Welche Sicherheitsaspekte gelten, wenn ich meine Serverkonfigurationen in einem Repo auf Github mit allgemeinem Lesezugriff habe? Ich weiß, dass ich /etc/shadow und andere Kennwortdateien nicht einschließen darf. Ich würde gerne meine guten Ideen teilen und anderen die Möglichkeit geben, Beiträge zu leisten, aber ich möchte Crackern keinen roten Teppich ausrollen.
Antwort1
Generell würde ich meine Serverkonfigurationen nicht veröffentlichenüberallaußerhalb meiner Organisation (obwohl sie intern in Git sind).
Wenn Sie Ihre Ideen teilen möchten, schreiben Sie am besten ein Whitepaper oder eine Anleitung mit bereinigten Teilen der relevanten Konfigurationsdateien (es ist auch immer gut, die für Beispiele reservierten Domänen und Adressbereiche zu verwenden). Wenn Sie und andere es besonders wertvoll finden, ist auch eine USENIX/LISA-Präsentation sicherlich nicht ausgeschlossen.
Diese Vorgehensweise hat einige Vorteile:
- Aus der Sicht von jemandem, der ein bestimmtes Problem lösen möchte, erledigt es 90 % der Arbeit für mich: Ich muss nicht Ihre gesamte Systemkonfiguration durchforsten, um herauszufinden, welche Teile für mich relevant sind und was mich nicht interessiert oder speziell an Ihre Umgebung gebunden ist.
- Aus Sicherheitsgründen können Sie so Ihr Wissen/Ihre Ideen weitergeben und Feedback erhalten, während Sie gleichzeitig davor geschützt sind, Details über Ihre Umgebung preiszugeben, die für potenzielle Eindringlinge nützlich sein könnten (Sie können zwar nicht versehentlich eine nützliche Information in einer bereinigten Datei posten, aber sie haben dann nicht das Gesamtbild).