Skip to main content

Enterprise Server 3.15 est actuellement disponible en tant que version finale (RC).

Configuration des clés d’hôte pour votre instance

Vous pouvez accroître la sécurité de votre instance GitHub Enterprise Server en configurant les algorithmes qu’utilise votre instance afin de générer et publier des clés d’hôte pour les connexions SSH entrantes.

Qui peut utiliser cette fonctionnalité ?

Site administrators can configure the host keys for a GitHub Enterprise Server instance.

À propos des clés d’hôte pour votre instance

Les serveurs qui acceptent les connexions SSH publient une ou plusieurs clés d’hôte de chiffrement pour identifier de manière sécurisée le serveur sur les clients SSH. Pour confirmer l’identité du serveur lors de l’initialisation d’une connexion, les clients stockent et vérifient la clé d’hôte. Pour plus d’informations, consultez SSH Host Key - What, Why, How sur le site web SSH Academy.

Chaque instance de GitHub Enterprise Server accepte les connexions SSH sur deux ports. Les administrateurs de site peuvent accéder à l’interpréteur de commandes d’administration via SSH, puis exécuter des utilitaires en ligne de commande, résoudre des problèmes et effectuer des tâches de maintenance. Les utilisateurs peuvent se connecter via SSH pour consulter et écrire des données Git dans les dépôts de l’instance. Les utilisateurs n’ont pas accès à votre instance par le biais de l’interpréteur de commandes. Pour plus d'informations, consultez les articles suivants.

Par défaut, votre instance GitHub Enterprise Server génère et publie des clés d’hôte avec une rotation de clés d’hôte de type OpenSSH. Pour renforcer la sécurité de SSH dans votre environnement, vous pouvez activer des algorithmes supplémentaires pour la génération de clés d’hôte.

Remarque : Si vous activez des algorithmes de clés d’hôte supplémentaires, les clients qui n’utilisent pas OpenSSH pour les connexions SSH risquent de rencontrer des avertissements pendant la connexion ou de ne pas arriver à se connecter totalement. Certaines implémentations SSH peuvent ignorer les algorithmes non pris en charge et se replier sur un autre algorithme. Si le client ne prend pas en charge le repli, la connexion échoue. Par exemple, la bibliothèque SSH pour Go ne prend pas en charge le repli sur un autre algorithme.

Gestion d’une clé d’hôte Ed25519

Pour améliorer la sécurité des clients qui se connectent à votre instance GitHub Enterprise Server, vous pouvez activer la génération et la publication d’une clé d’hôte Ed25519. Ed25519 est immunisée contre certaines attaques qui ciblent des algorithmes de signature plus anciens, sans sacrifier la vitesse. Des clients SSH plus anciens peuvent ne pas prendre en charge Ed25519. Par défaut, les instances GitHub Enterprise Server ne génèrent ni ne publient de clé d’hôte Ed25519. Pour plus d’informations, consultez le site web Ed25519.

  1. Connexion SSH à votre instance GitHub Enterprise Server. Si votre instance comprend plusieurs nœuds, par exemple si la haute disponibilité ou la géoréplication sont configurées, connectez-vous via SSH au nœud principal. Si vous utilisez un cluster, vous pouvez vous connecter via SSH à n’importe quel nœud. Remplacez HOSTNAME par le nom d’hôte de votre instance, le nom d’hôte ou l’adresse IP d’un nœud. Pour plus d’informations, consultez « Accès à l’interpréteur de commandes d’administration (SSH) ».

    Shell
    ssh -p 122 admin@HOSTNAME
    
  2. Pour activer la génération et la publication de la clé d’hôte Ed25519, entrez la commande suivante.

    ghe-config app.babeld.host-key-ed25519 true
    
  3. Si vous le souhaitez, entrez la commande suivante pour désactiver la génération et la publication de la clé d’hôte Ed25519.

    ghe-config app.babeld.host-key-ed25519 false
    
  4. Pour appliquer la configuration, exécutez la commande suivante.

    Remarque : Durant une exécution de configuration, les services sur votre instance GitHub Enterprise Server peuvent redémarrer, ce qui peut entraîner un bref temps d’arrêt pour les utilisateurs.

    Shell
    ghe-config-apply
    
  5. Attendez la fin de l’exécution de la configuration.