Tout comme un pare-feu évite qu'un incendie ne se propage dans un bâtiment, un pare-feu d'ordinateur empêche que les virus ne se diffusent à l'intérieur du système et évite que des utilisateurs non-autorisés n'accèdent à votre ordinateur. Un pare-feu se trouve entre l'ordinateur et le réseau. Il détermine les services de votre ordinateur auxquels les utilisateurs à distance sur le réseau peuvent accéder. Un pare-feu correctement configuré peut augmenter sensiblement la sécurité de votre système. Nous vous conseillons vivement de configurer un pare-feu pour tous les systèmes Red Hat Enterprise Linux connectés à l'internet.
Dans l'écran Configuration du pare-feu de l'installation de Red Hat Enterprise Linux, vous avez pu activer un pare-feu de base ainsi qu'autoriser des périphériques, des services entrants et des ports spécifiques.
Après l'installation, vous pouvez modifier ces préférences en utilisant l'Outil de configuration du niveau de sécurité.
Pour démarrer l'application, sélectionnez le bouton Menu principal (dans le tableau de bord) => Outils de système => Niveau de sécurité ou tapez la commande redhat-config-securitylevel à une invite du shell (dans un terminal XTerm ou GNOME, par exemple).
![]() | Remarque |
---|---|
L'Outil de configuration du niveau de sécurité ne configure qu'un simple pare-feu. Si le système doit autoriser ou refuser l'accès à des ports spécifiques ou si le système a besoin de règles plus complexes, reportez-vous au Guide de référence de Red Hat Enterprise Linux pour obtenir de plus amples informations sur la configuration de règles iptables spécifiques. |
Sélectionnez l'une des options suivantes :
Désactiver le pare-feu — Cette option permet un accès complet à votre système, sans vérification de sécurité. La vérification de sécurité est la désactivation de l'accès à certains services. Ne sélectionnez cette option que si vous utilisez un réseau sécurisé (pas l'internet) ou si vous prévoyez de réaliser une configuration de pare-feu plus avancée par la suite.
![]() | Avertissement |
---|---|
Si vous avez un pare-feu déjà configuré ou toute règle de pare-feu dans le fichier /etc/sysconfig/iptables, ce fichier sera effacé lorsque vous sélectionnez Désactiver le pare-feu et enregistrez vos modifications en cliquant sur Valider. |
Activer le pare-feu — Cette option configure le système de façon à rejeter les connexions entrantes qui ne sont pas les réponses de requêtes sortantes, comme les réponses DNS ou les requêtes DHCP. Si l'accès aux services exécutés sur cette machine est nécessaire, vous pouvez autoriser des services donnés à traverser le pare-feu.
Si vous connectez votre système à l'internet, mais ne prévoyez pas d'exécuter un serveur, il s'agit de l'option la plus sûre.
Si vous sélectionnez des Périphériques sûrs, tout le trafic à partir de ces périphériques aura accès à votre système et ces périphériques sont exclus des règles de pare-feu. Par exemple, si vous exécutez un réseau local, mais que vous êtes connecté à l'internet par le biais d'une connexion commutée PPP, vous pouvez cocher eth0 et tout le trafic provenant de votre réseau local sera autorisé. Si vous sélectionnez eth0 comme périphérique sécurisé, cela signifie que tout le trafic sur l'Ethernet est autorisé, mais que l'interface ppp0 est toujours protégée par le pare-feu. Si vous souhaitez restreindre le trafic sur une interface, ne la cochez pas.
Nous vous déconseillons de configurer comme Périphériques sûrs, des périphériques connectés à des réseaux publics, comme l'internet.
Le fait d'activer des options de la liste Services sûrs permet aux services spécifiés de traverser le pare-feu.
Le protocole HTTP est utilisé par Apache (et d'autres serveurs Web) pour servir des pages Web. Si vous prévoyez de rendre votre serveur Web accessible au public, activez cette option. Cette option n'est pas requise pour l'affichage local de pages ou pour le développement de pages Web. Vous devez installer le paquetage httpd si vous voulez servir des pages Web.
Le fait d'activer WWW (HTTP) n'ouvrira pas de port pour HTTPS, la version SSL de HTTP.
Le protocole FTP est utilisé pour transférer des fichiers entre ordinateurs sur un réseau. Si vous prévoyez de rendre votre serveur FTP accessible au public, activez cette option. Pour que cette option soit utile, vous devez installer le paquetage vsftpd.
Secure Shell (SSH) est un ensemble d'outils vous permettant de vous connecter sur un ordinateur à distance et d'y exécuter des commandes. Si vous souhaitez autoriser l'accès à distance en utilisant ssh à votre machine, activez cette option. Le paquetage openssh-server doit être installé si vous voulez accéder à votre machine à distance, à l'aide des outils SSH.
Telnet est un protocole permettant de se connecter à des ordinateurs à distance. Les communications Telnet ne sont pas cryptées et ne sont donc pas sécurisées. Nous vous déconseillons d'autoriser l'accès Telnet entrant. Si vous souhaitez toutefois autoriser l'accès Telnet entrant, vous allez devoir installer le paquetage telnet-server.
Si vous voulez autoriser la livraison de messages entrants à travers votre pare-feu, de façon à ce que les hôtes distants puissent se connecter directement à votre machine pour livrer des messages, activez cette option. Vous n'avez pas besoin d'activer cette option si vous récupérez vos messages du serveur de votre ISP par POP3 ou IMAP, ou si vous utilisez un outil tel que fetchmail. Remarque : un serveur SMTP configuré de façon incorrecte peut autoriser les ordinateurs à distance à utiliser votre serveur pour envoyer du spam (ou pourriel).
Cliquez sur Valider pour enregistrer les modifications et activer ou désactiver le pare-feu. Si vous avez sélectionné Activer le pare-feu, les options sélectionnées sont converties en commandes iptables et sont écrites dans le fichier /etc/sysconfig/iptables. Le service iptables est également lancé afin que le pare-feu soit activé immédiatement après l'enregistrement des options sélectionnées. Si vous avez sélectionné Désactiver le pare-feu, le fichier /etc/sysconfig/iptables est supprimé et le service iptables est immédiatement arrêté.
Les options sélectionnées sont enregistrées dans le fichier /etc/sysconfig/redhat-config-securitylevel afin que le paramétrage puisse être utilisé lors de tout démarrage ultérieur de l'application. Ne modifiez pas ce fichier manuellement.
Bien que le pare-feu soit immédiatement activé, le service iptables n'est pas configuré de façon à ce qu'il soit lancé automatiquement au démarrage. Reportez-vous à la Section 20.2 pour de plus amples informations.
Précédent | Sommaire | Suivant |
Enregistrement et restauration de la configuration réseau | Niveau supérieur | Activation du service iptables |