4.11. Controllo accesso e sicurezza
Consultare questa sezione per un sommario sulle modifiche relative per la sicurezza, controllo accesso e sugli strumenti di configurazione rilevanti presenti tra Red Hat Enterprise Linux 6 e Red Hat Enterprise Linux 7.
4.11.1. Nuovo firewall (firewalld)
Con Red Hat Enterprise Linux 6, le funzionalità del firewall venivano fornite dall'utilità iptables e configurate con la linea di comando o attraverso uno strumento di configurazione grafico, system-config-firewall. Con Red Hat Enterprise Linux 7, le suddette funzionalità vengono fornite ancora da iptables. Tuttavia gli amministratori ora possono interagire con iptables attraverso il demone del firewall dinamico,
firewalld, e i rispettivi strumenti di configurazione: firewall-config, firewall-cmd e firewall-applet, non incluso nell'installazione predefinita di Red Hat Enterprise Linux 7.
Poichè
firewalld è dinamico le modifiche alla sua configurazione possono essere eseguite in qualsiasi momento, e implementate immediatamente. Non è necessario ricaricare alcun elemento del firewall, quindi non vi sarà alcuna interruzione accidentale delle connessioni di rete esistenti.
Le differenze principali tra il firewall in Red Hat Enterprise Linux 6 e 7 sono:
- Le informazioni sulla configurazione del firewall non sono più archiviate in
/etc/sysconfig/iptables, e questo file non è più esistente. Le informazioni ora sono archiviate in diversi file nelle directory/usr/lib/firewallde/etc/firewalld. - Dove il sistema firewall in Red Hat Enterprise Linux 6 rimuoveva e applicava nuovamente tutte le regole ad ogni modifica della configurazione,
firewalldora applica solo le differenze relative alla configurazione. Come risultatofirewalldè in grado di modificare le impostazioni durante il runtime senza perdere le connessioni esistenti.
Per maggiori informazioni e assistenza per la configurazione del firewall in Red Hat Enterprise Linux 7, consultare la Red Hat Enterprise Linux 7 Security Guide disponibile su http://access.redhat.com/site/documentation/Red_Hat_Enterprise_Linux/.
4.11.1.1. Regole per la migrazione a firewalld
Con Red Hat Enterprise Linux 6 erano disponibili due metodi per la configurazione del firewall:
- Usare lo strumento grafico system-config-firewall per configurare le regole. Questo strumento achiviava le informazioni sulla configurazione nel file
/etc/sysconfig/system-config-firewalle creava una configurazione per i serviziiptableseip6tablesnei file/etc/sysconfig/iptablese/etc/sysconfig/ip6tables. - Modificare manualmente i file
/etc/sysconfig/iptablese/etc/sysconfig/ip6tables(iniziando nuovamente o modificando una configurazione iniziale creata da system-config-firewall).
Se avete configurato il firewall di Red Hat Enterprise Linux 6 con system-config-firewall, dopo l'aggiornamento, usare lo strumento firewall-offline-cmd per la migrazione della configurazione in
/etc/sysconfig/system-config-firewall, nella zona predefinita di firewalld.
$ firewall-offline-cmd
Tuttavia se avete creato o modificato manualmente
/etc/sysconfig/iptables o /etc/sysconfig/ip6tables, sarà necessario creare una nuova configurazione con firewall-cmd o firewall-config, o disabilitare firewalld e continuare ad usare i vecchi servizi iptables e ip6tables. Per informazioni su come creare nuove configurazioni o disabilitare firewalld consultare la Red Hat Enterprise Linux 7 Security Guide disponibile su http://access.redhat.com/site/documentation/Red_Hat_Enterprise_Linux/.
