Estrutura de verificação de integridade do arquivo de configuração / Software / Conceito

Navegue suas respostas
4

Estou procurando por algo (seja um Framework, um Software ou mesmo apenas uma Melhor Prática) para o seguinte requisito:

Eu quero fornecer um tipo de lista negra de valores de configuração (em vários formatos de arquivo de configuração) que não devem ser definidos / alterados.

O sistema é um dispositivo Linux (CentOS), que abriga apenas um aplicativo, as alterações de configuração devem ser raras.

Eu quero verificar vários arquivos de configuração para sanidade. Variando do apache sobre ifcfg-eth * etc.

Existe uma solução que já fornece um mecanismo semelhante para um conjunto de arquivos de configuração 'padrão'?

Um Exemplo: Eu quero impedir que os usuários danifiquem acidentalmente o KeepAlive no Apache, mas eles devem ser capazes de alterar outras coisas na configuração. Eu quero evitar "erros comuns".

    
por Frederick Roth 27.06.2012 / 12:10

2 respostas

3

Eu fiz algo semelhante a isso com o Puppet (doloroso) usando a solução documentada em: Definir parâmetros sysctl.conf com o Puppet

Foi um pouco trabalhoso obter uma função básica. Na sua situação, qual é a proporção de parâmetros que você deseja colocar na lista negra daqueles que não se importam de serem modificados? Isso impactaria a abordagem para resolver isso. Muitos engenheiros que eu conheço preferem mover arquivos de configuração inteiros versus usar modelos ou modificar valores.

O CFEngine tinha um parâmetro de modificação de sequência que garantiria que certas linhas estivessem presentes em um arquivo e as adicionaria se não estivessem. O mesmo para comentários ...

    
por 27.06.2012 / 21:57
0

Seus casos de uso são os principais objetivos das ferramentas de gerenciamento de configuração, como o Puppet , Chef , CFEngine, bcfg2 e outros .

Suponha que você deseje impedir alterações em ifcfg-eth0 . Você configuraria essas ferramentas para rastrear esse arquivo.

Quando o agente de ferramentas é ativado em intervalos regulares, ele pode informar que uma alteração ocorreu ou reverter o arquivo ao estado original.

    
por 27.06.2012 / 21:35

Tags

Como bloquear um processo na RAM (torná-lo insubstituível) SSL23_GET_SERVER_HELLO: reason (1112) issue curl 7.25.0