我们公司的网络使用带有 Apache 反向代理的 Sophos 防火墙,配置为允许 HTTPS 连接。
在我们意识到某些客户端无法通过 HTTPS 连接后,我们的内部网络部门告诉我们,Apache 反向代理的 OpenSSL 设置可能会根据我们的特定需求进行调整,但每次 Sophos 防火墙更新时这些设置可能会被覆盖。
有没有办法保护 OpenSSL 配置,以便 Sophos 更新无法更改它?
“奖励”问题:覆盖客户配置是商业防火墙产品的常见功能吗?;)
答案1
好吧,你可以让文件不可变:
$ sudo chattr +i /path/to/filename
为了解决这个问题,Sophos 安装程序必须在写入文件之前删除不可变标志,我非常怀疑他们是否会这样做。这可能但是,这会破坏他们的安装程序。您应该确保在配置管理系统中拥有 OpenSSL 配置的副本,以便在需要时可以重新部署它。