我有一个运行 Ubuntu 的小型 VPS,在可预见的未来,它仅将托管我自己的静态网站。唯一可从外部访问的服务是 SSH(仅允许公钥身份验证)和 HTTP(可能是 nginx)。
我正在通过 Puppet 管理服务器的配置,并希望通过 GitHub 与感兴趣的人分享该配置作为示例。Puppet 配置不包含任何密码或类似的敏感信息。但它确实包括防火墙配置(非常基本)、可以使用 sudo 的用户的用户名、安装了哪些软件包等。
我知道,潜在入侵者对系统了解得越少越好。但实际上,发布配置会给我带来多大的麻烦?
答案1
发布配置可以给攻击者一点帮助 - 因为它可以减少他们通常花在扫描/信息收集上的时间,但如果你是一个目标,那么他们无论如何都会执行这些任务。拥有表明其功能的目录或服务器名称也会加快攻击速度(例如 FinanceServer01),因此你最好有一个不会泄露此类免费信息的命名约定。
实际上,如果发布配置可以让您的生活更轻松,那么就这样做,但要删除不必要的信息(密码、证书、密钥、主机名) - 将您的安全工作重点放在确保您的补丁是最新的、您的配置可以保护您免受攻击以及您监控您最敏感的数据(如果合适)是否受到入侵。
答案2
我不认为有那么多的曝光。
只需确保您的配置是干净的,并且没有密码或其他系统识别信息(IP 地址、主机名等)即可。