Недостатки общедоступности файлов конфигурации хоста?

Я хочу сохранить конфигурацию для нескольких моих хостов в Mercurial и создать резервную копию, скажем, в bitbucket.

Допустим, я принял некоторые меры предосторожности - настроил SSH на прием только ключей, настроил pam на хэш-пароль еще больше раз и, конечно, держал /etc/shadow подальше от репо.

Есть ли какой-то реальный недостаток, чтобы все знали о конфигурации моего хоста?

2 ответа

Решение

Да, вы выставляете себя напрасно. Проблема известна как Google Hacking. Одна из основных затрат при атаке на системы - это время, необходимое для выявления уязвимых систем. По сути, публикуя всю вашу конфигурацию, вы позволяете людям проверять, уязвимы ли вы к атакам, не потребляя при этом никаких ресурсов, что делает вас легкой целью.

Даже если вы сейчас не уязвимы, предположите, что кто-то обнаружил новую уязвимость... Тогда они могут просто использовать Google, чтобы определить ваши серверы в качестве потенциальных целей и атак, прежде чем вы успеете ответить.

Да, потому что вы привлекаете внимание к своему сайту таким образом, который не служит никакой реальной цели. Если вы специально не обмениваетесь конфигурациями, которые другие могут счесть полезными, единственным вероятным результатом является повышение видимости вашего сайта для взломщиков и ботов (независимо от того, является ли ваша конфигурация проблематичной).

Конечно, как указывает pehrs, если в вашей конфигурации обнаружена уязвимость, вы подвергаете ее автоматическим атакам. Хотя "безопасность из-за неясности" часто высмеивается и иногда оскорбляет, она является компонентом вашей общей безопасности (например, оконные шторы). И хотя шифрование может компенсировать эту опасность, было бы лучше просто полностью избежать этого.

Вообще говоря, вы не должны раскрывать какую-либо информацию о какой-либо системе без особой цели.

Другие вопросы по тегам