Настройка на защитната стена

За да увеличи сигурността на системата, Fedora Core предлага конфигуриране на защитна стена (защитна стена). Защитната стена се намира между компютъра и мрежата и определя кои ресурси на вашия компютър могат да получат достъп до отдалечени потребители в мрежата. Една добре конфигурирана защитна стена може значително да повиши сигурността на системата.

защитната

Фигура 3.19. Конфигуриране на защитна стена

Изберете Активиране на защитна стена или Без защитна стена.

Това ниво осигурява пълен достъп до вашата система и не извършва проверки за сигурност. Проверката за сигурност е акт на деактивиране на достъпа до определени услуги. Това ниво се препоръчва само ако сте в силно защитена мрежа (не интернет) или ако ще извършите допълнителна конфигурация на защитната стена по-късно.

Активиране на защитната стена

Ако изберетеАктивиране на защитната стена, системата няма да приеме връзки (освен тези по подразбиране), които не са конкретно посочени от вас.

Можете изрично да посочите услугите, които искате да отворите от списъка по-долу:

Отдалечено влизане (SSH)

Уеб сървър (HTTP, HTTPS)

Прехвърляне на файлове (FTP)

Пощенски сървър (SMTP)

Security SHell (SSH) е набор от инструменти за влизане в отдалечен компютър и изпълнение на команди на него. Ако ще използвате SSH за достъп до вашия компютър през защитна стена, активирайте тази опция. За отдалечен достъп до вашия компютър чрез SSH, трябва да инсталирате пакета openssh-сървър.

Уеб сървър (HTTP, HTTPS)

Прехвърляне на файлове (FTP)

FTP протоколът се използва за прехвърляне на файлове между компютри в мрежа. Ако искате да отворите достъп до вашия FTP сървър,активирайте тази опция. Ще трябва да инсталирате пакета vsftpd.

Пощенски сървър (SMTP)

Ако искате да позволите на входящата поща да се доставя през защитната стена, така че отдалечените компютри да могат директно да се свързват с вашия и да доставят поща, активирайте тази опция. Ако извличате поща от сървъра на ISP чрез POP3 или IMAP, или ако използвате клиент като fetchmail, не е необходимо да активирате тази опция. Имайте предвид, че неправилно конфигуриран SMTP сървър може да позволи на злонамерени спамери от отдалечени компютри да експлоатират вашия сървър за свои собствени цели.

Забележка

Разбира се, пакетът sendmail-cf трябва да бъде предварително инсталиран, за да работи това.

Освен това вече можете да конфигуриратеSELinux (Linux с подобрена сигурност) по време на инсталацията.

SELinux ви позволява да дефинирате по-фино разпределение на разрешения както за субекти (потребители, програми и процеси), така и за обекти (файлове и устройства). Можете да разпределите на конкретно приложение точно онези права, които са му необходими за нормална работа.

Политиките на SELinux, предлагани от тази дистрибуция, са фокусирани върху повишаване на общото ниво на сигурност за сървърните компоненти, като същевременно минимизират усилията за ежедневна поддръжка на системата.

По време на инсталацията можете да избирате от следните опции:

Деактивирано - Изберете Деактивиране, ако не искате да активирате поддръжката на SELinux. Това не само не включва механизми за предотвратяване на неоторизиран достъп, но изобщо не включва механизми за контрол на подобни инциденти.

Предупреждения (Предупреждение) - В опцията Предупреждение се издава предупреждение за всеки опит за неоторизиран достъп. В този случай всичкитакива опити за достъп до данни и програми, но ограничителните политики не са активирани. Тази опция е добра, за да започнете с политиките на SELinux, особено когато става въпрос за изследване на ефектите, които идват от ежедневната работа. Имайте предвид, че като изберете тези настройки, можете да получавате както положителни, така и отрицателни известия.

Съвет

За да промените настройките за ниво на защита, след като инсталационният процес приключи, използвайтеИнструмента за конфигуриране на ниво на защита.

За да стартиратеИнструмента за конфигуриране на ниво на защита, въведете командата system-config-securitylevel в командния ред. Ако не сте root потребител, ще бъдете подканени да въведете root паролата, за да стартирате тази помощна програма.