在Oxidized项目中隐藏Cisco设备SFTP路径中的敏感信息

背景介绍

Oxidized是一个流行的网络设备配置备份工具，支持多种设备类型。在使用过程中，某些设备的配置文件中可能包含敏感信息，如SFTP路径中的用户名和密码。为了保护这些敏感数据，我们需要对配置文件进行适当的过滤处理。

问题分析

在Cisco IOS设备的配置中，SFTP备份路径可能包含明文密码，例如：

path sftp://user:password@ip//upload/Catalyst-archive/C9k-IX-MSK-AG-SW/$h$t

虽然Oxidized的ios.rb模型文件已经提供了一些敏感信息过滤功能，但默认可能不包含对SFTP路径的特定处理。

解决方案

修改模型文件

我们需要编辑ios.rb模型文件，添加对SFTP路径的过滤规则。以下是具体实现方法：

1. 打开模型文件（通常位于/lib/oxidized/model/ios.rb）
2. 在cmd :secret部分添加新的正则表达式替换规则

cmd :secret do |cfg|
  cfg.gsub! /(path sftp:\/\/).*/, '\\1 <Path: removed>'
  # 其他现有的替换规则...
end

正则表达式说明

这个正则表达式的工作原理是：

• (path sftp:\/\/)：匹配"path sftp://"并捕获为第一组
• .*：匹配后面的所有字符（即用户名、密码和路径信息）
• 替换为\\1 <Path: removed>：保留第一组匹配内容，后面替换为"<Path: removed>"

测试验证

在实施修改前，建议先在Ruby的交互式环境(irb)中测试正则表达式：

cfg = "path sftp://user:password@ip//upload/Catalyst-archive/C9k-IX-MSK-AG-SW/$h$t"
cfg.gsub! /(path sftp:\/\/).*/, '\\1 <Path: removed>'
# 输出结果应为："path sftp:// <Path: removed>"

实施步骤

1. 修改ios.rb文件，添加上述替换规则
2. 重启Oxidized服务使更改生效
3. 对于Docker部署的环境，需要重新构建容器镜像或确保修改后的文件被正确挂载

注意事项

1. 确保正则表达式足够精确，避免误匹配其他配置内容
2. 修改后应全面测试，确认不影响其他配置内容的采集
3. 对于不同格式的SFTP路径，可能需要调整正则表达式
4. 在团队协作环境中，应记录这类定制化修改

通过以上方法，可以有效隐藏Cisco设备配置中的SFTP路径敏感信息，提高系统安全性。这种模式也可以应用于其他需要隐藏敏感信息的场景，只需调整相应的正则表达式即可。