Tout comme un pare-feu évite qu’un incendie ne se propage dans un bâtiment, un pare-feu d’ordinateur empêche que les virus ne se diffusent à l’intérieur du système et évite que des utilisateurs non-autorisés n’accèdent à votre ordinateur. Un pare-feu se trouve entre l’ordinateur et le réseau. Il détermine les services de votre ordinateur auxquels les utilisateurs à distance sur le réseau peuvent accéder. Un pare-feu correctement configuré peut augmenter sensiblement la sécurité de votre système. Nous vous conseillons vivement de configurer un pare-feu pour tous les systèmes Red Hat Enterprise Linux connectés à l’internet.
20.1. Outil de configuration du niveau de sécurité
Dans l’écranConfiguration du pare-feude l’installation de Red Hat Enterprise Linux, vous avez pu activer un pare-feu de base ainsi qu’autoriser des périphériques, des services entrants et des ports spécifiques.
Après l’installation, vous pouvez modifier ces préférences en utilisant l’Outil de configuration du niveau de sécurité.
Pour démarrer l’application, sélectionnez le boutonMenu principal(dans le tableau de bord) =>
Outils de système=>Niveau de sécuritéou tapez la commanderedhat-config-securitylevel à une invite du shell (dans un terminal XTerm ou GNOME, par exemple).
Figure 20-1. Outil de configuration du niveau de sécurité
Remarque
L’Outil de configuration du niveau de sécuriténe configure qu’un simple pare-feu. Si le système doit autoriser ou refuser l’accès à des ports spécifiques ou si le système a besoin de règles plus complexes, reportez-vous auGuide de référence de Red Hat Enterprise Linuxpour obtenir de plus amples informations sur la configuration de règlesiptablesspécifiques.
Sélectionnez l’une des options suivantes :
154 Chapitre 20. Configuration de base du pare-feu
• Désactiver le pare-feu— Cette option permet un accès complet à votre système, sans vérification de sécurité. La vérification de sécurité est la désactivation de l’accès à certains services. Ne sélec-tionnez cette option que si vous utilisez un réseau sécurisé (pas l’internet) ou si vous prévoyez de réaliser une configuration de pare-feu plus avancée par la suite.
Avertissement
Si vous avez un pare-feu déjà configuré ou toute règle de pare-feu dans le fichier /etc/sysconfig/iptables, ce fichier sera effacé lorsque vous sélectionnez Désactiver le pare-feuet enregistrez vos modifications en cliquant surValider.
• Activer le pare-feu— Cette option configure le système de façon à rejeter les connexions entrantes qui ne sont pas les réponses de requêtes sortantes, comme les réponses DNS ou les requêtes DHCP.
Si l’accès aux services exécutés sur cette machine est nécessaire, vous pouvez autoriser des services donnés à traverser le pare-feu.
Si vous connectez votre système à l’internet, mais ne prévoyez pas d’exécuter un serveur, il s’agit de l’option la plus sûre.
Si vous sélectionnez desPériphériques sûrs, tout le trafic à partir de ces périphériques aura accès à votre système et ces périphériques sont exclus des règles de pare-feu. Par exemple, si vous exécutez un réseau local, mais que vous êtes connecté à l’internet par le biais d’une connexion commutée PPP, vous pouvez cochereth0et tout le trafic provenant de votre réseau local sera autorisé. Si vous sélectionnezeth0comme périphérique sécurisé, cela signifie que tout le trafic sur l’Ethernet est autorisé, mais que l’interface ppp0 est toujours protégée par le pare-feu. Si vous souhaitez restreindre le trafic sur une interface, ne la cochez pas.
Nous vous déconseillons de configurer commePériphériques sûrs, des périphériques connectés à des réseaux publics, comme l’internet.
Le fait d’activer des options de la listeServices sûrspermet aux services spécifiés de traverser le pare-feu.
WWW (HTTP)
Le protocole HTTP est utilisé par Apache (et d’autres serveurs Web) pour servir des pages Web. Si vous prévoyez de rendre votre serveur Web accessible au public, activez cette option.
