Esta versión de GitHub Enterprise Server se discontinuó el 2024-03-26. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener rendimiento mejorado, seguridad mejorada y nuevas características, actualice a la versión más reciente de GitHub Enterprise Server. Para obtener ayuda con la actualización, póngase en contacto con el soporte técnico de GitHub Enterprise.

Configuración de conexiones SSH a la instancia

Puedes aumentar la seguridad de tu instancia de GitHub Enterprise Server si configuras los algoritmos SSH que los clientes pueden usar para establecer una conexión.

¿Quién puede utilizar esta característica?

Site administrators can configure SSH connections to a GitHub Enterprise Server instance.

En este artículo

Acerca de las conexiones SSH a la instancia

Cada instancia de GitHub Enterprise Server acepta conexiones SSH a través de dos puertos. Los administradores del sitio pueden acceder al shell administrativo a través de SSH y, después, ejecutar utilidades de línea de comandos, solucionar problemas y realizar el mantenimiento. Los usuarios pueden conectarse a través de SSH para acceder a los datos de Git y escribirlos en los repositorios de la instancia. Los usuarios no tienen acceso de shell a la instancia. Para obtener más información, consulte los siguientes artículos.

Para dar cabida a los clientes SSH de tu entorno, puedes configurar los tipos de conexiones que tu instancia de GitHub Enterprise Server aceptará.

Configuración de conexiones SSH con claves RSA

Cuando los usuarios realizan operaciones de Git en tu instancia de GitHub Enterprise Server mediante SSH a través del puerto 22, el cliente puede autenticarse con una clave RSA. El cliente puede firmar el intento mediante la función hash SHA-1. En este contexto, la función hash SHA-1 ya no es segura. Para obtener más información, consulta SHA-1 en Wikipedia.

De forma predeterminada, se producirá un error en las conexiones SSH que cumplan las dos condiciones siguientes.

  • La clave RSA se agregó a una cuenta de usuario en tu instancia de GitHub Enterprise Server después de la fecha límite de medianoche UTC del 1 de agosto de 2022.
  • El cliente SSH firma el intento de conexión con la función hash SHA-1.

Puede ajustar la fecha límite. Si el usuario cargó la clave RSA antes de la fecha límite, el cliente puede seguir conectándose correctamente mediante SHA-1 siempre y cuando la clave siga siendo válida. Como alternativa, puedes rechazar todas las conexiones SSH autenticadas con una clave RSA si el cliente firma la conexión mediante la función hash SHA-1.

Independientemente de la configuración que elijas para la instancia, los clientes pueden seguir conectándose mediante cualquier clave RSA firmada con una función hash SHA-2.

Si usas una entidad de certificación SSH, se producirá un error en las conexiones si la fecha valid_after del certificado es posterior a la fecha límite. Para obtener más información, vea «Acerca de las autoridades de certificación de SSH».

Para obtener más información, consulta the GitHub Blog.

  1. SSH en tu instancia de GitHub Enterprise Server Si la instancia consta de varios nodos, por ejemplo, si la alta disponibilidad o la replicación geográfica están configuradas, utiliza SSH en el nodo principal. Si usas un clúster, puedes utilizar SSH en cualquier nodo. Reemplace HOSTNAME por el nombre de host de la instancia, o el nombre de host o la dirección IP de un nodo. Para obtener más información, vea «Acceder al shell administrativo (SSH)».

    Shell
    ssh -p 122 admin@HOSTNAME

  2. Audita los registros de la instancia para las conexiones que usan algoritmos no seguros o funciones hash mediante la utilidad ghe-find-insecure-git-operations. Para obtener más información, vea «Utilidades de la ea de comandos».

  3. Para configurar una fecha límite después de la cual tu instancia de GitHub Enterprise Server denegará las conexiones de los clientes que usan una clave RSA cargada después de la fecha si la conexión está firmada con la función hash SHA-1, escribe el comando siguiente. Reemplaza RFC-3399-UTC-TIMESTAMP por una marca de tiempo RFC 3399 UTC válida. Por ejemplo, el valor predeterminado, el 1 de agosto de 2022, se representará como 2022-08-01T00:00:00Z. Para obtener más información, consulta RFC 3339 en el sitio web de IETF.

    $ ghe-config app.gitauth.rsa-sha1 RFC-3339-UTC-TIMESTAMP

  4. Como alternativa, para deshabilitar completamente las conexiones SSH mediante claves RSA firmadas con la función hash SHA-1, escribe el siguiente comando.

    ghe-config app.gitauth.rsa-sha1 false

  5. Para aplicar la configuración, ejecuta el siguiente comando.

    Nota: Durante la ejecución de una configuración, los servicios de tu instancia de GitHub Enterprise Server pueden reiniciarse, y esto puede provocar un breve tiempo de inactividad para los usuarios.

    Shell
    ghe-config-apply

  6. Espera que se complete la fase de configuración.