Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.11. Segurança e Controle de Acesso

Leia esta seção para obter um resumo das mudanças de segurança, no controle de acesso, e ferramentas de configurações relevantes entre Red Hat Enterprise Linux 6 e Red Hat Enterprise Linux 7.

4.11.1. Novo Firewall (firewalld)

No Red Hat Enterprise Linux 6, foram fornecidas capacidades de firewall pelo recurso do iptables, e configurado na linha de comando ou através da ferramenta de configuração gráfica, system-config-firewall. No Red Hat Enterprise Linux 7, as capacidades do firewall ainda são fornecidas pelo iptables. No entanto, administradores agora interagem com o iptables através do daemon do firewall dinâmico, firewalld, e suas ferramentas de configurações: firewall-config, firewall-cmd, e firewall-applet, que não é incluída na instalação padrão do Red Hat Enterprise Linux 7.
Como o firewalld é dinâmico, as mudanças para sua configuração podem ser realizadas a qualquer momento, e são implementadas imediatamente. Nenhuma parte do firewall precisa ser recarregada, portanto não há interrupção não intencional de conexões de rede existentes.
As principais diferenças entre o firewall no Red Hat Enterprise Linux 6 e 7 são:
  • Detalhes de configuração do firewall não são mais armazenadas no /etc/sysconfig/iptables, e este arquivo não existe mais. Ao invés disso, os detalhes de configuração são armazenados em diversos arquivos nos diretórios /usr/lib/firewalld e /etc/firewalld.
  • Onde o sistema de firewall no Red Hat Enterprise Linux 6 removeu e re-aplicou todas as regras, todas as vezes que uma alteração de configuração foi feita, o firewalld aplica apenas as diferenças de configuração. Como resultado, o firewalld pode alterar as configurações durante a execução sem perder as conexões existentes.
Para informações adicionais e configuração de assistência, o firewall no Red Hat Enterprise Linux 7, veja o Red Hat Enterprise Linux 7 Security Guide, disponível em http://access.redhat.com/site/documentation/Red_Hat_Enterprise_Linux/.

4.11.1.1. Migrando regras para firewalld

Red Hat Enterprise Linux 6 fornecia dois métodos de configuração do firewall:
  • Use a ferramenta gráfica system-config-firewall para configurar as regras. Esta ferramenta armazenava seus detalhes de configuração no arquivo /etc/sysconfig/system-config-firewalle criava configuração para os serviços iptables e ip6tables nos arquivos /etc/sysconfig/iptables e /etc/sysconfig/ip6tables.
  • Edite manualmente os arquivos /etc/sysconfig/iptables e /etc/sysconfig/ip6tables (desde o começo ou editando uma configuração inicial criada pelo system-config-firewall).
Se você configurou seu firewall do Red Hat Enterprise Linux 6 com o system-config-firewall, depois que você atualizou, você pode usar a ferramenta do firewall-offline-cmd para migrar a configuração no /etc/sysconfig/system-config-firewall para a zona padrão do firewalld.
$ firewall-offline-cmd
No entanto, se você criou ou editou manualmente o /etc/sysconfig/iptables ou /etc/sysconfig/ip6tables, você precisa criar uma nova configuração com o firewall-cmd ou firewall-config, ou desabilitar firewalld e continuar a usar o serviço do iptables e ip6tables antigos. Para mais detalhes sobre como criar novas configurações ou desabilitar firewalld, veja o Red Hat Enterprise Linux 7 Security Guide, disponível em http://access.redhat.com/site/documentation/Red_Hat_Enterprise_Linux/.