|
|
|
CentOS5.7のインストール
|
CentOS5のインストールインストールの下準備インストーラの起動操作環境の設定Disk Druidの説明ディスクの設定ブートローダの設定ネットワークの設定タイムゾーンの選択rootパスワードを設定パッケージグループの選択1パッケージグループの選択2インストール準備完了パッケージのインストールおめでとうございますファイヤーウォールSELinuxKdump日付と時刻の設定ディスプレイの設定ユーザーの作成サウンドカード追加のCDとインストール完了 |
強固なセキュリティ環境は最後に現在構築中の ホスト機 に対する、外部からのアクセス制限を行う設定のステップです。 CentOS5 のファイヤーウォール機能は、通常の クライアント機 に提供されるファイヤーウォール機能と同じで、 パケット を ポート番号 によって選別し、ホスト機への通過、非通過を制御するものです。 CentOS5は WindowsOS などの普及度の高い クライアント 向け OS と違い、不正パケットに対しては非常に強固なOSといえるわけですが、それでも セキュリティホール が存在しないという訳ではありません。特に WAN 空間からのアクセスに対して何も対策をとらなければ、いかにCentOS5といえども不正侵入の餌食になりかねません。
ただ、現在構築しようとしているCentOS5による
公開サーバー
は、
LAN
空間に設置され、
ルーター
の
NAT
+
IPマスカレード
従ってこの場合、既にルーターで パケットフィルタリング が行われた状態で公開サーバー機にアクセスが行われますので、わざわざ公開サーバー機自身にファイヤーウォールを設置する必要はないでしょう。 
ルーターのポートフォワーディングを用いる場合のセキュリティ環境 またこの方法は、WAN空間からの パケットフィルタリングのすべてをルーターに任せているという形になるため、公開サーバーは同じ サブネット に設置されている別のホスト機からはパケット制限なしにアクセスできることになります。 従って、公開サーバー機を直接操作せず、サブネット内の別のクライアント用パソコンなどからリモート接続で操作する場合には、パケットフィルタリングのことを意識することなく作業できるというメリットがあります。 |
||||||||
|
|
一方で、CentOS5自身のファイヤーウォール機能でパケットフィルタリングを行う場合、ルーターでのポートフォワーディングによるパケット制御は 理屈としては 不要です。
つまりこの場合には、ルーターWAN側からのすべてのパケットを公開サーバー機に通す、いわゆる
DMZ
DMZ+ファイヤーウォールを用いる場合のセキュリティ環境 ただしこの場合には、公開サーバー機は同じサブネット内にあるホスト機に対してもパケットフィルタリングを行ってしまいますので、LAN内のパソコンからリモート接続で自由自在に操作する、というわけにはいかなくなります。 |
||||||||
|
CentOS5で
サーバー構築なら これがベストかな? ↓ |
もちろん、ルーターにポートフォワーディング設定を行い、なおかつ公開サーバー機にパケットフィルタリングをかけても、特に不都合はありません。 それは例えば一つのドアに二つの鍵を取り付けるのと同じことで、万が一どちらかの設定に誤りがあったり、正常に機能しなかったりした場合には有効なセキュリティ対策といえます。 ただしこの場合には、単純にルーターだけにポートフォワーディング、あるいは公開サーバー機にだけファイヤーウォール、というセキュリティ環境に比べると、その分設定の手間は増えます。 特に構築途上の公開サーバー機では、この部分の設定を何度も変更しなければならなくなりますから、その都度二種類の設定変更を行うのはとても面倒です。 従ってこのような「二重のセキュリティ対策」は、余分な手間をかけないためにも、公開サーバーとしての一通りの設定が終わった後に行うべきであって、この段階ではどちらか一方にしておくべきでしょう。
|
||||||||
ファイヤーウォールの無効化の設定以下に、 "ファイヤーウォール" の初期画面を示します。 |
|||||||||
それぞれの
Well-Knownポート
の番号については、
を参考にしてください。
|
デフォルト では、 (1) の ファイヤーウォール が 有効 になっていますので、もしも CentOS5 のファイヤーウォールを利用する場合は、ここは変更せずに外部の ホスト からのアクセスを許可するサービスを (2) の 信頼できるサービス の欄から選択することになります。 この欄で選択できるのは一部のサービスだけですが、それ以外のサービスを追加したい場合は (3) の その他のポート の欄に ポート番号 で記述します。 |
||||||||
|
|
ただしこのパートの冒頭で説明したとおり、この段階ではファイヤーウォールの設定は行わないことにしますので、 (1) で 無効 を選択します。 設定が終わったら、 進む(F) を左クリックしてください。 (1) で 無効 を選択している場合は以下のような ダイアログ が表示されます。 納得ずくの設定ですから、これはもちろん無視してかまいません。 はい(Y) を左クリックして次の SELinux" のステップへ進んでください。
|
|
|
おめでとうございます
<<Previous
|
Next>>
SELinux
|
| このサイトは既に更新を終了していますが、今のところ店じまいの予定はありません。 リンクフリー ですので、趣味や勉強のためでしたら、引用、転用、コピー、朗読、その他OKです。このサイトへのリンクについては こちら をご覧ください。 |
|
| ”Linux”は、Linus Torvalds 氏の各国における登録商標です。”Red Hat”及びRed Hatのロゴおよび Red Hat をベースとしたすべての商標とロゴは、各国におけるRed Hat, Inc. 社の商標または登録商標です。その他のプログラム名、システム名、製品名などは各メーカー、ベンダの各国における登録商標又は商標です。 |
|