Abbiamo un server di integrazione continuo, per il quale un collaboratore recente che si è unito al team ha inserito i dettagli (nome di accesso e indirizzo del server) nel suo repository Github pubblico.
La configurazione ssh del server consente solo l'autenticazione con chiave pubblica e il collega si rifiuta di rimuovere le informazioni dal repository pubblico di Github, dicendo che non è una minaccia perché la sicurezza di ssh è abbastanza buona.
So che dal momento che abbiamo disabilitato l'autenticazione della password, non provoca immediatamente una vulnerabilità, ma non ho ancora voluto dare ad un potenziale avversario le seguenti informazioni:
- Il nome utente di accesso sul nostro server CI
- L'ip del server CI stesso
- Il fatto che il collega stia usando lastpass per memorizzare le sue chiavi segrete
- Il fatto che abbia pubblicato il suo indirizzo di accesso lastpass al suo stesso repo pubblico
(Il repository pubblico è fondamentalmente il suo repository di configurazione che usa per configurare la sua macchina).
Da quando ha rifiutato di rimuovere le informazioni, ho proposto di assicurarmi che il nostro server CI sia dietro un server VPN e l'abbiamo fatto. Tuttavia, continuo a credere che sia una violazione della sicurezza in profondità fornire queste informazioni a un utente malintenzionato.
Sono un paranoico in più, o potrebbero esserci reali conseguenze di avere queste informazioni pubblicamente disponibili? Sono consapevole che una parte di questo è la sicurezza attraverso l'oscurità, ma penso che non danneggerebbe comunque queste informazioni. Suppongo che potrebbe essere utile in caso di attacco diretto, dato che fornisce all'attaccante alcune informazioni a cui probabilmente non ha avuto accesso.