Acerca de las conexiones SSH a la instancia
Cada instancia de GitHub Enterprise Server acepta conexiones SSH a través de dos puertos. Los administradores del sitio pueden acceder al shell administrativo a través de SSH y, después, ejecutar utilidades de línea de comandos, solucionar problemas y realizar el mantenimiento. Los usuarios pueden conectarse a través de SSH para acceder a los datos de Git y escribirlos en los repositorios de la instancia. Los usuarios no tienen acceso de shell a la instancia. Para obtener más información, consulte los siguientes artículos.
Para dar cabida a los clientes SSH de tu entorno, puedes configurar los tipos de conexiones que tu instancia de GitHub Enterprise Server aceptará.
Configuración de conexiones SSH con claves RSA
Cuando los usuarios realizan operaciones de Git en tu instancia de GitHub Enterprise Server mediante SSH a través del puerto 22, el cliente puede autenticarse con una clave RSA. El cliente puede firmar el intento mediante la función hash SHA-1. En este contexto, la función hash SHA-1 ya no es segura. Para obtener más información, consulta SHA-1 en Wikipedia.
De forma predeterminada, se producirá un error en las conexiones SSH que cumplan las dos condiciones siguientes.
- La clave RSA se agregó a una cuenta de usuario en tu instancia de GitHub Enterprise Server después de la fecha límite de medianoche UTC del 1 de agosto de 2022.
- El cliente SSH firma el intento de conexión con la función hash SHA-1.
Puede ajustar la fecha límite. Si el usuario cargó la clave RSA antes de la fecha límite, el cliente puede seguir conectándose correctamente mediante SHA-1 siempre y cuando la clave siga siendo válida. Como alternativa, puedes rechazar todas las conexiones SSH autenticadas con una clave RSA si el cliente firma la conexión mediante la función hash SHA-1.
Independientemente de la configuración que elijas para la instancia, los clientes pueden seguir conectándose mediante cualquier clave RSA firmada con una función hash SHA-2.
Si usas una entidad de certificación SSH, se producirá un error en las conexiones si la fecha valid_after
del certificado es posterior a la fecha límite. Para más información, consulta Acerca de las autoridades de certificación de SSH.
Para obtener más información, consulta the GitHub Blog.
-
SSH en tu instancia de GitHub Enterprise Server Si la instancia consta de varios nodos, por ejemplo, si la alta disponibilidad o la replicación geográfica están configuradas, utiliza SSH en el nodo principal. Si usas un clúster, puedes utilizar SSH en cualquier nodo. Reemplace HOSTNAME por el nombre de host de la instancia, o el nombre de host o la dirección IP de un nodo. Para obtener más información, vea «Acceder al shell administrativo (SSH)».
Shell ssh -p 122 admin@HOSTNAME
ssh -p 122 admin@HOSTNAME
-
Audita los registros de la instancia para las conexiones que usan algoritmos no seguros o funciones hash mediante la utilidad
ghe-find-insecure-git-operations
. Para más información, consulta Utilidades de la ea de comandos. -
Para configurar una fecha límite después de la cual tu instancia de GitHub Enterprise Server denegará las conexiones de los clientes que usan una clave RSA cargada después de la fecha si la conexión está firmada con la función hash SHA-1, escribe el comando siguiente. Reemplaza RFC-3399-UTC-TIMESTAMP por una marca de tiempo RFC 3399 UTC válida. Por ejemplo, el valor predeterminado, el 1 de agosto de 2022, se representará como
2022-08-01T00:00:00Z
. Para obtener más información, consulta RFC 3339 en el sitio web de IETF.$ ghe-config app.gitauth.rsa-sha1 RFC-3339-UTC-TIMESTAMP
-
Como alternativa, para deshabilitar completamente las conexiones SSH mediante claves RSA firmadas con la función hash SHA-1, escribe el siguiente comando.
ghe-config app.gitauth.rsa-sha1 false
-
Para aplicar la configuración, ejecuta el siguiente comando.
Note
Durante la ejecución de una configuración, los servicios de tu instancia de GitHub Enterprise Server pueden reiniciarse, y esto puede provocar un breve tiempo de inactividad para los usuarios.
Shell ghe-config-apply
ghe-config-apply
-
Espera que se complete la fase de configuración.