記事のバージョン: Enterprise Server 2.17
許可されていないアクセスを防止する
Heartbleed bug などのセキュリティインシデントについては、メディアで警告を見たことがあるかもしれません。そうでなければ、使用している GitHub Enterprise Serverインスタンス にサインインしている間にコンピュータから情報を盗まれている可能性があります。 そのような場合でも、パスワードを変更すれば、アカウントやプロジェクトにこれ以上不正にアクセスされるのを防ぐことができます。
GitHub Enterprise では、新しい SSH キーを追加する、アプリケーションを認証する、Team メンバーを変更するといった重要なアクションを実行するとき、パスワードが要求されます。
アカウントのセキュリティを保つために、パスワードを変更してから次のアクションを実行するようにしてください:
-
アクセスするときパスワード以外の手段も要求されるように、2 要素認証を有効化します。
-
SSH キー、デプロイキー、および許可されたインテグレーションをレビューして、SSH および Applications の設定で権限のない、または見覚えのないアクセスを削除します。
-
アカウントのセキュリティログをレビューします。 これで、リポジトリに対する各種の設定について概要がわかります。 たとえば、プライベートリポジトリがパブリックに変更されていないか、リポジトリが移譲されていないかを確認できます。
-
リポジトリでサービスフックをレビューします。 サービスフックがあると、攻撃者がリポジトリに対するプッシュを傍受できる恐れがあります。
-
新しいデプロイキーが作成されてないことを確認します。 デプロイキーがあると、外部サーバーがあなたのプロジェクトにアクセスできる恐れがあります。
-
リポジトリに対する最近のコミットをレビューします。
-
リポジトリごとにコラボレーターのリストをレビューします。