Oxidized项目中FortiOS配置备份的加密字段处理方案

在Oxidized项目使用过程中，FortiOS设备的配置备份存在一个常见问题：每次下载配置时，系统会自动重新生成加密字段的哈希值。这种现象会导致配置文件中特定字段频繁变化，给版本比对和变更追踪带来困扰。

问题现象分析

FortiOS设备在生成配置备份时，会对以下关键安全字段进行动态加密处理：

• 密码字段（password）
• 密钥短语（passphrase）
• 主密钥（key）
• 辅助密钥（secondary-key）
• 服务器密钥（server-key）

这些字段的ENC加密值会在每次配置导出时重新生成，即使实际配置内容并未修改。从技术角度看，这是FortiOS的安全机制设计，通过定期更新加密种子来增强安全性。

解决方案实现

Oxidized项目提供了两种处理方案：

1. 启用remove_secret参数

在Oxidized配置文件中添加以下设置：

models:
  fortios:
    vars:
      remove_secret: true

此配置会主动过滤掉所有加密字段，从根本上避免因加密值变化导致的配置变更误报。但需要注意：

• 过滤后的配置将不包含任何密码/密钥信息
• 适用于不需要保留敏感信息的备份场景

2. 高级比对策略（开发中）

对于需要保留加密字段的场景，可考虑开发智能比对功能：

• 在存储前比对配置变更内容
• 忽略特定模式的行变更（如/^set password .*$/）
• 仅当非加密字段变化时才存储新配置

技术建议

1. 生产环境推荐采用remove_secret方案，既符合安全规范又保持配置稳定性
2. 若必须保留加密字段，建议配合git等版本控制系统使用，通过配置比较工具识别有效变更
3. 注意FortiOS不同版本可能存在加密机制差异，建议测试验证后再部署到生产环境

该问题的本质是安全需求与配置管理需求的平衡，Oxidized提供的解决方案充分考虑了不同场景下的使用需求。