Mar*_*ent 5 security ubuntu puppet
我有一个运行 Ubuntu 的小型 VPS(在可预见的未来)它只会托管我自己的静态网站。唯一可从外部访问的服务是 SSH(仅允许公钥身份验证)和 HTTP(可能是 nginx)。
我正在通过 Puppet 管理服务器的配置,并希望通过 GitHub 将该配置作为示例分享给任何感兴趣的人。Puppet 配置不包含任何密码或类似的敏感信息。然而,它确实包括例如防火墙配置(这是非常基本的)、可以使用 sudo 的用户名、安装了哪些软件包等。
我知道潜在入侵者对系统的了解越少越好。但实际上,发布配置会给自己带来多少麻烦?
我不认为有那么多的曝光。
只需确保您的配置经过清理并且没有密码或其他系统识别信息(IP 地址、主机名等)
发布配置可以对攻击者有所帮助 - 因为它减少了他们通常花在扫描/信息收集上的时间,但如果您是目标,那么他们无论如何都会执行这些任务。使用表明其功能的目录或服务器名称也会加速攻击(例如 FinanceServer01),因此您最好采用不会泄露此类免费信息的命名约定。
实际上,如果发布配置让您的生活更轻松,那么就这样做,但删除不必要的信息(密码、证书、密钥、主机名)——将安全工作的重点放在确保您的补丁是最新的、您的配置可以保护您免受攻击,并且您可以监控最敏感的数据(如果适用)是否受到入侵。
| 归档时间: |
|
| 查看次数: |
214 次 |
| 最近记录: |