Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы может все еще выполняться. Актуальные сведения см. в документации на английском языке.
All products
Административные руководители предприятия

Настройка ключей узла для экземпляра

В этой статье

Вы можете повысить безопасность экземпляр GitHub Enterprise Server, настроив алгоритмы, используемые экземпляром для создания и объявления ключей узла для входящих SSH-подключений.

Кто может использовать эту функцию

Site administrators can configure the host keys for a GitHub Enterprise Server instance.

Сведения о ключах узла для экземпляра

Серверы, принимающие подключения SSH, объявляют один или несколько ключей узла криптографии для безопасной идентификации сервера для клиентов SSH. Чтобы подтвердить удостоверение сервера во время инициализации подключения, клиенты должны хранить и верифицировать ключ узла. Дополнительные сведения см. в разделе Ключ узла SSH — Что, почему и как на веб-сайте SSH Academy.

Каждый экземпляр данных GitHub Enterprise Server принимает SSH-подключения через два порта. Администраторы сайта могут получить доступ к административной оболочке посредством SSH, а затем запускать служебные программы командной строки, устранять неполадки и выполнять обслуживание. Пользователи могут подключаться по SSH для доступа к данным Git и записи их в репозитории экземпляра. У пользователей нет доступа к экземпляру посредством оболочки. Дополнительные сведения см. в следующих руководствах.

По умолчанию экземпляр GitHub Enterprise Server создает и объявляет ключи узла с помощью смены ключей узла в стиле OpenSSH. Чтобы повысить уровень безопасности SSH в вашей среде, можно включить дополнительные алгоритмы для создания ключей узла.

Примечание. Если включить дополнительные алгоритмы ключей узла, клиенты, которые не используют OpenSSH для подключений SSH, могут видеть предупреждения во время подключения, или подключение завершается сбоем. Некоторые реализации SSH могут игнорировать неподдерживаемые алгоритмы и выполнять откат к другому алгоритму. Если клиент не поддерживает откат, подключение завершится ошибкой. Например, библиотека SSH для Go не поддерживает откат к другому алгоритму.

Управление ключом узла Ed25519

Чтобы повысить безопасность клиентов, подключающихся к экземпляр GitHub Enterprise Server, можно включить создание и объявление ключа узла Ed25519. Ed25519 невосприимчив к некоторым атакам, которые нацелены на старые алгоритмы подписи, без ущерба для скорости. Старые клиенты SSH могут не поддерживать Ed25519. По умолчанию экземпляры GitHub Enterprise Server не создают и не объявляют ключ узла Ed25519. Дополнительные сведения см. на веб-сайте Ed25519.

  1. Переход по протоколу SSH в экземпляр GitHub Enterprise Server. Если экземпляр состоит из нескольких узлов, например, если настроен высокий уровень доступности или георепликация, передача осуществляется по SSH в основной узел. При использовании кластера можно использовать для передачи по SSH в любой узел. Дополнительные сведения о доступе по протоколу SSH см. в разделе Доступ к административной оболочке (SSH).

    $ ssh -p 122 admin@HOSTNAME

  2. Чтобы включить создание и объявление ключа узла Ed25519, введите следующую команду.

    ghe-config app.babeld.host-key-ed25519 true

  3. При необходимости введите следующую команду, чтобы отключить создание и объявление ключа узла Ed25519.

    ghe-config app.babeld.host-key-ed25519 false

  4. Чтобы применить конфигурацию, введите следующую команду.

    Примечание. Во время выполнения конфигурации службы в экземпляр GitHub Enterprise Server могут перезапуститься, что может привести к кратковременным простоям пользователей.

    ghe-config-apply

  5. Подождите завершения запуска конфигурации.