Skip to main content

Эта версия GitHub Enterprise Server была прекращена 2024-03-26. Исправления выпускаться не будут даже при критических проблемах безопасности. Для повышения производительности, повышения безопасности и новых функций выполните обновление до последней версии GitHub Enterprise Server. Чтобы получить справку по обновлению, обратитесь в службу поддержки GitHub Enterprise.

Настройка SSH-подключений к экземпляру

Вы можете повысить безопасность ваш экземпляр GitHub Enterprise Server, настроив алгоритмы SSH, которые клиенты могут использовать для установления подключения.

Кто эту функцию можно использовать?

Site administrators can configure SSH connections to a GitHub Enterprise Server instance.

Настройка SSH-подключений к экземпляру

Каждый экземпляр данных GitHub Enterprise Server принимает SSH-подключения через два порта. Администраторы сайта могут получить доступ к административной оболочке посредством SSH, а затем запускать служебные программы командной строки, устранять неполадки и выполнять обслуживание. Пользователи могут подключаться по SSH для доступа к данным Git и записи их в репозитории экземпляра. У пользователей нет доступа к экземпляру посредством оболочки. Для получения дополнительных сведений см. следующие статьи.

Для размещения клиентов SSH в вашей среде можно настроить типы подключений, которые будут принимать ваш экземпляр GitHub Enterprise Server.

Настройка SSH-подключений с помощью ключей RSA

Когда пользователи выполняют операции Git с ваш экземпляр GitHub Enterprise Server через SSH через порт 22, клиент может пройти проверку подлинности с помощью ключа RSA. Клиент может подписать попытку с помощью хэш-функции SHA-1. В этом контексте хэш-функция SHA-1 больше не является безопасной. Дополнительные сведения см. в статье SHA-1 в Википедии.

По умолчанию подключения SSH, удовлетворяющие обоим из следующих условий, завершаются сбоем.

  • Ключ RSA был добавлен в учетную запись пользователя на ваш экземпляр GitHub Enterprise Server после даты отключения полуночи UTC 1 августа 2022 года.
  • Клиент SSH подписывает попытку подключения с помощью хэш-функции SHA-1.

Вы можете настроить дату прекращения. Если пользователь отправил ключ RSA до даты отключения, клиент может продолжать подключаться успешно с помощью SHA-1 до тех пор, пока ключ остается допустимым. Кроме того, можно отклонить все подключения SSH, прошедшие проверку подлинности с помощью ключа RSA, если клиент подписывает подключение с помощью хэш-функции SHA-1.

Независимо от выбранных параметров экземпляра клиенты могут по-прежнему подключаться с использованием любого ключа RSA, подписанного хэш-функцией SHA-2.

Если вы используете центр сертификации SSH, подключения завершаются ошибкой, если дата valid_after сертификата установлена позднее, чем дата прекращения. Дополнительные сведения см. в разделе Сведения о центрах сертификации SSH.

Дополнительные сведения см. в the GitHub Blog.

  1. SSH в ваш экземпляр GitHub Enterprise Server. Если экземпляр состоит из нескольких узлов, например, если настроен высокий уровень доступности или георепликация, передача осуществляется по SSH в основной узел. При использовании кластера можно использовать для передачи по SSH в любой узел. Замените HOSTNAME именем узла для экземпляра, именем узла или IP-адресом узла. Дополнительные сведения см. в разделе Доступ к административной оболочке (SSH).

    Shell
    ssh -p 122 admin@HOSTNAME
    
  2. Проверьте журналы экземпляра на наличие подключений, использующих небезопасные алгоритмы или хэш-функции, используя для этого служебную программу ghe-find-insecure-git-operations. Дополнительные сведения см. в разделе Служебные программы командной строки.

  3. Чтобы настроить дату отсечения, после которой ваш экземпляр GitHub Enterprise Server отклонит подключения от клиентов, использующих ключ RSA, отправленный после даты, если подключение подписано хэш-функцией SHA-1, введите следующую команду. Замените RFC-3399-UTC-TIMESTAMP допустимой меткой времени RFC 3399 UTC. Например, значение по умолчанию "1 августа 2022 г." будет представлено как 2022-08-01T00:00:00Z. Дополнительные сведения см. в разделе RFC 3339 на веб-сайте IETF.

    $ ghe-config app.gitauth.rsa-sha1 RFC-3339-UTC-TIMESTAMP
    
  4. Кроме того, чтобы полностью отключить SSH-подключения, использующие ключи RSA, подписанные с помощью хэш-функции SHA-1, введите следующую команду.

    ghe-config app.gitauth.rsa-sha1 false
    
  5. Чтобы применить конфигурацию, выполните следующую команду.

    Примечание. Во время выполнения конфигурации службы на ваш экземпляр GitHub Enterprise Server могут перезапуститься, что может привести к краткому простою для пользователей.

    Shell
    ghe-config-apply
    
  6. Подождите завершения запуска конфигурации.