Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Installationshandbuch fur x86, Itanium und AMD64 - Firewall-Konfiguration

4.19. Firewall-Konfiguration

Red Hat Enterprise Linux bietet einen Firewall-Schutz als weitere Sicherheit f�r Ihr System. Die Firewall befindet sich zwischen Ihrem Computer und dem Netzwerk und bestimmt, auf welche Ressourcen Ihres Computers Remote-Benutzer des Netzwerks zugreifen k�nnen. Eine korrekt konfigurierte Firewall kann die Sicherheit Ihres Systems erheblich verbessern.

Abbildung 4-18. Firewall-Konfiguration

Als n�chstes k�nnen Sie dar�ber entscheiden, ob Sie eine Firewall f�r Ihr Red Hat Enterprise Linux System aktivieren m�chten.

Keine Firewall

Keine Firewall erlaubt vollst�ndigen Zugang und f�hrt keine Sicherheitspr�fungen durch. Sie sollten dies nur w�hlen, wenn Sie sich in einem sicheren Netzwerk befinden (nicht im Internet), oder wenn Sie planen, eine detaillierte Firewall-Konfiguration sp�ter durchzuf�hren.

Aktiviere Firewall

Wenn Sie Aktiviere Firewall w�hlen, akzeptiert Ihr System keine Verbindungen (mit Ausnahme der Standardeinstellungen), die nicht ausdr�cklich von Ihnen festgelegt wurden. Standardm��ig sind ausschlie�lich Verbindungen erlaubt, die Antworten auf ausgehende Anfragen darstellen, wie DNS-Antworten und DHCP-Anforderungen. Sollte Zugriff auf bestimmte Services erfordert werden, k�nnen diese durch die Firewall gelassen werden.

Wenn Sie Ihr System mit dem Internet verbinden, so ist dies die sicherste Option.

W�hlen Sie als n�chstes die Dienste, falls vorhanden, die durch die Firewall gelassen werden sollen.

Indem Sie diese Option aktivieren, erlauben Sie den ausgew�hlten Diensten, die Firewall zu durchlaufen. Beachten Sie bitte, dass diese Dienste nicht standardm��ig im System installiert werden. Stellen Sie daher sicher, dass Sie alle Optionen, die Sie evtl. ben�tigen, aktivieren.

Fernanmeldung (SSH)

Secure Shell (SSH) ist eine Sammlung von Hilfsprogrammen f�r das Anmelden und Ausf�hren von Befehlen auf einem Remote-Rechner. Wenn Sie auf Ihren Computer �ber eine Firewall mit SSH-Tools zugreifen wollen, sollten Sie die Option aktivieren. Das Paket openssh-server muss zur Fernanmeldung auf Ihren Computer mittels SSH-Tools installiert sein.

WWW (HTTP, HTTPS)

Die HTTP- und HTTPS-Protokolle werden von Apache (und anderen Webservern) f�r das Bereitstellen von Webseiten benutzt. Wenn Sie vorhaben, Ihren Webserver �ffentlich verf�gbar zu machen, aktivieren Sie diese Option. Diese Option ist nicht n�tig, um Seiten lokal anzuzeigen oder um Webseiten zu entwickeln. Sie m�ssen das Paket httpd installieren, wenn Sie Webseiten bereitstellen wollen.

Datei�bertragung (FTP)

Das FTP-Protokoll wird verwendet, um Dateien zwischen verschiedenen Computern eines Netzwerks zu �bertragen. Wenn Sie Ihren FTP-Server �ffentlich zur Verf�gung stellen m�chten, aktivieren Sie diese Option. Installieren Sie das vsftpd-Paket, um Dateien �ffentlich anzubieten.

Mail Server (SMTP)

Wenn Sie die eingehende Mail durch die Firewall zulassen m�chten, so dass sich Remote-Hosts direkt mit Ihrem Computer verbinden k�nnen, um die Mitteilungen zu liefern, aktivieren Sie diese Option. Sie brauchen dies nicht zu tun, wenn Sie Ihre Mail vom Server Ihres ISP �ber POP3 oder IMAP erhalten oder wenn Sie ein Tool wie z.B. fetchmailbenutzen.Beachten Sie dabei, dass ein inkorrekt konfigurierter SMTP-Server es Remote-Rechnern erm�glichen kann, Ihren Server zu benutzen, um Junk-Mails zu versenden.