Cette option n’est pas requise pour l’affichage local de pages ou pour le développement de pages Web. Vous devez installer le paquetagehttpdsi vous voulez servir des pages Web.
Le fait d’activerWWW (HTTP)n’ouvrira pas de port pour HTTPS, la version SSL de HTTP.
FTP
Le protocole FTP est utilisé pour transférer des fichiers entre ordinateurs sur un réseau. Si vous prévoyez de rendre votre serveur FTP accessible au public, activez cette option. Pour que cette option soit utile, vous devez installer le paquetagevsftpd.
SSH
Secure Shell (SSH) est un ensemble d’outils vous permettant de vous connecter sur un ordina-teur à distance et d’y exécuter des commandes. Si vous souhaitez autoriser l’accès à distance en utilisant ssh à votre machine, activez cette option. Le paquetageopenssh-serverdoit être installé si vous voulez accéder à votre machine à distance, à l’aide des outils SSH.
Telnet
Telnet est un protocole permettant de se connecter à des ordinateurs à distance. Les commu-nications Telnet ne sont pas cryptées et ne sont donc pas sécurisées. Nous vous déconseillons d’autoriser l’accès Telnet entrant. Si vous souhaitez toutefois autoriser l’accès Telnet entrant, vous allez devoir installer le paquetagetelnet-server.
Chapitre 20. Configuration de base du pare-feu 155
Courrier (SMTP)
Si vous voulez autoriser la livraison de messages entrants à travers votre pare-feu, de façon à ce que les hôtes distants puissent se connecter directement à votre machine pour livrer des messages, activez cette option. Vous n’avez pas besoin d’activer cette option si vous récupérez vos messages du serveur de votre ISP par POP3 ou IMAP, ou si vous utilisez un outil tel quefetchmail. Remarque : un serveur SMTP configuré de façon incorrecte peut autoriser les ordinateurs à distance à utiliser votre serveur pour envoyer du spam (ou pourriel).
Cliquez surValiderpour enregistrer les modifications et activer ou désactiver le pare-feu. Si vous avez sélectionnéActiver le pare-feu, les options sélectionnées sont converties en commandesiptableset sont écrites dans le fichier/etc/sysconfig/iptables. Le serviceiptablesest également lancé afin que le pare-feu soit activé immédiatement après l’enregistrement des options sélectionnées. Si vous avez sélectionnéDésactiver le pare-feu, le fichier/etc/sysconfig/iptablesest supprimé et le serviceiptablesest immédiatement arrêté.
Les options sélectionnées sont enregistrées dans le fichier /etc/sysconfig/redhat-config-securitylevelafin que le paramétrage puisse être utilisé lors de tout démarrage ultérieur. Ne mo-difiez pas ce fichier manuellement.
Bien que le pare-feu soit immédiatement activé, le serviceiptablesn’est pas configuré de façon à ce qu’il soit lancé automatiquement au démarrage. Reportez-vous à la Section 20.2 pour de plus amples informations.
20.2. Activation du service
iptablesLes règles de pare-feu ne seront actives que si le serviceiptablesest en cours d’exécution. Pour lancer manuellement le service, utilisez la commande :
/sbin/service iptables restart
Pour vous assurer qu’il sera lancé au démarrage du système, tapez la commande : /sbin/chkconfig --level 345 iptables on
Le serviceipchainsn’est pas inclus dans Red Hat Enterprise Linux. Toutefois, si il est installé (par exemple, une mise à niveau a été effectuée et le système avait déjàipchainsinstallé), ce service ne devrait pas être activé parallèlement au serviceiptables. Pour vous assurer que le service ip-chainsest bien désactivé et configuré de façon à ne pas être lancé au démarrage, exécutez les deux commandes suivantes :
/sbin/service ipchains stop
/sbin/chkconfig --level 345 ipchains off
Pour activer ou désactiver les servicesiptablesetipchains, vous pouvez utiliser l’Outil de confi-guration des services.
156 Chapitre 20. Configuration de base du pare-feu