4.11. Segurança e Controle de Acesso
Leia esta seção para obter um resumo das mudanças de segurança, no controle de acesso, e ferramentas de configurações relevantes entre Red Hat Enterprise Linux 6 e Red Hat Enterprise Linux 7.
4.11.1. Novo Firewall (firewalld)
No Red Hat Enterprise Linux 6, foram fornecidas capacidades de firewall pelo recurso do iptables, e configurado na linha de comando ou através da ferramenta de configuração gráfica, system-config-firewall. No Red Hat Enterprise Linux 7, as capacidades do firewall ainda são fornecidas pelo iptables. No entanto, administradores agora interagem com o iptables através do daemon do firewall dinâmico,
firewalld, e suas ferramentas de configurações: firewall-config, firewall-cmd, e firewall-applet, que não é incluída na instalação padrão do Red Hat Enterprise Linux 7.
Como o
firewalld é dinâmico, as mudanças para sua configuração podem ser realizadas a qualquer momento, e são implementadas imediatamente. Nenhuma parte do firewall precisa ser recarregada, portanto não há interrupção não intencional de conexões de rede existentes.
As principais diferenças entre o firewall no Red Hat Enterprise Linux 6 e 7 são:
- Detalhes de configuração do firewall não são mais armazenadas no
/etc/sysconfig/iptables, e este arquivo não existe mais. Ao invés disso, os detalhes de configuração são armazenados em diversos arquivos nos diretórios/usr/lib/firewallde/etc/firewalld. - Onde o sistema de firewall no Red Hat Enterprise Linux 6 removeu e re-aplicou todas as regras, todas as vezes que uma alteração de configuração foi feita, o
firewalldaplica apenas as diferenças de configuração. Como resultado, ofirewalldpode alterar as configurações durante a execução sem perder as conexões existentes.
Para informações adicionais e configuração de assistência, o firewall no Red Hat Enterprise Linux 7, veja o Red Hat Enterprise Linux 7 Security Guide, disponível em http://access.redhat.com/site/documentation/Red_Hat_Enterprise_Linux/.
4.11.1.1. Migrando regras para firewalld
Red Hat Enterprise Linux 6 fornecia dois métodos de configuração do firewall:
- Use a ferramenta gráfica system-config-firewall para configurar as regras. Esta ferramenta armazenava seus detalhes de configuração no arquivo
/etc/sysconfig/system-config-firewalle criava configuração para os serviçosiptableseip6tablesnos arquivos/etc/sysconfig/iptablese/etc/sysconfig/ip6tables. - Edite manualmente os arquivos
/etc/sysconfig/iptablese/etc/sysconfig/ip6tables(desde o começo ou editando uma configuração inicial criada pelo system-config-firewall).
Se você configurou seu firewall do Red Hat Enterprise Linux 6 com o system-config-firewall, depois que você atualizou, você pode usar a ferramenta do firewall-offline-cmd para migrar a configuração no
/etc/sysconfig/system-config-firewall para a zona padrão do firewalld.
$ firewall-offline-cmd
No entanto, se você criou ou editou manualmente o
/etc/sysconfig/iptables ou /etc/sysconfig/ip6tables, você precisa criar uma nova configuração com o firewall-cmd ou firewall-config, ou desabilitar firewalld e continuar a usar o serviço do iptables e ip6tables antigos. Para mais detalhes sobre como criar novas configurações ou desabilitar firewalld, veja o Red Hat Enterprise Linux 7 Security Guide, disponível em http://access.redhat.com/site/documentation/Red_Hat_Enterprise_Linux/.
