将我的服务器配置放在 Github 上的具有全局只读访问权限的存储库中有哪些安全注意事项。我知道不包括 /etc/shadow 和其他密码文件。我想分享我的任何好主意并允许其他人做出贡献,但我不想为破解者铺开欢迎垫。
答案1
一般来说我不会发布我的服务器配置任何地方在我的组织之外(尽管在内部他们在 git 中)。
如果您想分享您的想法,最好的办法是撰写一份白皮书或指南,其中包含相关配置文件的经过清理的部分(使用为示例保留的域和地址范围也总是不错的)。如果您和其他人发现它特别有价值,USENIX/LISA 演示文稿当然也不是不可能的。
这样做有几个优点:
- 从寻求解决特定问题的人的角度来看,它为我完成了 90% 的工作:我不必仔细检查整个系统配置来找出哪些部分与我相关,哪些部分我不关心或与您的环境特别相关。
- 从安全角度来看,它可以让您分享您的知识/想法并获得反馈,同时保护您免于暴露可能对潜在入侵者有用的有关您的环境的详细信息(并不是说您不能在经过清理的文件中意外发布有用的信息,但他们不会了解全貌)。