У меня есть небольшой VPS под управлением Ubuntu, на котором (в обозримом будущем) будет размещаться только мой собственный статический веб-сайт. Единственными сервисами, доступными извне, будут SSH (разрешена только аутентификация с открытым ключом) и HTTP (возможно, nginx).
Я управляю конфигурацией сервера через Puppet и хотел бы поделиться этой конфигурацией через GitHub в качестве примера всем, кого это интересует. Конфигурация Puppet не содержит паролей или аналогичной конфиденциальной информации. Однако он включает, например, конфигурацию брандмауэра (которая довольно проста), имя пользователя, которое может использовать sudo, какие пакеты установлены и т. Д.
Я знаю, что чем меньше потенциальный злоумышленник знает о системе, тем лучше. Но на самом деле, сколько проблем я мог бы себе навлечь, опубликовав конфигурацию?
Я не думаю, что это так много разоблачений.
Просто убедитесь, что ваша конфигурация очищена и не содержит паролей или другой идентифицирующей систему информации (IP-адреса, имена хостов и т. Д.)
Публикация конфигураций может немного помочь злоумышленнику - это сокращает время, которое они обычно тратят на сканирование / сбор информации, но если вы являетесь целью, они все равно будут выполнять эти задачи. Имена каталогов или серверов, указывающие на их функцию, также ускоряют атаку (например, FinanceServer01), поэтому вам лучше иметь соглашение об именах, которое не дает такой бесплатной информации.
На самом деле, если публикация конфигурации упрощает вашу жизнь, сделайте это, но удалите ненужную информацию (пароли, сертификаты, ключи, имена хостов) - вместо этого сосредоточьтесь на обеспечении безопасности на том, чтобы убедиться, что ваши исправления актуальны, ваша конфигурация защищает вас от атак , и вы отслеживаете свои наиболее конфиденциальные данные (при необходимости) на предмет вторжений.