Red Hat Linux 9: Guide d'installation de x86 Red Hat Linux | ||
---|---|---|
Précédent | Chapitre 3. Installation de Red Hat Linux | Suivant |
Red Hat Linux vous offre aussi une protection pare-feu pour une sécurité accrue de votre système. Le pare-feu se situe entre votre ordinateur et le réseau; il définit les ressources de votre ordinateur qui sont accessibles aux utilisateurs distants du réseau. Un pare-feu configuré de façon appropriée peut augmenter considérablement la sécurité de votre système.
Choisissez le niveau de sécurité adapté à votre système.
En choisissant Élevé, votre système n'acceptera pas les connexions (autres que les paramètres par défaut) que vous n'avez pas explicitement définies. Par défaut, seules les connexions suivantes sont autorisées:
Réponses DNS
DHCP — toutes les interfaces réseau qui utilisent DHCP peuvent ainsi être correctement configurées.
Si vous utilisez Élevé, votre pare-feu n'autorisera pas ce qui suit:
Mode FTP actif (le mode FTP passif, utilisé par défaut dans la plupart des clients, devrait fonctionner correctement)
Transfert des fichiers DCC IRC
RealAudioTM
Clients distants du système X Window
Si vous connectez votre système à l'Internet, mais n'envisagez pas de l'utiliser comme serveur, vous disposerez de l'option la plus sûre. Si d'autres services sont nécessaires, choisissez Personnaliser afin d'autoriser des services spécifiques à traverser le pare-feu.
![]() | Remarque |
---|---|
Si, durant l'installation, vous configurez un niveau de pare-feu moyen ou élevé, les méthodes d'authentification réseau (NIS et LDAP) ne fonctionneront pas. |
Si vous choisissez Moyen, votre pare-feu n'autorisera pas les ordinateurs distants à accéder à certaines ressources de votre système. Par défaut, l'accès aux ressources suivantes n'est pas autorisé:
Ports inférieurs à 1023 — ce sont les ports standard réservés, utilisés par la plupart des services système, comme par exemple FTP, SSH, telnet, HTTP et NIS;
Port du serveur NFS (2049) — NFS est désactivé pour les serveurs distants ainsi que pour les clients locaux;
Affichage du système X Window local pour les clients X distants;
Port du serveur X Font (par défaut, xfs n'écoute pas sur le réseau, il est désactivé dans le serveur de polices).
Si vous voulez autoriser des ressources telles que RealAudioTM tout en bloquant l'accès aux services système normaux, choisissez Moyen. Pour autoriser des services spécifiques à travers le pare-feu, choisissez Personnaliser.
![]() | Remarque |
---|---|
Si, durant l'installation, vous configurez un niveau de pare-feu moyen ou élevé, les méthodes d'authentification réseau (NIS et LDAP) ne fonctionneront pas. |
Cette option permet un accès complet au système et n'effectue aucun contrôle de sécurité. Le contrôle de sécurité correspond à la désactivation de l'accès à certains services. Il est recommandé de sélectionner cette option uniquement si vous êtes dans un réseau sécurisé (pas sur Internet) ou si vous envisagez de configurer plus tard de façon plus détaillée le pare-feu.
Choisissez Personnaliser pour ajouter des périphériques sécurisés ou pour autoriser d'autres services d'entrée.
La sélection de l'un des périphériques sécurisés permet d'autoriser l'accès à votre système pour tout le trafic en provenance de ce périphérique; il est exclu des règles de pare-feu. Par exemple, si vous vous trouvez sur un réseau local et êtes connecté à Internet via une connexion PPP, vous pouvez cocher eth0; tout le trafic provenant de votre réseau local sera alors autorisé. Si vous sélectionnez eth0 en tant que périphérique sécurisé, tout le trafic sur la carte Ethernet sera autorisé, mais l'interface ppp0 sera toujours protégée par le pare-feu. Si vous voulez limiter le trafic sur une interface, ne la sélectionnez pas.
Il est déconseillé de considérer les périphériques connectés à des réseaux publics, tels que l'Internet, comme étant sécurisés.
Cette option permet de laisser passer des services spécifiés à travers le pare-feu. Remarque: dans le cas d'une installation de type station de travail, la plupart de ces services ne sont pas installés sur le système.
Si vous autorisez les demandes ainsi les réponses DHCP entrantes, vous permettez à toute interface de réseau qui utilise le DHCP de définir son adresse IP. DHCP est normalement activé. Dans le cas contraire, votre ordinateur ne pourra plus obtenir d'adresse IP.
Secure SHell (SSH) est une série d'outils permettant de se connecter à des ordinateurs distants et d'y exécuter des commandes. Activez cette option si vous envisagez d'utiliser les outils SSH pour accéder à votre ordinateur via un pare-feu. Pour pouvoir vous connecter à distance à un ordinateur via les outils SSH, installez le paquetage openssh-server.
Telnet est un protocole qui permet de se connecter à des ordinateurs distants. Les communications Telnet ne sont pas cryptées et ne fournissent aucune protection contre les attaques du réseau. Il n'est pas recommandé d'autoriser l'accès Telnet en entrée. Si vous souhaitez toutefois le faire, installez le paquetage telnet-server.
Le protocole HTTP est utilisé par Apache (ainsi que par d'autres serveurs Web) pour la gestion des pages Web. Activez cette option si vous envisagez de rendre votre serveur Web public. Elle n'est pas nécessaire pour afficher les pages localement ou pour créer des pages Web. Si vous souhaitez gérer les pages Web, installez le paquetage httpd.
L'activation de WWW (HTTP) n'ouvre pas de port pour HTTPS. Pour activer HTTPS, spécifiez-le dans le champ Autres ports.
Activez cette option si vous voulez autoriser le courrier entrant à travers votre pare-feu, afin que les hôtes distants puissent directement se connecter à votre ordinateur pour livrer le courrier. Elle n'est pas nécessaire si vous récupérez votre courrier de votre serveur ISP à l'aide de POP3 ou d'IMAP, ou bien si vous utilisez un outil tel que fetchmail. Veuillez noter que si votre serveur SMTP est mal configuré, des ordinateurs distants pourront se servir de votre serveur pour envoyer du courrier indésirable.
Le protocole FTP est utilisé pour transférer des fichiers entre ordinateurs sur un réseau. Activez cette option si vous envisagez de rendre votre serveur FTP public. Pour qu'elle soit utile, vous devez installer le paquetage vsftpd.
Vous pouvez autoriser l'accès à d'autres ports ne figurant pas dans la liste en les répertoriant dans le champ Autres ports. Utilisez le format suivant: port:protocol. Par exemple, si vous voulez autoriser l'accès IMAP à travers votre pare-feu, vous pouvez spécifier imap:tcp. Vous pouvez aussi spécifier des ports numériques de façon explicite; pour autoriser les paquets UDP sur le port 1234 à travers le pare-feu, entrez 1234:udp. Pour spécifier plusieurs ports, séparez ces derniers par des virgules.
![]() | Astuce |
---|---|
Pour modifier la configuration de votre niveau de sécurité une fois l'installation terminée, utilisez l'Outil de configuration du niveau de sécurité. Tapez la commande redhat-config-securitylevel à l'invite du shell afin de lancer l'Outil de configuration du niveau de sécurité. Si vous n'êtes pas connecté en tant que super-utilisateur (ou root), le programme vous demandera le mot de passe root pour continuer. |
Précédent | Sommaire | Suivant |
Configuration du réseau | Niveau supérieur | Choix de la prise en charge de langues |