我想保留几个我的主机mercurial的configuration,并支持,比方说,bitbucket。
比方说,我已经采取了一些预防措施 – 调整SSH只接受密钥,调整帕姆哈希密码更多次,当然,保持/ etc /阴影回购。
是否有任何让每个人都知道我的主机configuration的实际缺点?
是的,你正在不必要地暴露自己。 这个问题被称为谷歌黑客 。 攻击系统的主要成本之一是识别易受攻击系统所需的时间。 基本上,通过发布你的整个configuration,你可以让人们检查你是否容易受到攻击,而不消耗任何资源,使自己成为一个容易的目标。
即使你现在不是脆弱的,但假设有人发现了一个新的漏洞…然后,他们可以简单地使用Google来识别你的服务器作为潜在的目标和攻击,然后再有时间做出回应。
是的,因为您正在以一种没有任何实际目的的方式引起对您的网站的关注。 除非您特别分享其他人可能认为有用的configuration,否则唯一可能的结果是将您的网站的可见性提高到破解者和漫游器(无论您的configuration本身是否有问题)。
当然,正如pehrs所指出的那样,如果你的configuration有一个确定的漏洞,你就会把它暴露给自动攻击。 虽然“朦胧安全”通常被嘲笑,有时被滥用,但它是整体安全性的一个组成部分(如窗帘)。 而encryption它可能抵消这种危险,最好避免它完全。
一般来说,你不应该暴露任何没有特定目的的系统信息。