防火墙设立在您的计算机和网络之间,用来判定网络中的远程用户有权访问您的计算机上的哪些资源。一个正确配置的防火墙可以极大地增加您的系统安全性。
为您的系统选择恰当的安全级别。
「无防火墙」 - 无防火墙给予完全访问权并不做任何安全检查。安全检查是指对某些服务的禁用。只有在一个可信任的网络 (非互联网)中运行时,或者您想稍后再进行详细的防火墙配置时,才应选此项。
「启用防火墙」 — 如果您选择了「启用防火墙」,没有被您具体定义的连接就不会被系统接受(除默认设置外)。按照默认设置,只有答复出站请求的连接,如 DNS 回复或 DHCP 请求,才被允许。如果需要使用在这个机器上运行的服务,您应该指定要通过防火墙的服务。
如果您将系统连接到互联网上,但是并不打算运行服务器,这是最安全的选择。
下一步,选择哪些服务应该被允许穿过防火墙。
启用这些选项将允许具体指定的服务穿过防火墙。注意,这些服务可能并不会被缺省安装进系统。请确定启用您可能需要的选项。
「远程登录 (SSH)」 — Secure SHell (SSH) 是一组用于在远程机器上登录和执行命令的工具套件。如果您打算使用 SSH 工具来通过防火墙进入您的机器,请启用该选项。要使用 SSH 工具远程访问机器,您还需要安装 openssh-server 软件包。
「万维网服务器 (HTTP, HTTPS)」 — Apache (以及其它万维网服务器) 使用 HTTP 和 HTTPS 协议来提供网页。如果您打算使您的万维网服务器被公众访问,请启用该选项。若只想在本地查看网页或开发网页,则不需要该选项。如果要提供网页,您还需要安装 httpd 软件包。
「文件传输 (FTP)」 — FTP 协议被用来在网络上的机器间传输文件。如果您打算使您的 FTP 服务器可被公众访问,请启用该选项。为此您还需要安装 vsftpd 软件包。
「邮件服务器 (SMTP)」 - 如果您需要允许远程主机直接连接到您的机器来发送邮件,启用该选项。如果您想从您的 ISP 服务器中收取 POP3 或 IMAP 邮件,或者您使用 fetchmail 之类的工具,不要启用此选项。请注意,不正确配置的 SMTP 服务器可以允许远程机器使用您的服务器发送垃圾邮件。
此外,您现在还可以在安装中设置 SELinux(增强安全性的 Linux)。
Enterprise Linux 中的 SELinux 实现旨在提高各种服务器守护进程的安全性,与此同时尽可能地 减小对系统日常操作的影响。
在安装过程中,您可以选择以下三种状态:
「禁用」 — 如果不想在系统上启用 SELinux,则选择 「禁用」。「禁用」设置会关闭对 SELinux 的实施,不使用安全策略。
「警告」 — 选择「警告」会在拒绝时被通知。「警告」状态给数据和程序分配标签并记录它们,但是并不实施安全策略。「警告」状态适用于想首先观察 SELinux 策略对系统操作的影响后再全面激活它的用户。注意,选择这个状态的用户可能会收到些假警报。
「激活」 — 如果您想完全启用 SELinux,选择「激活」。「激活」状态实施所有的策略,如为额外的系统保护而拒绝未经授权的用户存取特定文件和程序等。只有当您确信系统在完全启用 SELinux 后仍能正常运行时才选择这个状态。