我已经有了一个运行Ubuntu的小VPS(在可预见的将来),只能托pipe我自己的静态网站。 从外部访问的唯一的服务将是SSH(只允许公共密钥authentication)和HTTP(可能是nginx)。
我正在通过Puppetpipe理服务器的configuration,并希望通过GitHub将此configuration作为例子分享给任何感兴趣的人。 Puppetconfiguration不包含任何密码或类似的敏感信息。 然而它包括例如防火墙configuration(这是非常基本的),可以使用sudo的用户的用户名,安装了哪些软件包等等。
我知道,入侵者对系统的了解越less越好。 但是实际上,通过发布configuration,我会付出多大的代价呢?
发布configuration可以帮助攻击者一点 – 因为它减less了他们通常在扫描/信息收集上花费的时间,但是如果你是一个目标,那么他们将会执行这些任务。 有目录或服务器名称,表明他们的function也加快了攻击(例如FinanceServer01),所以你最好有一个命名约定,不会放弃像这样的免费信息。
实际上,如果让你的生活更轻松地发布configuration,那就这样做,但是删除不必要的信息(密码,证书,密钥,主机名) – 集中你的安全工作,而不是确保你的补丁是最新的,你的configuration可以防止攻击,并监视您的最敏感的数据(如果适用)入侵。
我不认为有这么多的曝光。
只要确保您的configuration已经过清理,并且没有密码或其他系统识别信息(IP地址,主机名等)