AnmerkungAnmerkung
 

Standardm��ig werden vom Sendmail Mail Transport Agent (MTA) keine Netzwerkverbindungen von jeglichen Hosts, au�er dem lokalen Rechner akzeptiert. Um Sendmail als Server f�r andere Clients zu konfigurieren, m�ssen Sie /etc/mail/sendmail.mc bearbeiten und die DAEMON_OPTIONS-Zeile dahingehend zu ver�ndern, dass auch auf andere Netzwerk-Ger�te reagiert wird (Listener Modus) (oder Sie kommentieren diese Option mit Hilfe des dnl Comment-Delimiters v�llig aus). Danach m�ssen Sie /etc/mail/sendmail.cf erneuern, indem Sie folgenden Befehl (als root) ausf�hren:

make -C /etc/mail

Dazu muss das Paket sendmail-cf installiert sein.

Zus�tzlich dazu k�nnen Sie nun SELinux (Security Enhanced Linux) w�hrend Ihrer Red Hat Enterprise Linux-Installation einrichten.

SELinux erm�glicht es Ihnen feink�rnige Rechte f�r alle Subjekte (Benutzer, Programme und Prozesse) und Objekte (Dateien und Ger�te) bereitzustellen. Sie k�nnen bedenkenlos und auf sichere Art an eine Applikation lediglich die Rechte vergeben, welche diese braucht, um ordnungsgem�� zu funktionieren.

Die SELinux-Implementierung unter Red Hat Enterprise Linux ist so ausgelegt, dass die Sicherheit unterschiedlicher Server-Daemons verbessert wird, wobei gleichzeitig die Auswirkungen auf den tagt�glichen Betrieb Ihres Systems minimal gehalten werden.

Es gibt drei Stati, aus denen Sie w�hrend des Installationsvorganges ausw�hlen k�nnen:

  • Deaktivieren — W�hlen Sie Deaktivieren, wenn Sie auf diesem System die SELinux Security-Policy nicht aktiviert haben m�chten (Gew�hrung aller Zugriffe). Durch die Einstellung Deaktivieren wird der Enforcing Modus abgeschaltet und der der Rechner weiters nicht zur Benutzung der Security Policy konfiguriert.

  • Warnen — W�hlen Sie Warnen, um �ber jegliche Form von Verweigerung benachrichtigt zu werden. Der Warnen-Status vergibt Labels an Daten und Programme und protokolliert diese, wobei aber keine Security Policys erzwungen werden. Der Warnen-Status ist ein idealer Ausgangspunkt f�r Benutzer, welche eventuell mit einer voll aktivierten SELinux Policy arbeiten m�chten, jedoch aber zuerst an den Auswirkungen einer solchen Policy auf deren allgemeinen Systembetrieb interessiert sind. Beachten Sie dabei, dass Benutzer, welche den Warn-Status ausw�hlen, h�chstwahrscheinlich auch einige falsche positive sowie negative Notifikationen bemerken werden.

  • Aktiv — W�hlen Sie Aktiv, wenn Sie m�chten, dass SELinux sich in einem v�llig aktiven Status befindet. Der Aktiv-Status erzwingt s�mtliche Policys, wie z.B. das Verweigern des Zugangs f�r unauthorisierte Benutzer zu bestimmten Dateien und Programmen als Form von zus�tzlichem Systemschutz. W�hlen Sie diesen Status nur, wenn Sie sicher sind, dass Ihr System auch bei v�lliger Aktivierung von SELinux immer noch einwandfrei funktionieren kann.

F�r zus�tzliche Information �ber SELinux, siehe folgende URLs:

TippTipp
 

Wenn Sie Ihre Sicherheitskonfiguration nach der Installation �ndern m�chten, verwenden Sie hierzu das Security Level Configuration Tool.

Geben Sie den Befehl system-config-securitylevel an einem Shell-Prompt ein, um das Security Level Configuration Tool zu starten. Wenn Sie nicht als root angemeldet sind, werden Sie aufgefordert, das root-Passwort einzugeben, um fortfahren zu k�nnen.

 
 
  Published under the terms of the GNU General Public License Design by Interspire