Informationen zu Hostschlüsseln für deine Instanz
Server, die SSH-Verbindungen akzeptieren, kündigen einen oder mehrere kryptografische Hostschlüssel an, um den Server für SSH-Clients sicher zu identifizieren. Um die Identität des Servers während der Initialisierung einer Verbindung zu bestätigen, speichern und überprüfen Clients den Hostschlüssel. Weitere Informationen findest du unter SSH Host Key - What, Why, How auf der Website der SSH Academy.
Jede GitHub Enterprise Server-Instanz akzeptiert SSH-Verbindungen über zwei Ports. Websiteadministratoren können über SSH auf die Verwaltungsshell zugreifen, dann Befehlszeilen-Hilfsprogramme ausführen, Problembehandlung und Wartung durchführen. Benutzer können eine Verbindung über SSH herstellen und in den Repositorys der Instanz auf Git-Daten zuzugreifen und sie schreiben. Benutzer haben keinen Shellzugriff auf deine Instanz. Weitere Informationen finden Sie in folgenden Artikeln.
Standardmäßig werden von Ihre GitHub Enterprise Server-Instance Hostschlüssel unter Verwendung einer OpenSSH-ähnlichen Hostschlüsselrotation generiert und angekündigt. Um die Sicherheit von SSH in deiner Umgebung zu erhöhen, kannst du zusätzliche Algorithmen für die Generierung von Hostschlüsseln aktivieren.
Note
Wenn du zusätzliche Hostschlüsselalgorithmen aktivierst, können während der Verbindungsherstellung Warnungen bei Clients auftreten, die für SSH-Verbindungen nicht OpenSSH verwenden, oder die Verbindung kann nicht hergestellt werden. Einige SSH-Implementierungen können nicht unterstützte Algorithmen ignorieren und ein Fallback zu einem anderen Algorithmus vornehmen. Wenn der Client kein Fallback unterstützt, schlägt die Verbindung fehl. Die SSH-Bibliothek für Go unterstützt beispielsweise kein Fallback zu einem anderen Algorithmus.
Verwalten eines Ed25519-Hostschlüssels
Um die Sicherheit für Clients zu erhöhen, die sich mit Ihre GitHub Enterprise Server-Instance verbinden, kannst du die Generierung und Ankündigung eines Ed25519-Hostschlüssels aktivieren. Ed25519 ist immun gegen einige Angriffe, die auf ältere Signaturalgorithmen abzielen, ohne dabei an Geschwindigkeit einzubüßen. Ältere SSH-Clients unterstützen möglicherweise Ed25519 nicht. Standardmäßig werden von GitHub Enterprise Server-Instanzen keine Ed25519-Hostschlüssel generiert oder angekündigt. Weitere Informationen findest du auf der Website zu Ed25519.
-
Melde dich über SSH bei Ihre GitHub Enterprise Server-Instance an. Wenn deine Instanz mehrere Knoten umfasst, wenn z. B. Hochverfügbarkeit oder Georeplikation konfiguriert ist, wird SSH im primären Knoten konfiguriert. Wenn du einen Cluster verwendest, kannst du SSH in einen beliebigen Knoten einfügen. Ersetzen Sie HOSTNAME durch den Hostnamen Ihrer Instanz bzw. durch den Hostnamen oder die IP-Adresse eines Knotens. Weitere Informationen finden Sie unter Auf die Verwaltungsshell (SSH) zugreifen.
Shell ssh -p 122 admin@HOSTNAME
ssh -p 122 admin@HOSTNAME
-
Gib den folgenden Befehl ein, um die Generierung und Ankündigung des Ed25519-Hostschlüssels zu aktivieren.
ghe-config app.babeld.host-key-ed25519 true
-
Gib optional den folgenden Befehl ein, um die Generierung und Ankündigung des Ed25519-Hostschlüssels zu deaktivieren.
ghe-config app.babeld.host-key-ed25519 false
-
Führe den folgenden Befehl aus, um die Konfiguration anzuwenden.
Note
Während einer Konfigurationsausführung können die Dienste auf Ihre GitHub Enterprise Server-Instance neu gestartet werden, was zu kurzen Ausfallzeiten für Benutzer führen kann.
Shell ghe-config-apply
ghe-config-apply
-
Warten Sie auf den Abschluss der Konfigurationsausführung.