RedHat
Linux为增加
系统安全性提供了
防火墙保护。防火墙存在于你的
计算机和
网络之间,用来判定网络中的远程用户有权访问你的计算机上的哪些资源。一个正确配置的防火墙可以极大地增加你的系统安全性。
( ]9 e7 |# N: e, r# I1 n1 h6 P: C2 y6 G8 E9 _6 G) i8 b+ u# J
& x3 _* i* O8 P# W
! M+ A5 \3 M o2 G J
& G2 Z1 B2 s0 V5 _4 [: z
$ m6 ?( ]' o/ B7 v) ]/ ]& o8 |& n: x2 p为你的系统选择恰当的安全级别。
/ L4 X, f' W% K U「高级」
' F1 b4 V8 J3 Y" b, ?( G# `. K
[color=#FFFFFF']
* w, E- m& k8 i' R* k, L. i3 K5 U0 c
如果你选择了「高级」,你的系统就不会接受那些没有被你具体指定的连接(除了默认设置外)。只有以下连接是默认允许的:
, \% E: V1 I& a* H$ p5 `DNS回应
4 ]2 r; j% ]# I' q) ^8 g[color=#FFFFFF']
! N2 p* M5 x' |( {
, I5 W. c2 p. j6 ?" c& V2 G: r# C ~# y
DHCP%26;#8212;任何使用DHCP的网络接口都可以被相应地配置。
z7 i: T* p' t4 l) u如果你选择「高级」,你的防火墙将不允许下列连接:
! U2 f- a* |* @0 ?' C1.活跃状态
FTP(在多数客户机中默认使用的被动状态FTP应该能够正常运行。)
" c4 U; L/ B+ x+ N8 D
2.IRCDCC文件传输
: h/ g! b- ?1 i) z& f; g1 c8 Y* M[color=#FFFFFF']
! A B' i6 i: l8 Q, Z8 G
' L% o' n6 P# R- B9 _% I) M
3.RealAudio
S* \. k& h$ @3 J% n1 H4.远程X窗口系统客户机
5 _" l7 l" H( q4 L3 ]8 k4 b
如果你要把系统连接到
互联网上,但是并不打算运行
服务器,这是最安全的选择。如果需要额外的服务,你可以选择「定制」来具体指定允许通过防火墙的服务。
6 P" u4 b/ P3 i" H) Z# j[color=#FFFFFF']
7 V/ Y6 k \1 { y, h% \8 b& c; F/ }7 O3 N7 b
注记:如果你在安装中选择设置了中级或高级防火墙,网络验证方法(NIS和LDAP)将行不通。
! ]+ ]3 P* x/ [4 v+ u- t0 H, @; Q5 A
「中级」
6 b; Z7 X$ {3 W6 x% }: X( Z% ^如果你选择了「中级」,你的防火墙将不准你的系统访问某些资源。访问下列资源是默认不允许的:
& M% c+ n% u: o- n
1.低于1023的
端口%26;#8212;这些是
标准要保留的端口,主要被一些系统服务所使用,例如:FTP、SSH、telnet、HTTP、和NIS。
" A9 H4 R# I' d- S0 N0 d[color=#FFFFFF']
6 c2 [+ \8 l6 D8 a# g/ [
% A4 f& e, d4 e; l; w3 j2.NFS服务器端口(2049)%26;#8212;在远程服务器和本地客户机上,NFS都已被禁用。
: w1 H# Q( z% m. j
3.为远程X客户机设立的本地X窗口系统显示。
3 i3 R( Z. s+ H
4.X字体服务器端口(xfs不在网络中监听;它在字体服务器中被默认禁用)。
& ]2 i+ F( V. Z
如果你想准许到RealAudio之
类资源的访问,但仍要堵塞到普通系统服务的访问,选择「中级」。你可以选择「定制」来允许具体指定的服务穿过防火墙。
6 b; s0 a1 v7 K" \5 q注记:如果你在安装中选择设置了中级或高级防火墙,网络验证方法(NIS和LDAP)将行不通。
" d1 C3 B4 M& x/ u( V! J% o& t8 h
「无防火墙」( n4 h. e% Z7 r* S( e$ T
无防火墙给予完全访问权并不做任何安全检查。安全检查是对某些服务的禁用。建议你只有在一个可信任的网络(非互联网)中运行时,或者你想稍后再进行详细的防火墙配置时才选此项。
8 n6 l4 _& v0 V, j8 K- W Z; h选择「定制」来添加信任的设备或允许其它的进入接口。
: `5 V# j3 q" O/ D
[color=#FFFFFF']
3 M- a5 i4 C. d( F
9 N/ h4 x" y! N: m; [「信任的设备」
