2.11. 安全性和访问控制

在 Red Hat Enterprise Linux 6 中，防火墙功能由 iptables 程序提供，并通过命令行或通过图形配置工具 system-config-firewall 进行配置。在 Red Hat Enterprise Linux 7 中，防火墙功能仍由 iptables 提供。但是，管理员现在通过动态防火墙守护进程、firewalld 及其配置工具： firewall-config、firewall-cmd 和 firewall-applet 与 iptables 交互，这些守护进程没有包括在 Red Hat Enterprise Linux 7 的默认安装中。

由于 firewalld 是动态的，因此可以随时更改其配置，并且会立即实施。防火墙不需要重新载入，因此现有网络连接不会意外中断。

Red Hat Enterprise Linux 6 和 7 中防火墙之间的主要区别是：

有关在 Red Hat Enterprise Linux 7 中配置防火墙的详情和帮助，请参阅 安全指南。

firewall-offline-cmd

$ firewall-offline-cmd

在以前的版本中，PolicyKit 在 .pkla 文件中使用键值对来定义额外的本地授权。Red Hat Enterprise Linux 7 引进了使用 JavaScript 定义本地授权的功能，允许您在必要时编写授权。

polkitd 从 /etc/polkit-1/ rules. d 和 /usr/share/polkit-1/rules.d 目录中以字典顺序读取 .rules 文件。如果两个文件共享相同的名称，/etc 中的文件将在 /usr 中的文件之前处理。当处理旧的 .pkla 文件时，最后的规则具有优先权。使用新的 .rules 文件时，第一个匹配的规则具有优先权。

迁移后，您的现有规则由 /etc/polkit-1/rules.d/49-polkit-pkla-compat.rules 文件应用。因此，它们可以被 /usr 或 /etc 中的 .rules 文件覆盖，其名称为 49-polkit-pkla-compat in lexicographic order。请确定旧规则没有被覆盖的最简便方法是开始所有其他 .rules 文件的名称，它大于 49。

有关此问题的详情，请查看 桌面迁移和管理指南。

在 Red Hat Enterprise Linux 6 中，基本用户标识符为 500。在 Red Hat Enterprise Linux 7 中，基本用户标识符为 1000。这个更改涉及在升级过程中替换 /etc/login.defs 文件。

如果您还没有修改默认的 /etc/login.defs 文件，则会在升级过程中替换该文件。基本用户标识符号被更改为 1000，新用户将在 1000 及以上分配用户标识符。在此更改前创建的用户帐户会保留其当前用户标识符，并继续按预期工作。

如果您修改了默认的 /etc/login.defs 文件，则文件不会在升级过程中替换，且基本用户标识符号则是 500。

从 Red Hat Enterprise Linux 7 开始，libuser 库不再支持包含 ldap 和 files 模块的配置，或者 ldap 和 shadow 模块。组合这些模块会在密码处理中造成不确定性，这些配置现在在初始化过程中被拒绝。

如果使用 libuser 管理 LDAP 中的用户或组，则必须从模块中删除 文件和 shadow 模块，并 在配置文件中 创建_modules 指令（默认为/etc/libuser.conf ）。

以前版本的 Red Hat Enterprise Linux 使用 opencryptoki 密钥存储版本 2，它使用硬件中的安全密钥加密私有令牌对象。Red Hat Enterprise Linux 7 使用版本 3，它会在软件中使用明确密钥加密私有令牌对象。这意味着，在可与版本 3 一起使用之前，必须迁移版本 2 创建的私有令牌对象。

要迁移私有令牌对象，请执行以下步骤：

如果您在迁移时遇到问题，请检查以下内容：