我是新来的,所以如果我问了一些愚蠢的问题,请原谅我。
我已经在CentOS 8上创建了一个DO液滴。安装firewalld后,我检查了它的状态,它会发出警告。
Apr 24 05:56:31 centos-s-1vcpu-1gb-blr1-01 firewalld[2956]:警告:AllowZoneRifting已启用。这被认为是一个不安全的配置选项。它将在将来的版本中删除。
我对Linux有一些基本知识,但对firewalld一无所知。如果有人能向我解释AllowZoneDrifiting是什么,那就太好了。
谢谢!
否。这是个好问题。您可以在/etc/firewalld/firewalld.conf中禁用它。在此conf中搜索AllowZoneDrifting,并将yes更改为no。
来自手册:
firewalld的旧版本具有被称为";区域漂移";。这允许数据包进入多个区域——这违反了基于区域的防火墙。然而,一些用户依赖于这种行为;"一网打尽";区域,例如默认区域。如果你想要这样的行为,你可以启用它。出于安全原因,默认情况下会禁用它。
注意:如果";是";数据包将仅从基于源的区域漂移到基于接口的区域(包括默认区域(。数据包从不从基于接口的区域漂移到其他基于接口的区(包括默认区(。
可能的值"是"否";。默认为";是的";。
firewalld维护人员发言。
在firewalld和其他基于区域的防火墙中,数据包应该只进入一个区域。区域漂移违反了这一原则。
如果可能,应禁用AllowZoneDrifting(如日志所示(。Upstream firewalld默认为no,但一些Linux发行版将其覆盖为yes以保留现有行为。一些用户依赖于";"跌倒";行为,即使其正确性值得怀疑。
请参阅上游博客,了解更多信息和修复区域漂移动机的错误列表。
仅供参考今天我进行了RHEL 8.6的干净安装,并在/etc/firewalld/firewalld.conf中注意到默认情况下AllowZoneRifting=yes。