Oxidized项目中SonicOS设备密码过滤问题的分析与解决

问题背景

在Oxidized网络配置备份系统中，SonicOS设备模型在处理密码字段时遇到了一个特殊问题。SonicOS防火墙设备在每次配置导出时都会自动重新随机化密码字段，这导致Oxidized系统在每次轮询设备时都会检测到配置变更，即使实际配置并未修改。

问题现象

当使用Oxidized的sonicos模型对SonicOS设备进行配置备份时，系统无法正确过滤掉这些随机变化的密码字段。具体表现为：

1. 每次轮询设备都会检测到配置变更
2. 变更内容全部集中在密码/PSK字段
3. 虽然sonicos.rb模型文件中包含密码过滤逻辑，但实际并未生效
4. 配置文件中仍然显示完整的加密密码字符串而非预期的"secret hidden"占位符

技术分析

通过深入分析sonicos.rb模型文件，发现以下关键点：

1. 模型文件中确实包含针对密码字段的正则表达式过滤逻辑（第20-34行）
2. 这些正则表达式设计用于匹配SonicOS特有的密码格式（如"6,"开头的加密字符串）
3. 初步检查发现正则表达式中存在捕获组使用不当的问题（使用\2而非\1）
4. 但进一步测试表明，捕获组问题并非根本原因

根本原因

经过更深入的排查，发现问题实际上出在Oxidized的配置上。要使密码过滤功能生效，必须在Oxidized的配置文件中显式启用"remove_secret"选项。这是一个容易被忽视但至关重要的配置项。

解决方案

要解决这个问题，需要采取以下步骤：

1. 编辑Oxidized的主配置文件（通常是~/.config/oxidized/config）
2. 在对应设备或全局配置中添加或确认以下设置：

   remove_secret: true
   

3. 重启Oxidized服务使配置生效

最佳实践建议

针对类似设备密码处理问题，建议网络管理员：

1. 仔细阅读Oxidized官方文档中关于密码过滤的说明
2. 对新设备模型进行充分测试，验证密码过滤效果
3. 定期检查配置备份的差异，确保敏感信息得到适当保护
4. 考虑为不同设备类型创建专门的测试用例

总结

Oxidized作为网络配置备份工具，其密码过滤功能需要正确配置才能发挥作用。对于SonicOS这类特殊设备，除了模型文件中的正则表达式外，还必须注意全局配置选项的设置。这个问题提醒我们，在使用任何网络自动化工具时，都应该全面理解其安全特性并正确配置相关参数。