárias de seu sistema.
Você pode escolher três estados durante o processo de instalação:
Desativar — Selecione Desativar se você não deseja ativar os controles de segurança do SELinux neste sistema. A opção Desativado reforça o desligamento e não configura a máquina para o uso de uma norma de segurança.
Aviso — Selecione Aviso para ser notificado de quaisquer detalhes. O estado Aviso atribui etiquetas a dados e programas, e os registra; mas não reforça nenhuma norma. O estado Aviso é um bom começo para usuários que eventualmente desejarem normas do SELinux totalmente ativas, mas que primeiro querem verificar os efeitos que as normas teriam na operação geral de seus sistemas. Note que usuários selecionando o estado Aviso podem notar algumas notificações positivas e negativas falsas.
Ativo — Selecione Ativo se você deseja que o SELinux atue num estado totalmente ativo. O estado Ativo reforça todas as normas, como negar acesso a determinados arquivos e programas a usuários não-autorizados, para uma maior proteção do sistema. Escolha este estado somente se você tem certeza de que seu sistema pode funcionar apropriadamente com o SELinux totalmente habilitado.
Para informações adicionais sobre o SELinux, consulte as seguintes URLs:
 | Dica |
|---|---|
Para alterar sua configuração de segurança após completar a instalação, use a Ferramenta de Configuração do Nível de Segurança. Digite o comando system-config-securitylevel em uma janela de comandos para executar a Ferramenta de Configuração do Nível de Segurança. Se você não estiver como root, terá que indicar a senha root para continuar. |