我想保留 mercurial 中几个主机的配置并将其备份,比如说,备份到 bitbucket。
假设我已采取了一些预防措施 - 调整 SSH 以仅接受密钥、调整 pam 以多次散列密码,并且当然将 /etc/shadow 远离 repo。
让每个人都知道我的主机配置有什么实际的缺点吗?
答案1
是的,你不必要地暴露了自己。这个问题被称为谷歌黑客。攻击系统时的主要成本之一是识别易受攻击的系统所花费的时间。基本上,通过发布您的整个配置,您可以让人们检查您是否容易受到攻击,而无需消耗任何资源,从而使您自己成为容易攻击的目标。
即使您目前没有受到攻击,假设有人发现了新的漏洞……那么他们可以简单地使用 Google 将您的服务器识别为潜在目标并发起攻击,而您还没有时间做出反应。
答案2
是的,因为你以一种没有任何实际目的的方式吸引人们关注你的网站。除非你专门分享其他人可能觉得有用的配置,否则唯一可能的结果就是增加你的网站对破解者和机器人的可见性(不管你的配置本身是否有问题)。
当然,正如 pehrs 指出的那样,如果您的配置存在已识别的漏洞,那么您就将其暴露在自动攻击之下。虽然“通过隐蔽性实现安全”经常被嘲笑,有时甚至被滥用,但它是整体安全性的一个组成部分(就像窗帘一样)。虽然加密可能会抵消这种危险,但最好还是完全避免它。
一般来说,如果没有特定目的,您不应该泄露有关任何系统的任何信息。