Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.11. セキュリティーおよびアクセス制御

このセクションでは、Red Hat Enterprise Linux 6 と Red Hat Enterprise Linux 7 との間でなされたセキュリティ、アクセス制御、および関連設定ツールの変更の概要について説明しています。

2.11.1. 新ファイアウォール (firewalld)

Red Hat Enterprise Linux 6 では、iptables ユーティリティーがファイアウォール機能を提供し、コマンドラインもしくはグラフィカル設定ツールの system-config-firewall で設定されていました。Red Hat Enterprise Linux 7 では、iptables がファイアウォール機能を提供しています。ただし、管理者は動的ファイアウォールデーモンである firewalld と、その設定ツールである firewall-configfirewall-cmdfirewall-appletiptables と通信します。これは、Red Hat Enterprise Linux 7 のデフォルトインストールには含まれていません。

firewalld は動的であることから、その設定はいつでも変更可能で、即座に実行されます。ファイアウォールはリロードする必要がないことから、既存のネットワーク接続で意図しない中断が発生することはありません。

Red Hat Enterprise Linux 6 と 7 間でのファイアウォールの主な相違点は以下のとおりです。

  • Firewalld 設定の詳細は /etc/sysconfig/iptables に保存されていません。設定詳細は /usr/lib/firewalld および /etc/firewalld ディレクトリーの様々なファイルに保存されます。
  • Red Hat Enterprise Linux 6 では、設定が変更される度にすべてのルールが削除され、再適用されていましたが、firewalld は設定の差異のみを適用します。その結果、firewalld は既存の接続を中断することなく、ランタイム中に設定を変更することができます。

Red Hat Enterprise Linux 7 でのファイアウォールの設定に関する詳細情報およびヘルプは、http://access.redhat.com/site/documentation/Red_Hat_Enterprise_Linux/ の『Red Hat Enterprise Linux 7 セキュリティーガイド』を参照してください。

2.11.1.1. firewalld への移行ルール

重要

Red Hat Enterprise Linux 7 を、別の Red Hat 製品 (Red Hat Enterprise Linux OpenStack Platform など) と使用している場合は、firewalld に移行する代わりに iptables または ip6tables を引き続き使用することが適切なことがあります。

どのファイアーウォールユーティリティーを使用すればいいかわからない場合は、製品ドキュメントを参照するか、Red Hat サポートにお問い合わせください。

firewalld を無効にし、iptables または ip6tables を引き続き使用する方法については、https://access.redhat.com/articles/1229233 を参照してください。

Red Hat Enterprise Linux 6 では、以下の 2 つの方法でファイアウォールを設定していました。

  • グラフィカルの system-config-firewall ツールを使ってルールを設定。このツールは、設定詳細を /etc/sysconfig/system-config-firewall ファイルに保存し、/etc/sysconfig/iptables ファイルに iptables サービスを、および /etc/sysconfig/ip6tables ファイルに ip6tables サービスを設定していました。
  • 手動で /etc/sysconfig/iptables ファイルおよび /etc/sysconfig/ip6tables ファイルを編集 (まったくのゼロから、もしくは system-config-firewall が作成した初期設定を編集) 。

Red Hat Enterprise Linux 6 のファイアウォールを system-config-firewall で設定している場合、システムをアップグレードして firewalld をインストールした後に、firewall-offline-cmd ツールを使って、/etc/sysconfig/system-config-firewall の設定を firewalld のデフォルトゾーンに移行することができます。

$ firewall-offline-cmd

ただし、/etc/sysconfig/iptables もしくは /etc/sysconfig/ip6tables を手動で作成または編集している場合は、firewalld のインストール後に firewall-cmd または firewall-config で新しい設定を作成するか、firewalld を無効にして旧型の iptables および ip6tables サービスの使用を継続する必要があります。新規設定の作成や firewalld の無効化に関する詳細は、『Red Hat Enterprise Linux 7 セキュリティーガイド』 を参照してください。これは、http://access.redhat.com/site/documentation/Red_Hat_Enterprise_Linux/ から入手できます。