Firewalld的panic模式

原文地址：http://www.excelib.com/article/289/show

Firewalld有一種Panic模式，Panic的單詞含義爲「恐慌」、「驚慌」，在firewalld中他表示當發生緊急狀況（好比遭到攻擊）時啓用的一種「禁行模式」，啓用這種模式後全部的進包和出包都會被丟棄，和panic模式相關的有三個命令

1 [root@excelib.com ~]# firewall-cmd --panic-on
2 [root@excelib.com ~]# firewall-cmd --panic-off
3 [root@excelib.com ~]# firewall-cmd --query-panic

這三個命令很容易理解，第一個是啓用panic模式，也就是「禁行模式」，第二個是禁用panic模式，第三個是查詢是否已啓用panic模式。

當啓用了panic模式後全部的進包和出包都會被丟棄，不過若是對於原來已經創建的鏈接並不會立刻斷開，只是雙方不能進行通訊了而已，當達到設置的最長不活動（inactivity）週期後纔會斷開，而若是在斷開前將panic模式關閉的話鏈接就不會受影響。

由於啓用panic模式後會丟棄全部進包和出包，因此使用時要格外謹慎，另外，若是是使用的ssh鏈接的話，啓動panic模式後ssh的鏈接也會被斷開（準確來講是不可通訊了），這時更加須要注意。

多知道點
firewall-cmd的本質
你們如今應該對firewall-cmd命令已經比較熟悉的，可是他的本質究竟是什麼呢？學生在這裏給你們介紹一下。
firewall-cmd實際上是一個位於/usr/bin目錄下的Python腳本，你們若是想了解firewall-cmd命令的具體的細節並且又熟悉Python語言的話就能夠直接打開這個文件進行代碼閱讀。
另外，這個命令有一個對於安全來講很是重要可是又很不容易引發注意的問題，首先咱們來看一下這個腳本文件的屬性
1
2
[root@excelib.com~]# ll /usr/bin/firewall-cmd
-rwxr-xr-w. 1 root root 62012 Nov 20 20:35 /usr/bin/firewall-cmd
你們能夠看到這裏的權限是755，也就是說全部用戶均可以執行該命令，固然，這麼設計主要是爲了學生後面要給你們介紹的使用其餘程序經過D-BUS接口來操做firewalld有關，並且在前面給你們說過能夠經過whitelist來設置，不過只有將Lockdown配置爲yes後whitelist纔會生效，並且默認配置爲no，也就是說默認狀況下全部程序（用戶）均可以執行firewall-cmd命令，這固然是不安全的，若是你們不須要使用其餘程序對其進行操做的話能夠直接將其權限改成750，這樣更加安全
1
[root@excelib.com~]# chmod 750 /usr/bin/firewall-cmd

　　

參考文獻

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewalls.html