тебя история с heartbleed в том числе во всемилюбимом openvpn не заставила ничего такого заподозрить-насторожиться?

И это пока ты один - а когда тебя станет человек десять из разных отделов - ты изумишься, если каким-то образом узнаешь, сколько они себе понаделали джампхостов и вебшеллов в обход твоего чудовепене.

"у одного моего друга" (там не сто, а, наверное, под полтысячи если не больше человек могущих порулить теми или иными частями энтерпрайзной помойки, как впрямую, так и косвенно, выкатив какие-нибудь изменения в обход стандартных процедур) вот слуцилась - так до сих пор понять не можем, кто и откуда. Понятно что кто-то то ли свой, то ли бывший свой, слишком много знал - но совершенно непонятно ни как попал, ни что делал, ни кто это был.

Правильная система управления (правильно) торчащая наружу - имеет _меньшую_ attack surface.
Потому что прикольно, наверное, продолбать доступ, позволяющий добавить или поменять роли десятку коробок, или, даже, в модных современных реалиях, потратить кучу денег на ненужные инстансы aws - но последствия от этого чинить гораздо легче, чем последствия неведомокого залезшего к тебе в ssh и сделавшего там неведомочто.
И взламывать ее бесполезно - она не хранит ssh-ключи от всего, она просто база хост-значения.

P.S. а расскажите кто-нить, вот лет пятнадцать назад, до всей этой девляпсьей муры - были у нас, помнится, такие аналоги screen+ssh - я успел начисто забыть названия всех х-ни, и, к своему удивлению, не сумел быстро найти что-то похожее поиском - ничего такого в модную-современную эпоху в живых не осталось?
То есть идея - ssh {список из сотни хостов} - открывается сотня обычных консольных сессий, с дублированием клавиатурных символов во все сразу. И возможностью видеть фидбэк (хрен с ним, вручную переключая все сто). Та хрень, что была у нас, умела при этом разные авторизации (где ключи, где не получается - переспросить не знаешь ли ты универсальный пароль от всего), но это опционально.

Во-первых, всем кто решил податься в девопс, неплохо было бы поработать для начала просто опс - поадминить ручками. А то развелось программистов, которые считают, что раз они быдлокод научились писать, то с админством справятся на раз-два. Админство - это не про автоматизацию, по большому счёту, а про ответственность. Админ может быть и тратит много времени на первоначальную настройку системы, но время и нервы бережёт  за счёт того, что заблаговременно подготовился ко многим возможным проблемам - отсутствию электричества (поставил ИБП), поломкам жёстких дисков (настроил RAID-массив с избыточностью, хот-свапом и резервом в ЗиПе), настроил кластер высокой готовности, зарезервировал внешние каналы, заготовил резервные копии и инструкции по восстановлению, закрыл всё фаерволами, SELinux'ами, держит минимум программ с suid-битом, своевременно обновляет пакеты в системе и т.д. и т.п. Народная мудрость говорит, что спешка бывает нужна лишь в трёх случаях: при ловле блох, при поносе и при сношении с чужой женой.

При этом админам неплохо разбираться во внутреннем устройстве администрируемых ими сервисов, чтобы выбрать наиболее надёжные и аккуратно написанные, и при необходимости ткнуть разработчиков сервиса носом в их же фекалии, указав, как надо делать правильно (прислав по возможности готовый патч). А не тащить в свои системы всё подряд и жаловаться потом на проблемы разработчиками.

Ну и во-вторых, девопс-подход в данном случае позволяет справиться с одной сомнительной проблемой автоматизации, но позволяет себе отодвинуть на второй план множество других не иллюзорных проблем, в том числе проблему безопасности системы.