Informationen zu Hostschlüsseln für deine Instanz
Server, die SSH-Verbindungen akzeptieren, kündigen einen oder mehrere kryptografische Hostschlüssel an, um den Server für SSH-Clients sicher zu identifizieren. Um die Identität des Servers während der Initialisierung einer Verbindung zu bestätigen, speichern und überprüfen Clients den Hostschlüssel. Weitere Informationen findest du unter SSH Host Key - What, Why, How auf der Website der SSH Academy.
Jede GitHub Enterprise Server-Instanz akzeptiert SSH-Verbindungen über zwei Ports. Websiteadministratoren können über SSH auf die Verwaltungsshell zugreifen, dann Befehlszeilen-Hilfsprogramme ausführen, Problembehandlung und Wartung durchführen. Benutzer können eine Verbindung über SSH herstellen und in den Repositorys der Instanz auf Git-Daten zuzugreifen und sie schreiben. Benutzer haben keinen Shellzugriff auf deine Instanz. Weitere Informationen findest du in den folgenden Artikeln.
Standardmäßig werden von Ihre GitHub Enterprise Server-Instance Hostschlüssel unter Verwendung einer OpenSSH-ähnlichen Hostschlüsselrotation generiert und angekündigt. Um die Sicherheit von SSH in deiner Umgebung zu erhöhen, kannst du zusätzliche Algorithmen für die Generierung von Hostschlüsseln aktivieren.
Hinweis: Wenn du zusätzliche Hostschlüsselalgorithmen aktivierst, kann es vorkommen, dass Clients, die für SSH-Verbindungen nicht OpenSSH verwenden, während der Verbindung Warnungen erhalten oder dass die Verbindung ganz fehlschlägt. Einige SSH-Implementierungen können nicht unterstützte Algorithmen ignorieren und ein Fallback zu einem anderen Algorithmus vornehmen. Wenn der Client kein Fallback unterstützt, schlägt die Verbindung fehl. Die SSH-Bibliothek für Go unterstützt beispielsweise kein Fallback zu einem anderen Algorithmus.
Verwalten eines Ed25519-Hostschlüssels
Um die Sicherheit für Clients zu erhöhen, die sich mit Ihre GitHub Enterprise Server-Instance verbinden, kannst du die Generierung und Ankündigung eines Ed25519-Hostschlüssels aktivieren. Ed25519 ist immun gegen einige Angriffe, die auf ältere Signaturalgorithmen abzielen, ohne dabei an Geschwindigkeit einzubüßen. Ältere SSH-Clients unterstützen möglicherweise Ed25519 nicht. Standardmäßig werden von GitHub Enterprise Server-Instanzen keine Ed25519-Hostschlüssel generiert oder angekündigt. Weitere Informationen findest du auf der Website zu Ed25519.
-
Melde dich über SSH bei Ihre GitHub Enterprise Server-Instance an. Wenn deine Instanz mehrere Knoten umfasst, wenn z. B. Hochverfügbarkeit oder Georeplikation konfiguriert ist, wird SSH im primären Knoten konfiguriert. Wenn du einen Cluster verwendest, kannst du SSH in einen beliebigen Knoten einfügen. Ersetzen Sie HOSTNAME durch den Hostnamen Ihrer Instanz bzw. durch den Hostnamen oder die IP-Adresse eines Knotens. Weitere Informationen findest du unter Auf die Verwaltungsshell (SSH) zugreifen.
Shell ssh -p 122 admin@HOSTNAME
ssh -p 122 admin@HOSTNAME
-
Gib den folgenden Befehl ein, um die Generierung und Ankündigung des Ed25519-Hostschlüssels zu aktivieren.
ghe-config app.babeld.host-key-ed25519 true
-
Gib optional den folgenden Befehl ein, um die Generierung und Ankündigung des Ed25519-Hostschlüssels zu deaktivieren.
ghe-config app.babeld.host-key-ed25519 false
-
Führe den folgenden Befehl aus, um die Konfiguration anzuwenden.
Hinweis: Während einer Konfigurationsausführung können die Dienste auf Ihre GitHub Enterprise Server-Instance neu gestartet werden, was zu kurzen Ausfallzeiten für Benutzer führen kann.
Shell ghe-config-apply
ghe-config-apply
-
Warte auf den Abschluss der Konfigurationsausführung.