Контроль изменений брандмауэра
Короче говоря, это похоже нет
OpenSSH servconf.c выводит файл в буфер, не проверяя на такие вещи (все, что это, кажется, делает, ищут # отметить комментарий):
while (fgets(line, sizeof(line), f)) {
if ((cp = strchr(line, '#')) != NULL)
memcpy(cp, "\n", 2);
cp = line + strspn(line, " \t\r");
buffer_append(conf, cp, strlen(cp));
}
Функция, которая анализирует конфигурацию затем, разделяет буфер на новых строках и обрабатывает каждую строку:
while ((cp = strsep(&cbuf, "\n")) != NULL) {
if (process_server_config_line(options, cp, filename,
linenum++, &active, user, host, address) != 0)
bad_options++;
}
Вы могли использовать высокоуровневое программное обеспечение, которое генерирует правила iptables, как shorewall. Это имеет команду 'shorewall проверка', которая проверяет непротиворечивость и ошибки в Ваших правилах.
-
1Теперь, когда действительно выглядит интересным! Я буду давать этому хорошее чтение.Спасибо! – Geoff Childs 25.08.2010, 20:17
Я не думаю, что контроль изменений для брандмауэров очень отличается, чем для чего-либо еще, таким образом, стандартное управление исходным кодом работало бы. Используйте мерзавца или svn и автоматизируйте checkins в Вашем сценарии.
-
1Это - то, что я изобразил. В данный момент сценарий, который мы используем, передает изменения в мерзавце, загружает правила брандмауэра на указанный сервер брандмауэра и работает в изменениях, таким образом, это все довольно устойчиво. Просто кажется, что это могло быть лучше? – Geoff Childs 25.08.2010, 15:34
Стандартные инструменты управления исходным кодом, вероятно, отлично достаточны для этого. Одна вещь, которую Вы могли бы также рассмотреть, автоматизируете ли Вы это, добавляет, что проверки достоверности (как 'shorewall проверка' упомянутый Luc) к Вашей регистрации сцепляются для обеспечения уровня защиты против развертывания плохой конфигурации.