Firewalld的panic模式

原文地址：http://www.excelib.com/article/289/show

Firewalld有一种Panic模式，Panic的单词含义为“恐慌”、“惊慌”，在firewalld中他表示当发生紧急状况（好比遭到攻击）时启用的一种“禁行模式”，启用这种模式后全部的进包和出包都会被丢弃，和panic模式相关的有三个命令

1 [root@excelib.com ~]# firewall-cmd --panic-on
2 [root@excelib.com ~]# firewall-cmd --panic-off
3 [root@excelib.com ~]# firewall-cmd --query-panic

这三个命令很容易理解，第一个是启用panic模式，也就是“禁行模式”，第二个是禁用panic模式，第三个是查询是否已启用panic模式。

当启用了panic模式后全部的进包和出包都会被丢弃，不过若是对于原来已经创建的链接并不会立刻断开，只是双方不能进行通讯了而已，当达到设置的最长不活动（inactivity）周期后才会断开，而若是在断开前将panic模式关闭的话链接就不会受影响。

由于启用panic模式后会丢弃全部进包和出包，因此使用时要格外谨慎，另外，若是是使用的ssh链接的话，启动panic模式后ssh的链接也会被断开（准确来讲是不可通讯了），这时更加须要注意。

多知道点
firewall-cmd的本质
你们如今应该对firewall-cmd命令已经比较熟悉的，可是他的本质究竟是什么呢？学生在这里给你们介绍一下。
firewall-cmd实际上是一个位于/usr/bin目录下的Python脚本，你们若是想了解firewall-cmd命令的具体的细节并且又熟悉Python语言的话就能够直接打开这个文件进行代码阅读。
另外，这个命令有一个对于安全来讲很是重要可是又很不容易引发注意的问题，首先咱们来看一下这个脚本文件的属性
1
2
[root@excelib.com~]# ll /usr/bin/firewall-cmd
-rwxr-xr-w. 1 root root 62012 Nov 20 20:35 /usr/bin/firewall-cmd
你们能够看到这里的权限是755，也就是说全部用户均可以执行该命令，固然，这么设计主要是为了学生后面要给你们介绍的使用其余程序经过D-BUS接口来操做firewalld有关，并且在前面给你们说过能够经过whitelist来设置，不过只有将Lockdown配置为yes后whitelist才会生效，并且默认配置为no，也就是说默认状况下全部程序（用户）均可以执行firewall-cmd命令，这固然是不安全的，若是你们不须要使用其余程序对其进行操做的话能够直接将其权限改成750，这样更加安全
1
[root@excelib.com~]# chmod 750 /usr/bin/firewall-cmd

　　

参考文献

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewalls.html