Skip to main content

Configuración de conexiones SSH a la instancia

Puedes aumentar la seguridad de your GitHub Enterprise Server instance configurando los algoritmos SSH que los clientes pueden usar para establecer una conexión.

Who can use this feature

Site administrators can configure SSH connections to a GitHub Enterprise Server instance.

Acerca de las conexiones SSH a la instancia

Cada instancia de GitHub Enterprise Server acepta conexiones SSH a través de dos puertos. Los administradores del sitio pueden acceder al shell administrativo a través de SSH y, después, ejecutar utilidades de línea de comandos, solucionar problemas y realizar el mantenimiento. Los usuarios pueden conectarse a través de SSH para acceder a los datos de Git y escribirlos en los repositorios de la instancia. Los usuarios no tienen acceso de shell a la instancia. Para obtener más información, consulte los siguientes artículos.

Para dar cabida a los clientes SSH de tu entorno, puedes configurar los tipos de conexiones que your GitHub Enterprise Server instance aceptará.

Configuración de conexiones SSH con claves RSA

Cuando los usuarios realizan operaciones de Git en your GitHub Enterprise Server instance a través de SSH a través del puerto 22, el cliente puede autenticarse con una clave RSA. El cliente puede firmar el intento mediante la función hash SHA-1. En este contexto, la función hash SHA-1 ya no es segura. Para obtener más información, consulta SHA-1 en Wikipedia.

De forma predeterminada en GitHub Enterprise Server 3.6 y versiones posteriores, se producirá un error en las conexiones SSH que cumplan las dos condiciones siguientes.

  • La clave RSA se agregó a una cuenta de usuario en your GitHub Enterprise Server instance después de la fecha límite de medianoche UTC del 1 de agosto de 2022.
  • El cliente SSH firma el intento de conexión con la función hash SHA-1.

Puede ajustar la fecha límite. Si el usuario cargó la clave RSA antes de la fecha límite, el cliente puede seguir conectándose correctamente mediante SHA-1 siempre y cuando la clave siga siendo válida. Como alternativa, puedes rechazar todas las conexiones SSH autenticadas con una clave RSA si el cliente firma la conexión mediante la función hash SHA-1.

Independientemente de la configuración que elijas para la instancia, los clientes pueden seguir conectándose mediante cualquier clave RSA firmada con una función hash SHA-2.

Si usas una entidad de certificación SSH, se producirá un error en las conexiones si la fecha valid_after del certificado es posterior a la fecha límite. Para más información, vea "Acerca de las entidades de certificación de SSH".

Para obtener más información, consulta the GitHub Blog.

  1. SSH en your GitHub Enterprise Server instance. Si la instancia consta de varios nodos, por ejemplo, si la alta disponibilidad o la replicación geográfica están configuradas, utiliza SSH en el nodo principal. Si usas un clúster, puedes utilizar SSH en cualquier nodo. Para obtener más información acerca del acceso a SSH, consulta "Acceso al shell administrativo (SSH)".

    $ ssh -p 122 admin@HOSTNAME
  2. Audita los registros de la instancia para las conexiones que usan algoritmos no seguros o funciones hash mediante la utilidad ghe-find-insecure-git-operations. Para más información, vea "Utilidades de línea de comandos".

  3. Para configurar una fecha límite después de la cual your GitHub Enterprise Server instance denegará las conexiones de los clientes que usan una clave RSA cargada después de la fecha si la conexión está firmada por la función hash SHA-1, escribe el siguiente comando. Reemplaza RFC-3399-UTC-TIMESTAMP por una marca de tiempo RFC 3399 UTC válida. Por ejemplo, el valor predeterminado, el 1 de agosto de 2022, se representará como 2022-08-01T00:00:00Z. Para obtener más información, consulta RFC 3339 en el sitio web de IETF.

    $ ghe-config app.gitauth.rsa-sha1 RFC-3339-UTC-TIMESTAMP
    
  4. Como alternativa, para deshabilitar completamente las conexiones SSH mediante claves RSA firmadas con la función hash SHA-1, escribe el siguiente comando.

    ghe-config app.gitauth.rsa-sha1 false
  5. Para aplicar la configuración, escribe el siguiente comando.

    Nota: Durante una ejecución de configuración, los servicios de your GitHub Enterprise Server instance pueden reiniciarse, y esto puede provocar un breve tiempo de inactividad para los usuarios.

    ghe-config-apply
  6. Espera que se complete la fase de configuración.