我是新来的,所以如果我问一些愚蠢的问题,请原谅我。
我在 CentOS 8 上创建了一个 DO droplet。安装 firewalld 后,我检查了它的状态并给出了警告。
4 月 24 日 05:56:31 centos-s-1vcpu-1gb-blr1-01 firewalld[2956]:警告:AllowZoneDrifting 已启用。这被认为是不安全的配置选项。它将在未来的版本中删除。
我有一些Linux的基本知识,但我对firewalld一无所知。如果有人可以向我解释是什么AllowZoneDrifiting,那就太好了。
谢谢!
不,这是个好问题。您可以在 中禁用它/etc/firewalld/firewalld.conf。在此conf中搜索AllowZoneDrifting并将yes更改为no。
从手册:
旧版本的 firewalld 具有称为“区域漂移”的未记录行为。这允许数据包进入多个区域 - 这违反了基于区域的防火墙。然而,一些用户依靠这种行为来拥有一个“包罗万象”的区域,例如默认区域。如果您希望这样的行为,您可以启用此功能。出于安全原因,它默认禁用。
注意:如果“是”数据包只会从基于源的区域漂移到基于接口的区域(包括默认区域)。数据包永远不会从基于接口的区域漂移到其他基于接口的区域(包括默认区域)。
可能的值;“是”、“不是”。默认为“是”。
firewalld 维护者发言。
在 firewalld 和其他基于区域的防火墙中,一个数据包应该进入一个且只有一个区域。区域漂移违反了该原则。
AllowZoneDrifting 如果可能,应禁用(如日志所示)。Upstream firewalld 默认为no,但一些 Linux 发行版会覆盖它yes以保留现有行为。一些用户依赖“失败”行为,即使其正确性值得怀疑。
有关更多信息和修复区域漂移的动机的错误列表,请参阅上游博客。