ファイヤーウォール設定

ファイヤーウォールはコンピュータとネットワークの間に位置して、 ネットワークのリモートユーザーがアクセスできるコンピュータ上のリソースを決定します。適切に設定されたファイヤーウォールはコンピュータ外部に対するセキュリティを 大幅に増強します。

システムに適したセキュリティレベルを選択します。

ファイアウォールなしファイアウォールなし は完全なアクセスを許可し、セキュリティチェックを実行しません。 セキュリティチェックは特定のサービスに対しアクセスを無効にします。信頼できるネットワーク (インターネットではなく) 上にいるとき、または後でより詳細な ファイアウォール設定を実行する予定があるときのみ、この項目の選択をします。

ファイヤーウォールを有効にするファイヤーウォールを有効にする を選択すると、システムはユーザが明確に定義していない 接続を受付ません (デフォルト設定は例外)。デフォルトでは DNS 応答や DHCP 要求などの 発信要求への対応の接続のみが許可されます。マシンで実行中のサービスへのアクセスが 必要な場合、ファイヤーウォールを通して特定のサービスを許可する選択ができます。

システムをインターネットと接続しても、サーバの運用計画がない場合は、これが最も安全な選択肢です。

次に必要があれば、どのサービスがファイヤーウォールの通過を許可されるかを選択します。

これらのオプションを有効にすると、指定したサービスにファイアウォールの通過を 許可します。これらのサービスはデフォルトではシステムにインストールされて いない かもしれない事に注意して下さい。必要になる可能性のあるオプションは有効する選択を忘れないで下さい。

SSHSecure SHell (SSH) は、リモートマシン上でのログインやコマンドの実行に適しています。ファイヤーウォールを通してマシンにアクセスする為に SSH ツールを使用する予定の場合はこのオプションを有効にします。SSH ツールを使用してマシンにアクセスする為には openssh-server パッケージをインストールする必要があります。

WWW (HTTP) — HTTP プロトコルは Apache (及び他の Web サーバ) によってWebページをサービスする為に使用されます。Web サーバを公開する予定がある場合は、このオプションを有効にします。このオプションはローカルにページを閲覧したり Web ページの開発には必要ありません。Web ページをサービスする場合には httpd パッケージをインストールする必要があります。

FTP — FTP プロトコルはネットワーク上のマシン間でファイルを転送するのに使用されます。FTP サーバを公開する予定の場合はこのオプションを有効にします。このオプションを有益にする為には vsftpd パッケージ をインストールする必要があります。

Mail (SMTP) — ファイヤーウォールを通して入信して来るメール配信を許可してリモートホストと使用マシンの直接接続を許可してメール配信する 必要がある場合は、このオプションを有効にします。POP3 または IMAP によって IPS のサーバからメールを収集するとき、または fetchmail などのツールを使う 場合はこのオプションを有効にする必要はありません。不適切な設定の SMTP サーバはユーザーのサーバを利用してリモートマシンにスパム送信を許してしまう可能性があることに注意して下さい。

追加で SELinux (Security Enhanced Linux) をインス トール中にセットアップできます。

Enterprise Linux の SELinux は、日々のシステムの操作の負担を最小にしつつ、さまざまなデーモンのセキュリティを改善するように設計されています。

三つの状態はインストールプロセスの間に選択可能です:

無効 — システムで可能な SELinux によるセキュリティ制御を必要としない場合、無効 を選択します。無効 の設定により強制的にオフになり、セキュリティポリシーをマシンに設定しません。

警告警告 は全ての拒絶に対し通知します。警告 の状態はデータやプログラムやログにラベルを指定しますが、ポリシーを強制適用しません。警告 の状態は、いつか全てに対しアクティブな SELinux ポリシーを必要とするユーザーだけでなく、ポリシーが一般的なシステムにどのような影響を与えるかを最初に理解したい人にも良い出発点になります。警告 状態を選択した場合、肯定的な通知と否定的な通知を取り違えないように注意してください。

有効 — SELinux を全てアクティブ状態にするには 有効 を選択します。有効 状態は、特定のファイルやプログラムに対して認証のないユーザーのアクセスを拒否するなど、システムの追加防御として全てのポリシーを強制的に適用します。SELinux を全てアクティブにしつつシステムが正常に機能できることを確認した場合のみ、この状態を選択してください。