Skip to main content

Enterprise Server 3.15 は、現在リリース候補として使用できます。

インスタンスのホスト キーの構成

インスタンスが受信 SSH 接続のホスト キーを生成およびアドバタイズするために使用するアルゴリズムを構成することで、お使いの GitHub Enterprise Server インスタンスのセキュリティを強化できます。

この機能を使用できるユーザーについて

Site administrators can configure the host keys for a GitHub Enterprise Server instance.

インスタンスのホスト キーについて

SSH 接続を受け入れるサーバーは、SSH クライアントに対してサーバーを安全に識別するために、1 つ以上の暗号化ホスト キーをアドバタイズします。 接続の初期化中にサーバーの ID を確認するために、クライアントはホスト キーを格納して確認します。 詳しくは、SSH Academy Web サイトの「SSH ホスト キー - 概要、理由、方法」を参照してください。

各 GitHub Enterprise Server インスタンスは、2 つ以上のポートの SSH 接続を受け入れます。 サイト管理者は、SSH を使用して管理シェルにアクセスし、コマンド ライン ユーティリティを実行し、トラブルシューティングを行い、メンテナンスを実行できます。 ユーザーは SSH 経由で接続して、インスタンスのリポジトリ内の Git データにアクセスして書き込むことができます。 ユーザーには、インスタンスへのシェル アクセス権がありません。 詳細については、次の記事を参照してください。

既定では、お使いの GitHub Enterprise Server インスタンスは、OpenSSH スタイルのホスト キー ローテーションを使用してホスト キーを生成およびアドバタイズします。 環境内の SSH のセキュリティを強化するために、ホスト キーの生成に関する追加のアルゴリズムを有効にすることができます。

Note

追加のホスト キー アルゴリズムを有効にした場合、SSH 接続に OpenSSH を使わないクライアントでは、接続中に警告が発生したり、完全に接続できない場合があります。 一部の SSH 実装では、サポートされていないアルゴリズムを無視し、別のアルゴリズムにフォールバックできます。 クライアントがフォールバックをサポートしていない場合、接続は失敗します。 たとえば、Go 用 SSH ライブラリでは、別のアルゴリズムへのフォールバックはサポートされていません。

Ed25519 ホスト キーの管理

お使いの GitHub Enterprise Server インスタンスに接続するクライアントのセキュリティを向上させるために、Ed25519 ホスト キーの生成とアドバタイズを有効にすることができます。 Ed25519 は、古い署名アルゴリズムを対象とする一部の攻撃の影響は受けません。スピードが犠牲になることもありません。 古い SSH クライアントでは、Ed25519 がサポートされていない可能性があります。 既定では、GitHub Enterprise Server インスタンスは Ed25519 ホスト キーを生成またはアドバタイズしません。 詳しくは、Ed25519 の Web サイトを参照してください。

  1. お使いの GitHub Enterprise Server インスタンス に SSH で接続します。 インスタンスが複数のノードで構成されている場合は (高可用性や geo レプリケーションが構成されている場合など)、プライマリ ノードに SSH 接続します。 クラスターを使用する場合は、任意のノードに SSH 接続できます。 HOSTNAME をインスタンスのホスト名、またはノードのホスト名または IP アドレスに置き換えます。 詳しくは、「管理シェル (SSH) にアクセスする」を参照してください。

    Shell
    ssh -p 122 admin@HOSTNAME
    
  2. Ed25519 ホスト キーの生成とアドバタイズを有効にするには、次のコマンドを入力します。

    ghe-config app.babeld.host-key-ed25519 true
    
  3. 必要に応じて、次のコマンドを入力して、Ed25519 ホスト キーの生成とアドバタイズを無効にします。

    ghe-config app.babeld.host-key-ed25519 false
    
  4. 構成を適用するには、次のコマンドを実行します。

    Note

    構成の実行中に、お使いの GitHub Enterprise Server インスタンス 上のサービスが再起動する可能性があり、これによりユーザーに短時間のダウンタイムが発生する場合があります。

    Shell
    ghe-config-apply
    
  5. 設定の実行が完了するのを待ってください。