Skip to main content

Enterprise Server 3.15 está disponível no momento como versão release candidate.

Como configurar chaves de host para sua instância

Você pode aumentar a segurança de sua instância do GitHub Enterprise Server configurando os algoritmos que a instância usa para gerar e anunciar chaves de host para conexões SSH de entrada.

Quem pode usar esse recurso?

Site administrators can configure the host keys for a GitHub Enterprise Server instance.

Sobre chaves de host para sua instância

Os servidores que aceitam conexões SSH anunciam uma ou mais chaves de host criptográficas para identificar com segurança o servidor para clientes SSH. Para confirmar a identidade do servidor durante a inicialização de uma conexão, os clientes armazenam e verificam a chave de host. Para obter mais informações, confira SSH Host Key - What, Why, How no site da SSH Academy.

Cada instância de GitHub Enterprise Server aceita conexões SSH em duas portas. Os administradores do site podem acessar o shell administrativo por meio do SSH e, em seguida, executar utilitários de linha de comando, solucionar problemas e executar a manutenção. Os usuários podem se conectar por meio do SSH para acessar e gravar dados do Git nos repositórios da instância. Os usuários não têm acesso de shell à sua instância. Para obter mais informações, consulte os seguintes artigos.

Por padrão, a sua instância do GitHub Enterprise Server gera e anuncia chaves de host com a rotação de chaves de host no estilo OpenSSH. Para aumentar a segurança do SSH em seu ambiente, você pode habilitar algoritmos adicionais para a geração de chaves de host.

Observação: se você habilitar algoritmos de chave de host adicionais, os clientes que não usam o OpenSSH para conexões SSH poderão receber avisos durante a conexão ou não se conectarem por inteiro. Algumas implementações de SSH podem ignorar algoritmos sem suporte e fazer fallback para um algoritmo diferente. Se o cliente não der suporte a fallback, a conexão falhará. Por exemplo, a biblioteca SSH para Go não dá suporte a fallback para um algoritmo diferente.

Como gerenciar uma chave de host Ed25519

Para aprimorar a segurança dos clientes que se conectam com a sua instância do GitHub Enterprise Server, você pode habilitar a geração e o comunicado de uma chave de host Ed25519. Ed25519 é imune a alguns ataques que visam algoritmos de assinatura mais antigos, sem comprometer a velocidade. Os clientes SSH mais antigos podem não dar suporte ao Ed25519. Por padrão, as instâncias GitHub Enterprise Server não geram nem anunciam uma chave de host Ed25519. Para obter mais informações, confira o site do Ed25519.

  1. Conecte-se via SSH ao sua instância do GitHub Enterprise Server. Se sua instância for composta por vários nós, por exemplo, se a alta disponibilidade ou a replicação geográfica estiver configurada, efetue SSH no nó primário. Se você usar um cluster, poderá efetuar SSH em qualquer nó. Substitua HOSTNAME pelo nome do host da instância ou pelo nome do host ou endereço IP de um nó. Para obter mais informações, confira "Acesar o shell administrativo (SSH)".

    Shell
    ssh -p 122 admin@HOSTNAME
    
  2. Para habilitar a geração e o anúncio da chave de host Ed25519, insira o comando a seguir.

    ghe-config app.babeld.host-key-ed25519 true
    
  3. Opcionalmente, insira o comando a seguir para desabilitar a geração e o anúncio da chave de host Ed25519.

    ghe-config app.babeld.host-key-ed25519 false
    
  4. Para aplicar a configuração, execute o comando a seguir.

    Observação: durante uma execução de configuração, os serviços do sua instância do GitHub Enterprise Server podem ser reiniciados, o que pode causar um breve tempo de inatividade para os usuários.

    Shell
    ghe-config-apply
    
  5. Aguarde a conclusão da execução de suas configurações.