4.11. Control de acceso y seguridad
Consulte esta sección para obtener un resumen de los cambios a control de acceso y seguridad y las herramientas de configuración importantes entre Red Hat Enterprise Linux 6 y Red Hat Enterprise Linux 7.
4.11.1. Nuevo cortafuegos: firewalld
Las capacidades del cortafuegos en Red Hat Enterprise Linux 6, eran provistas por la herramienta iptables , y se configuraban ya sea en la línea de comandos o a través de la herramienta de configuración gráfica, system-config-firewall. En Red Hat Enterprise Linux 7, las capacidades de cortafuegos aún son provistas por iptables. Sin embargo, los administradores ahora interactúan con iptables mediante el demonio de cortafuegos,
firewalld
, y sus herramientas de configuración: firewall-config, firewall-cmd,y firewall-applet, las cuales no se incluyen en la instalación predeterminada de Red Hat Enterprise Linux 7.
Puesto que
firewalld
es dinámico, los cambios a su configuración se realizan inmediatamente en cualquier momento. Ninguna parte del cortafuegos necesita ser recargada, por lo tanto no hay ninguna interrupción de conexiones de red existentes.
Las diferencias primarias entre el cortafuegos de Red Hat Enterprise Linux 6 y 7 son:
- La información sobre la configuración de cortafuegos ya no se guarda en
/etc/sysconfig/iptables
, y este archivo ya no existe. En su lugar, la información sobre configuración se almacena en varios archivos en los directorios/usr/lib/firewalld
y/etc/firewalld
. - En donde el sistema de cortafuegos en Red Hat Enterprise Linux 6 retiraba y reaplicaba todas las reglas cada vez que se hacía un cambio en la configuración,
firewalld
únicamente aplica las diferencias de configuración. Como resultado,firewalld
puede cambiar parámetros durante el momento de ejecución sin perder las conexiones existentes.
Para obtener más información y asistencia sobre cómo configurar el cortafuegos en Red Hat Enterprise Linux 7, consulte la Guía de seguridad de Red Hat Enterprise Linux 7, disponible en http://access.redhat.com/site/documentation/Red_Hat_Enterprise_Linux/.
4.11.1.1. Cómo migrar reglas a firewalld
Red Hat Enterprise Linux 6 proporcionaba dos métodos para configurar el cortafuegos:
- Use la herramienta gráfica system-config-firewall para configurar reglas. Esta herramienta almacenaba su información de configuración en el archivo
/etc/sysconfig/system-config-firewall
, y creaba la configuración para los servicios deiptables
yip6tables
en los archivos/etc/sysconfig/iptables
y/etc/sysconfig/ip6tables
. - Modifique a mano los archivos
/etc/sysconfig/iptables
y/etc/sysconfig/ip6tables
(ya sea desde el comienzo o modificando la configuración inicial creada por system-config-firewall).
Si configuraba su cortafuegos de Red Hat Enterprise Linux 6 con system-config-firewall, después de la actualización, podrá utilizar la herramienta firewall-offline-cmd para migrar la configuración de
/etc/sysconfig/system-config-firewall
a la zona predeterminada de firewalld
.
$ firewall-offline-cmd
No obstante, si usted crea o modifica a mano los archivos
/etc/sysconfig/iptables
or /etc/sysconfig/ip6tables
, debe crear una nueva configuración con firewall-cmd o firewall-config, o inhabilitar firewalld
y continuar usando los servicios de iptables
y ip6tables
. Para obtener más información sobre cómo crear nuevas configuraciones o desactivar firewalld
, consulte la Guía de seguridad de Red Hat Enterprise Linux 7, disponible en http://access.redhat.com/site/documentation/Red_Hat_Enterprise_Linux/.