Skip to main content

Como configurar chaves de host para sua instância

Você pode aumentar a segurança de your GitHub Enterprise Server instance configurando os algoritmos que a instância usa para gerar e anunciar chaves de host para conexões SSH de entrada.

Who can use this feature

Site administrators can configure the host keys for a GitHub Enterprise Server instance.

Sobre chaves de host para sua instância

Os servidores que aceitam conexões SSH anunciam uma ou mais chaves de host criptográficas para identificar com segurança o servidor para clientes SSH. Para confirmar a identidade do servidor durante a inicialização de uma conexão, os clientes armazenam e verificam a chave de host. Para obter mais informações, confira SSH Host Key - What, Why, How no site da SSH Academy.

Cada instância de GitHub Enterprise Server aceita conexões SSH em duas portas. Os administradores do site podem acessar o shell administrativo por meio do SSH e, em seguida, executar utilitários de linha de comando, solucionar problemas e executar a manutenção. Os usuários podem se conectar por meio do SSH para acessar e gravar dados do Git nos repositórios da instância. Os usuários não têm acesso de shell à sua instância. Para obter mais informações, consulte os seguintes artigos.

Por padrão, a your GitHub Enterprise Server instance gera e anuncia chaves de host com a rotação de chaves de host no estilo OpenSSH. Para aumentar a segurança do SSH em seu ambiente, você pode habilitar algoritmos adicionais para a geração de chaves de host.

Observação: se você habilitar algoritmos de chave de host adicionais, os clientes que não usam o OpenSSH para conexões SSH poderão receber avisos durante a conexão ou não se conectarem por inteiro. Algumas implementações de SSH podem ignorar algoritmos sem suporte e fazer fallback para um algoritmo diferente. Se o cliente não der suporte a fallback, a conexão falhará. Por exemplo, a biblioteca SSH para Go não dá suporte a fallback para um algoritmo diferente.

Como gerenciar uma chave de host Ed25519

Para aprimorar a segurança dos clientes que se conectam com a your GitHub Enterprise Server instance, você pode habilitar a geração e o comunicado de uma chave de host Ed25519. Ed25519 é imune a alguns ataques que visam algoritmos de assinatura mais antigos, sem comprometer a velocidade. Os clientes SSH mais antigos podem não dar suporte ao Ed25519. Por padrão, as instâncias GitHub Enterprise Server não geram nem anunciam uma chave de host Ed25519. Para obter mais informações, confira o site do Ed25519.

  1. SSH into your GitHub Enterprise Server instance. If your instance comprises multiple nodes, for example if high availability or geo-replication are configured, SSH into the primary node. If you use a cluster, you can SSH into any node. For more information about SSH access, see "Accessing the administrative shell (SSH)."

    $ ssh -p 122 admin@HOSTNAME
  2. Para habilitar a geração e o anúncio da chave de host Ed25519, insira o comando a seguir.

    ghe-config app.babeld.host-key-ed25519 true
  3. Opcionalmente, insira o comando a seguir para desabilitar a geração e o anúncio da chave de host Ed25519.

    ghe-config app.babeld.host-key-ed25519 false
  4. To apply the configuration, enter the following command.

    Note: During a configuration run, services on your GitHub Enterprise Server instance may restart, which can cause brief downtime for users.

    ghe-config-apply
  5. Wait for the configuration run to complete.