4.11. Contrôle des accès et sécurité

Veuillez lire cette section pour voir un sommaire des changements apportés à la sécurité, au contrôle des accès et aux outils de configuration entre Red Hat Enterprise Linux 6 et Red Hat Enterprise Linux 7.

4.11.1. Nouveau pare-feu (firewalld)

Dans Red Hat Enterprise Linux 6, les capacités du pare-feu étaient fournies par l'utilitaire iptables et configurées sur la ligne de commande ou à travers l'outil de configuration graphique, system-config-firewall. Dans Red Hat Enterprise Linux 7, les capacités du pare-feu sont toujours fournies par iptables. Cependant, les administrateurs peuvent désormais interagir avec iptables via le démon de pare-feu dynamique, firewalld et ses outils de configuration : firewall-config, firewall-cmd et firewall-applet, qui n'est pas inclus dans l'installation par défaut de Red Hat Enterprise Linux 7.
Comme firewalld est dynamique, des changements de sa configuration peuvent être effectués à tout moment et peuvent être implémentés immédiatement. Aucune partie de ce pare-feu n'a besoin d'être rechargée. Ainsi, il ne peut pas se produire d'interruption involontaire des connexions réseau.
Les différences principales entre le pare-feu dans Red Hat Enterprise Linux 6 et 7 sont les suivantes :
  • Les détails de la configuration du pare-feu ne sont plus stockés dans /etc/sysconfig/iptables et ce fichier n'existe plus. Au lieu de celaa, les détails de la configuration sont stockés dans divers fichiers se trouvant dans les répertoires /usr/lib/firewalld et /etc/firewalld.
  • Alors que le système de pare-feu dans Red Hat Enterprise Linux 6 supprimait et ré-appliquait toutes les règles à chaque fois qu'un changement de configuration se produisait, firewalld applique uniquement les différences de configuration. Par conséquent, firewalld peut changer de paramètres pendant le runtime sans perdre de connexions existantes.
Pour des informations et de l'aide supplémentaire lors de la configuration du pare-feu dans Red Hat Enterprise Linux 7, veuillez consulter le Guide de sécurité Red Hat Enterprise Linux , disponible sur http://access.redhat.com/site/documentation/Red_Hat_Enterprise_Linux/.

4.11.1.1. Migration des règles vers firewalld

Red Hat Enterprise Linux 6 offrait deux méthodes de configuration du pare-feu :
  • Utiliser l'outil graphique system-config-firewall pour configurer les règles. Cet outil stocke ses détails de configuration dans le fichier /etc/sysconfig/system-config-firewall et créait la configuration pour les services iptables et ip6tables dans les fichiers /etc/sysconfig/iptables et /etc/sysconfig/ip6tables.
  • Modifier manuellement les fichiers /etc/sysconfig/iptables et /etc/sysconfig/ip6tables (depuis le début ou en modifiant la configuration initiale, créée par system-config-firewall).
Si vous avez configuré votre pare-feu Red Hat Enterprise Linux 6 avec system-config-firewall. Après avoir effectué la mise à niveau, vous pouvez utiliser l'outil firewall-offline-cmd pour migrer la configuration dans /etc/sysconfig/system-config-firewall dans la zone par défaut de firewalld.
$ firewall-offline-cmd
Cependant, si vous avez manuellement créé ou modifié /etc/sysconfig/iptables ou /etc/sysconfig/ip6tables, vous devrez créer une nouvelle configuration avec firewall-cmd ou firewall-config, ou vous devrez désactiver firewalld, puis continuer à utiliser les anciens services iptables et ip6tables. Pour otbenir des détails sur la création de nouvelles configurations ou sur la désactivation de firewalld, veuillez consulter le Guide de sécurité Red Hat Enterprise Linux 7, disponible sur http://access.redhat.com/site/documentation/Red_Hat_Enterprise_Linux/.