Skip to main content

Esta versión de GitHub Enterprise Server se discontinuó el 2023-09-25. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener rendimiento mejorado, seguridad mejorada y nuevas características, actualice a la versión más reciente de GitHub Enterprise Server. Para obtener ayuda con la actualización, póngase en contacto con el soporte técnico de GitHub Enterprise.

Configuración de claves de host para la instancia

Puedes aumentar la seguridad de tu instancia de GitHub Enterprise Server configurando los algoritmos que usa la instancia a fin de generar y anunciar claves de host para las conexiones SSH entrantes.

Quién puede usar esta característica

Site administrators can configure the host keys for a GitHub Enterprise Server instance.

Acerca de las claves de host de la instancia

Los servidores que aceptan conexiones SSH anuncian una o varias claves de host criptográficas para identificar de forma segura el servidor a los clientes SSH. Para confirmar la identidad del servidor durante la inicialización de una conexión, los clientes almacenan y comprueban la clave de host. Para obtener más información, consulte SSH Host Key - What, Why, How (Clave de host SSH: qué, por qué y cómo) en el sitio web de la SSH Academy.

Cada instancia de GitHub Enterprise Server acepta conexiones SSH a través de dos puertos. Los administradores del sitio pueden acceder al shell administrativo a través de SSH y, después, ejecutar utilidades de línea de comandos, solucionar problemas y realizar el mantenimiento. Los usuarios pueden conectarse a través de SSH para acceder a los datos de Git y escribirlos en los repositorios de la instancia. Los usuarios no tienen acceso de shell a la instancia. Para obtener más información, consulte los siguientes artículos.

De manera predeterminada, tu instancia de GitHub Enterprise Server genera y anuncia claves de host con rotación de claves de host de estilo OpenSSH. Para aumentar la seguridad de SSH en su entorno, puede habilitar algoritmos adicionales para la generación de claves de host.

Nota: Si habilita algoritmos de clave de host adicionales, los clientes que no usan OpenSSH para las conexiones SSH pueden experimentar advertencias durante la conexión o es posible que la conexión falle por completo. Algunas implementaciones de SSH pueden omitir algoritmos no admitidos y revertir a otro algoritmo. Si el cliente no admite la reversión, se producirá un error en la conexión. Por ejemplo, la biblioteca SSH para Go no admite la reversión a un algoritmo diferente.

Administración de una clave de host Ed25519

Para mejorar la seguridad de los clientes que se conectan a tu instancia de GitHub Enterprise Server, puedes habilitar la generación y el anuncio de una clave de host Ed25519. Ed25519 es inmune a algunos ataques dirigidos a algoritmos de firma más antiguos, sin sacrificar la velocidad. Es posible que los clientes SSH anteriores no admitan Ed25519. De forma predeterminada, las instancias de GitHub Enterprise Server no generan ni anuncian una clave de host Ed25519. Para obtener más información, consulta el sitio web de Ed25519.

  1. SSH en tu instancia de GitHub Enterprise Server Si la instancia consta de varios nodos, por ejemplo, si la alta disponibilidad o la replicación geográfica están configuradas, utiliza SSH en el nodo principal. Si usas un clúster, puedes utilizar SSH en cualquier nodo. Para más información sobre el acceso SSH, consulta "Acceder al shell administrativo (SSH)".

    ssh -p 122 admin@HOSTNAME
    
  2. Para habilitar la generación y el anuncio de la clave de host Ed25519, escribe el siguiente comando.

    ghe-config app.babeld.host-key-ed25519 true
    
  3. Opcionalmente, escribe el siguiente comando para deshabilitar la generación y el anuncio de la clave de host Ed25519.

    ghe-config app.babeld.host-key-ed25519 false
    
  4. Para aplicar la configuración, ejecuta el siguiente comando.

    Nota: Durante la ejecución de una configuración, los servicios de tu instancia de GitHub Enterprise Server pueden reiniciarse, y esto puede provocar un breve tiempo de inactividad para los usuarios.

    Shell
    ghe-config-apply
    
  5. Espera que se complete la fase de configuración.