Admini by naopak mohli předstírat, že mají vyšší verzi než skutečně mají. Nejlíp vše napojit na rss, kde jsou oznamovány nové verze. No já bych si teda s adminem, který aktualizuje svůj server prakticky hned, když vyjde nová verze, radši nic nezačínal

Chceš ukázat kus logu sshd?

/var/log$ (cat auth.log auth.log.0 ; gunzip -c auth.log.*.gz) \
| grep 'sshd.*: Illegal user' | awk '{print $8}'\
| sort | uniq -c | sort -r -n | head -n 25

    915 admin
    654 a
    310 test
    173 guest
    168 user
    124 oracle
    100 webmaster
     96 info
     88 sales
     82 student
     79 david
     78 richard
     78 adm
     77 alex
     75 mike
     75 apache
     71 robert
     71 paul
     71 office
     71 linux
     70 tester
     66 administrator
     65 testing
     65 postgres
     65 john

server:/var/log# (cat auth.log auth.log.0 ; gunzip -c auth.log.*.gz) | grep 'sshd.*: Illegal user' | wc -l
0

co by se mohlo ještě stát pokud bych spatně nakonfiguroval

Spustíte web server pod rootem a budete na něm mít nějaký (třeba PHP) skript, který umožní číst/zapisovat libovolné soubory, spouštět libovolné příkazy; necháte na FTP server možnost komukoli ukládat neomezené množství dat; mail server nakonfigurujete jako open-relay, takže přes něj kdokoli bude moci rozesílat viry a spam; povolíte přístup do databáze komukoli, místo aby byl omezený jen na ty, kteří databázi opravdu potřebují; neomezíte maximální množství spojení / zabraného místa na disku / využití prostředků, takže jeden uživatel získá všechny zdroje pro sebe (DOS) atd. atd.

Spíš bych to řekl opačně – pokud není bezpečnostní chyba způsobená přímo chybou v programu (např. buffer overflow, SQL injection), je to vždy otázka chybné konfigurace.