Tenemos un servidor de integración continua, para el cual un compañero de trabajo reciente que se unió al equipo ha puesto detalles (nombre de inicio de sesión y dirección del servidor) en su repositorio público de Github.
La configuración del servidor ssh solo permite la autenticación de clave pública y el compañero de trabajo se niega a quitar su información del repositorio público de Github, diciendo que no es una amenaza porque la seguridad de ssh es lo suficientemente buena.
Sé que, dado que hemos deshabilitado la autenticación de contraseña, no se traduce de inmediato en una vulnerabilidad, pero aún así no quería dar a un adversario potencial la siguiente información:
- El nombre de usuario de inicio de sesión en nuestro servidor CI
- La ip del servidor CI en sí misma
- El hecho de que un compañero de trabajo esté utilizando lastpass para almacenar sus claves secretas
- El hecho de que ha publicado su dirección de inicio de sesión de último paso en su propio repositorio público
(El repositorio público es básicamente el repositorio de configuración que utiliza para configurar su máquina).
Como se negó a quitar la información, me propuse al menos asegurarme de que nuestro servidor de CI esté detrás de un servidor VPN y lo hemos hecho. Sin embargo, sigo creyendo que es una violación de la seguridad en profundidad proporcionar esta información a un atacante.
¿Estoy siendo extra paranoico o podría haber consecuencias reales de tener esta información disponible públicamente? Soy consciente de que parte de esto es seguridad a través de la oscuridad, pero creo que de todos modos no haría daño esconder esta información. Supongo que podría ser útil en caso de un ataque dirigido, ya que le da al atacante información a la que probablemente no tuvo acceso.