4.11. Sicherheit und Zugriffssteuerung

Lesen Sie diesen Abschnitt für eine Zusammenfassung der Änderungen an der Sicherheit, der Zugriffssteuerung und an relevanten Konfigurationswerkzeugen von Red Hat Enterprise Linux 6 auf Red Hat Enterprise Linux 7.

4.11.1. Neue Firewall (firewalld)

In Red Hat Enterprise Linux 6 wurde die Firewall-Funktionalität vom iptables Dienstprogramm bereitgestellt. Die Firewall wurde entweder per Befehlszeile oder über das grafische Konfigurationstool system-config-firewall konfiguriert. In Red Hat Enterprise Linux 7 werden Firewall-Funktionalitäten nach wie vor von iptables bereitgestellt. Allerdings interagieren Administratoren mit iptables nun über den dynamischen Firewall-Daemon namens firewalld und dessen Konfigurationstools: firewall-config, firewall-cmd und firewall-applet, wobei letzteres nicht in der Standardinstallation von Red Hat Enterprise Linux 7 enthalten ist.
Da firewalld dynamisch ist, können jederzeit Änderungen an der Konfiguration vorgenommen werden, die sofort wirksam werden. Keine Komponente der Firewall muss neu geladen werden, so dass vorhandene Netzwerkverbindungen nicht unbeabsichtigt unterbrochen werden.
Die wesentlichen Unterschiede zwischen der Firewall in Red Hat Enterprise Linux 6 und 7 sind:
  • Die Konfigurationsdetails der Firewall werden nicht mehr in /etc/sysconfig/iptables gespeichert; diese Datei existiert nicht mehr. Stattdessen werden Konfigurationsdetails in verschiedenen Dateien in den /usr/lib/firewalld und /etc/firewalld Verzeichnissen gespeichert.
  • Das Firewall-System in Red Hat Enterprise Linux 6 entfernte alle Regeln und wendete diese erneut an, wenn eine Konfigurationsänderung vorgenommen wurde. firewalld dagegen wendet nur die Konfigurationsunterschiede an. Infolgedessen können mit firewalld zur Laufzeit Konfigurationsänderungen vorgenommen werden, ohne dass vorhandene Verbindungen verloren gehen.
Weitere Informationen und Hilfe zur Konfiguration der Firewall in Red Hat Enterprise Linux 7 finden Sie im Red Hat Enterprise Linux 7 Sicherheitshandbuch, verfügbar unter http://access.redhat.com/site/documentation/Red_Hat_Enterprise_Linux/.

4.11.1.1. Migrieren von Regeln nach firewalld

Red Hat Enterprise Linux 6 bietet zwei Möglichkeiten zur Firewall-Konfiguration:
  • Das grafische system-config-firewall Tool zur Konfiguration von Regeln. Dieses Tool speicherte seine Konfigurationsdetails in der /etc/sysconfig/system-config-firewall Datei und erstellte die Konfiguration für die iptables und ip6tables Dienste in den /etc/sysconfig/iptables und /etc/sysconfig/ip6tables Dateien.
  • Manuelles Bearbeiten der /etc/sysconfig/iptables und /etc/sysconfig/ip6tables Dateien (entweder von Grund auf neu erstellen, oder die anfängliche Konfiguration bearbeiten, die von system-config-firewall erstellt wurde).
Falls Sie Ihre Red Hat Enterprise Linux 6 Firewall mit system-config-firewall konfiguriert haben, können Sie nach dem Upgrade das firewall-offline-cmd Tool nutzen, um die Konfiguration in /etc/sysconfig/system-config-firewall in die Standardzone von firewalld zu migrieren.
$ firewall-offline-cmd
Falls Sie allerdings manuell die /etc/sysconfig/iptables oder /etc/sysconfig/ip6tables Dateien erstellt oder bearbeitet haben, müssen Sie entweder eine neue Konfiguration mit firewall-cmd oder firewall-config erstellen, oder firewalld deaktivieren und weiterhin die alten iptables und ip6tables Dienste nutzen. Details über das Erstellen einer neuen Konfiguration bzw. das Deaktivieren von firewalld finden Sie im Red Hat Enterprise Linux 7 Sicherheitshandbuch, verfügbar unter http://access.redhat.com/site/documentation/Red_Hat_Enterprise_Linux/.