Un pare-feu se situe entre votre ordinateur et le réseau et détermine les ressources de votre ordinateur auxquelles des utilisateurs distants peuvent avoir accès à travers le réseau. Un pare-feu correctement configuré peut améliorer de façon significative la sécurité de votre système lors de toute transaction avec l'extérieur.
Choisissez le niveau de sécurité adapté à votre système.
Pas de pare-feu — Cette option permet un accès complet à votre système et n'effectue aucun contrôle de sécurité. Le contrôle de sécurité permet de désactiver l'accès à certains services depuis l'extérieur. Il est recommandé de sélectionner cette option uniquement si vous êtes dans un réseau sécurisé (pas l'internet) ou si vous envisagez d'effectuer une configuration de pare-feu plus détaillée plus tard.
Activer le pare-feu — Si vous choisissez cette option, les connexions qui ne sont pas explicitement déterminées par vos soins (autres que les paramètres par défaut) sont refusées par votre système. Par défaut, seules les connexions répondant à des requêtes sortantes, telles que des réponses DNS ou des requêtes DHCP, sont autorisées. Si l'accès à des services tournant sur la machine est nécessaire, vous pouvez choisir d'autoriser des services spécifiques à traverser le pare-feu.
Si vous connectez votre système à Internet, mais n'envisagez pas d'utiliser un serveur, cette option est la plus sûre.
Sélectionnez ensuite les services spécifiques, le cas échéant, devant être autorisés à traverser le pare-feu.
L'activation de ces options permet aux services spécifiés de traverser le pare-feu. Notez que ces services ne sont peut-être pas installés sur le système par défaut. Assurez-vous de bien activer toutes les options dont vous aurez besoin.
SSH (connexion à distance) — L'acronyme de Secure SHell est une suite d'outils permettant la connexion à une machine distante et l'exécution de commandes sur cette dernière. Si vous envisagez d'utiliser des outils SSH pour accéder à votre ordinateur à travers un pare-feu, activez cette option. Le paquetage openssh-server doit être installé afin de pouvoir avoir accès à votre ordinateur à distance, à l'aide des outils SSH.
Serveur Web (HTTP, HTTPS) — Les protocoles HTTP et HTTPS sont utilisés par Apache (et par d'autres serveurs Web) pour servir des pages Web. Si vous envisagez de rendre votre serveur Web disponible sur un réseau public, activez cette option. Cette dernière n'est nécessaire ni pour visionner des pages localement, ni pour développer des pages Web. Vous devez installer le paquetage httpd si vous voulez servir des pages Web.
Transfert de fichiers (FTP) — Le protocole FTP est utilisé pour transférer des fichiers entre ordinateurs sur un réseau. Si vous envisagez de rendre votre serveur FTP disponible sur un réseau public, activez cette option. Vous devez installer le paquetage vsftpd pour que cette option soit vraiment utile.
Serveur de messagerie (SMTP) — Si vous souhaitez autoriser la livraison de courrier entrant à travers votre pare-feu, afin que des hôtes distants puissent se connecter directement à votre ordinateur pour livrer du courrier, activez cette fonction. Il n'est pas nécessaire d'activer cette fonction si vous recevez votre courrier de votre serveur ISP utilisant POP3 ou IMAP ou encore si vous utilisez un outil tel que fetchmail. Notez qu'un serveur SMTP mal configuré peut permettre à des ordinateurs distants d'utiliser votre serveur pour envoyer du pourriel (aussi appelé spam).
De plus, vous pouvez désormais configurer SELinux (Security Enhanced Linux) durant votre installation.
L'implémentation de SELinux dans Enterprise Linux est conçue afin d'améliorer la sécurité de plusieurs démons serveur tout en minimisant l'impact sur les opérations quotidiennes de votre système.
Vous pouvez choisir parmi trois états durant l'installation :
Désactiver — Sélectionnez Désactiver si vous ne souhaitez pas que les contrôles de sécurité SELinux soient activés sur ce système. Le paramètre Désactiver désactive l'option d'imposer une politique et ne configure pas la machine de façon à utiliser une politique de sécurité.
Avertir — Sélectionnez Avertir pour être averti de tout refus. Cet état attribue des étiquettes aux données et programmes et les journalise, mais n'impose aucune politique. Cet état est est un bon début pour les utilisateurs qui souhaitent éventuellement une politique SELinux entièrement activée, mais qui souhaitent tout d'abord voir les effets de la politique sur le fonctionnement général de leur système. Notez que les utilisateurs qui sélectionnent l'état Avertir peuvent observer certains faux positifs et fausses notifications.
Activer — Sélectionnez Activer si vous souhaitez que SELinux fonctionne dans un état entièrement activé. Cet état impose toutes les politiques, comme le refus d'accès aux utilisateurs non autorisés sur certains fichiers et programmes, pour une meilleure protection du système. Choisissez cet état uniquement si vous êtes certain que votre système puisse toujours fonctionner proprement avec SELinux entièrement activé.