Skip to main content

Enterprise Server 3.15 est actuellement disponible en tant que version finale (RC).

Configuration des connexions SSH sur votre instance

Vous pouvez accroître la sécurité de votre instance GitHub Enterprise Server en configurant les algorithmes SSH que les clients peuvent utiliser pour établir une connexion.

Qui peut utiliser cette fonctionnalité ?

Site administrators can configure SSH connections to a GitHub Enterprise Server instance.

À propos des connexions SSH sur votre instance

Chaque instance de GitHub Enterprise Server accepte les connexions SSH sur deux ports. Les administrateurs de site peuvent accéder à l’interpréteur de commandes d’administration via SSH, puis exécuter des utilitaires en ligne de commande, résoudre des problèmes et effectuer des tâches de maintenance. Les utilisateurs peuvent se connecter via SSH pour consulter et écrire des données Git dans les dépôts de l’instance. Les utilisateurs n’ont pas accès à votre instance par le biais de l’interpréteur de commandes. Pour plus d'informations, consultez les articles suivants.

Pour prendre en charge les clients SSH dans votre environnement, vous pouvez configurer les types de connexions qu’acceptera votre instance GitHub Enterprise Server.

Configuration des connexions SSH avec des clés RSA

Lorsque les utilisateurs effectuent des opérations Git sur votre instance GitHub Enterprise Server via SSH sur le port 22, le client peut s’authentifier avec une clé RSA. Le client peut signer la tentative à l’aide de la fonction de hachage SHA-1. Dans ce contexte, la fonction de hachage SHA-1 n’est plus sécurisée. Pour plus d’informations, consultez « ShA-1 » sur Wikipédia.

Par défaut, les connexions SSH qui répondent aux deux des conditions suivantes échouent.

  • La clé RSA a été ajoutée à un compte d’utilisateur sur votre instance GitHub Enterprise Server après la date limite du 1er août 2022 à minuit UTC.
  • Le client SSH signe la tentative de connexion avec la fonction de hachage SHA-1.

Vous pouvez ajuster la date limite. Si l’utilisateur a chargé la clé RSA avant la date limite, le client peut continuer à se connecter avec succès en utilisant SHA-1 tant que la clé reste valide. Vous pouvez également rejeter toutes les connexions SSH authentifiées avec une clé RSA si le client signe la connexion en utilisant la fonction de hachage SHA-1.

Quel que soit le paramètre que vous choisissez pour votre instance, les clients peuvent continuer à se connecter en utilisant n’importe quelle clé RSA signée avec une fonction de hachage SHA-2.

Si vous utilisez une autorité de certification SSH, les connexions échouent si la date valid_after du certificat est postérieure à la date limite. Pour plus d’informations, consultez « À propos des autorités de certification SSH ».

Pour plus d’informations, consultez the GitHub Blog.

  1. Connexion SSH à votre instance GitHub Enterprise Server. Si votre instance comprend plusieurs nœuds, par exemple si la haute disponibilité ou la géoréplication sont configurées, connectez-vous via SSH au nœud principal. Si vous utilisez un cluster, vous pouvez vous connecter via SSH à n’importe quel nœud. Remplacez HOSTNAME par le nom d’hôte de votre instance, le nom d’hôte ou l’adresse IP d’un nœud. Pour plus d’informations, consultez « Accès à l’interpréteur de commandes d’administration (SSH) ».

    Shell
    ssh -p 122 admin@HOSTNAME
    
  2. Auditez les journaux de votre instance pour les connexions qui utilisent des algorithmes non sécurisés ou des fonctions de hachage avec l’utilitaire ghe-find-insecure-git-operations. Pour plus d’informations, consultez « Utilitaires de ligne de commande ».

  3. Pour configurer une date limite après laquelle votre instance GitHub Enterprise Server refusera les connexions des clients qui utilisent une clé RSA chargée après la date si la connexion est signée par la fonction de hachage SHA-1, entrez la commande suivante. Remplacez RFC-3399-UTC-TIMESTAMP par un horodatage UTC RFC 3399 valide. Par exemple, la valeur par défaut, 1er août 2022, serait représentée sous la forme 2022-08-01T00:00:00Z. Pour plus d’informations, consultez la RFC 3339 sur le site web IETF.

    $ ghe-config app.gitauth.rsa-sha1 RFC-3339-UTC-TIMESTAMP
    
  4. Vous pouvez aussi désactiver complètement les connexions SSH utilisant des clés RSA signées avec la fonction de hachage SHA-1. Pour cela, entrez la commande suivante.

    ghe-config app.gitauth.rsa-sha1 false
    
  5. Pour appliquer la configuration, exécutez la commande suivante.

    Remarque : Durant une exécution de configuration, les services sur votre instance GitHub Enterprise Server peuvent redémarrer, ce qui peut entraîner un bref temps d’arrêt pour les utilisateurs.

    Shell
    ghe-config-apply
    
  6. Attendez la fin de l’exécution de la configuration.