5 a0 l. B2 W. H9 l选择「信任的设备」中的任何一个将会允许你的系统接受来自这一设备的全部交通;它不受防火墙规则的限制。例如,如果你在运行一个局域网,但是通过PPP拨号连接到了互联网上,你可以选择「eth0」,而后所有来自你的局域网的交通将会被允许。把「eth0」选为“信任的”意味着所有这个以太网内的交通都是被允许的,但是ppp0接口仍旧有防火墙限制。如果你想限制某一接口上的交通,不要选择它。
6 g( i9 L/ t6 d& C- ]2 I5 z g7 ]* L
建议你不要将连接到互联网之类的公共网络上的设备定为「信任的设备」。
9 @5 Y V2 J4 ^% i" Z「允许进入」! q6 N k2 D* k1 _7 V8 R
启用这些选项将允许具体指定的服务穿过防火墙。注意:在工作站类型安装中,大多数这类服务在系统内没有被安装。
/ J- @8 `% }( W
[color=#FFFFFF']
* a! N$ {( ]0 O; F' I7 \2 a( Z( V: ]# r0 Q- B) P' u
「DHCP」
, o- x, i# [! l如果你允许进入的DHCP查询和回应,你将会允许任何使用DHCP来判定其IP地址的网络接口。DHCP通常是启用的。如果DHCP没有被启用,你的计算机就不能够获取IP地址。
( O8 T# x& ?1 c. u" I X[color=#FFFFFF']
, y7 ]& s+ n. N- Q1 u- j9 S9 {
9 T4 ?: C' c, n3 v! @「SSH」7 E; Y- h4 }% w5 j; U5 E0 l
Secure(安全)SHell(SSH)是用来在远程
机器上登录及执行命令的一组工具。如果你打算使用SSH工具通过防火墙来访问你的
机器,启用该选项。你需要安装openssh-server
软件包以便使用SSH工具来远程访问你的机器。
' n. d' ~3 k# b( r
「Telnet」/ o& Y3 Y6 T: [( w
Telnet是用来在远程机器上登录的协议。Telnet
通信是不加密的,几乎没有提供任何防止来自网络刺探之类的安全措施。建议你不要允许进入的Telnet访问。如果你想允许进入的Telnet访问,你需要安装telnet-server软件包。
* C6 p) x6 s; H4 H/ ?; p. Q( b
「WWW(HTTP)」' F+ ~. G9 ~% a6 ^6 H2 D4 y
HTTP协议被Apache(以及其它万维网服务器)用来进行网页服务。如果你打算向公众开放你的万维网服务器,请启用该选项。你不需要启用该选项来查看本地网页或开发网页。如果你打算提供网页服务的话,你需要安装httpd软件包。
" H6 c: h& f( f; Z$ c! C5 B
启用「WWW(HTTP)」将不会为HTTPS打开一个端口。要启用HTTPS,在「其它端口」字段内注明。
+ K+ ~/ {4 W' Q z6 v「邮件(SMTP)」2 m5 G% A7 T8 s3 Y% ?: d
[color=#FFFFFF']
7 S$ \ Q4 P! L: e. m4 _& T& P1 @0 E9 R) i, ?
如果你需要允许远程主机直接连接到你的机器来发送邮件,启用该选项。如果你想从你的ISP服务器中收取POP3或IMAP邮件,或者你使用的是fetchmail之类的工具,不要启用该选项。请注意,不正确配置的SMTP服务器会允许远程机器使用你的服务器发送垃圾邮件。
( ^2 _% K \: D* ]2 X* Z[color=#FFFFFF']
) r+ D% J& M9 a; [$ G. t
. S1 x# w- @ l& u! p- _
「FTP」1 |2 h1 W2 N9 d1 ~( l; U X, s
FTP协议是用于在网络机器间传输文件的协议。如果你打算使你的FTP服务器可被公开利用,启用该选项。你需要安装vsftpd软件包才能利用该选项。
+ S+ k7 l8 \ N
「其它端口」- T. [8 w' O _3 s$ V
你可以允许到这里没有列出的其它端口的访问,方法是在「其它端口」字段内把它们列出。格式为:端口:协议。例如,如果你想允许IMAP通过你的防火墙,你可以指定imap:tcp。你还可以具体指定端口号码,要允许UDP包在端口1234通过防火墙,输入1234:udp。要指定多个端口,用逗号将它们隔开。
/ \8 m! F p5 f- S/ y! i- D( o
[color=#FFFFFF']
3 ?: V$ J- v( t y9 C3 \$ i6 S
" E9 B) h: }+ B& H. Q
窍门:要在安装完毕后改变你的安全级别配置,使用安全级别配置工具。在
shell提示下键入redhat-config-securitylevel命令来启动安全级别配置工具。如果你不是根用户,它会提示你输入根口令后再继续。
