A

ktualnie większość infrastruktur składających się z więcej niż 5 serwerów jest / powinna być zarządzana za pomocą tzw. menadżerów konfiguracji serwerów. Jednym z nich jest Puppet. Przy większej ilości maszyn administratorzy zazwyczaj tworzą (dash)boardy, które informują na jakich serwerach dokonały się (lub nie) aktualizacje konfiguracji. Pozwalają również na uzyskanie bardzo dokładnych informacji o obsługiwanej infrastrukturze (adresy sieciowe, wersje systemów i daemonów itp.). I tutaj pojawia się problem.

Jak każda webaplikacja (dobrym przykładem jest tutaj często wyszukiwany i atakowany PHPmyAdmin), również taka tablica wystawiona “na świat” może zostać w bardzo prosty sposób odnaleziona i wykorzystana do przeprowadzenia dokładnego rekonesansu zawartych tam serwerów i poczynienia dalszych kroków…

Więcej informacji: Puppetboard