在 RouterOS/Cisco 下有一个叫做“安全模式”的功能。当有人按下 CTRL+X 时,终端进入“安全模式”,这意味着如果终端以“糟糕的方式”存在,例如:用户使用错误的防火墙策略等将自己锁定,那么配置将恢复为安全模式启动前的点。如果安全模式下的终端存在就好了,比如:用户发出“exit”命令,那么所有的配置修改都将是永久的。
在任何 Linux 下,是否有像这种“安全模式”这样的强大功能?
关于“使用错误的防火墙策略锁定”,我通常会设置一个 5 分钟的 cronjob,其中包含一个重置 iptables 配置的脚本:
#!/bin/sh
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
这样我就可以远程测试 iptables 配置,而不必担心被锁定。
实际上,在修改现有配置时,您可以配置 cronjob 以使用默认的已知工作配置执行 iptables-restore。
当您确定conf可以工作时,只需删除cronjob(或将其注释掉以供将来使用)。
我很确定您可以为其他所有服务提出解决方案。例如,您可以创建一个脚本来恢复 sshd 配置,设置一个 cronjob 在10 分钟内恢复它,修改正在运行的配置,如果它不起作用(并被踢出),只需等待作业恢复您的旧配置工作配置。