Skip to main content

Настройка ключей узла для экземпляра

Вы можете повысить безопасность ваш экземпляр GitHub Enterprise Server, настроив алгоритмы, используемые экземпляром для создания и объявления ключей узлов для входящих подключений SSH.

Кто может использовать эту функцию?

Site administrators can configure the host keys for a GitHub Enterprise Server instance.

Сведения о ключах узла для экземпляра

Серверы, принимающие подключения SSH, объявляют один или несколько ключей узла криптографии для безопасной идентификации сервера для клиентов SSH. Чтобы подтвердить удостоверение сервера во время инициализации подключения, клиенты должны хранить и верифицировать ключ узла. Дополнительные сведения см. в разделе Ключ узла SSH — Что, почему и как на веб-сайте SSH Academy.

Каждый экземпляр данных GitHub Enterprise Server принимает SSH-подключения через два порта. Администраторы сайта могут получить доступ к административной оболочке посредством SSH, а затем запускать служебные программы командной строки, устранять неполадки и выполнять обслуживание. Пользователи могут подключаться по SSH для доступа к данным Git и записи их в репозитории экземпляра. У пользователей нет доступа к экземпляру посредством оболочки. Для получения дополнительных сведений см. следующие статьи.

По умолчанию ваш экземпляр GitHub Enterprise Server создает и объявляет ключи узлов с поворотом ключа узла в стиле OpenSSH. Чтобы повысить уровень безопасности SSH в вашей среде, можно включить дополнительные алгоритмы для создания ключей узла.

Note

Если включить дополнительные алгоритмы ключей узла, клиенты, которые не используют OpenSSH для подключений SSH, могут столкнуться с предупреждениями во время подключения или полностью не подключаться. Некоторые реализации SSH могут игнорировать неподдерживаемые алгоритмы и выполнять откат к другому алгоритму. Если клиент не поддерживает откат, подключение завершится ошибкой. Например, библиотека SSH для Go не поддерживает откат к другому алгоритму.

Управление ключом узла Ed25519

Чтобы повысить безопасность клиентов, подключающихся к ваш экземпляр GitHub Enterprise Server, можно включить создание и объявление ключа узла Ed25519. Ed25519 невосприимчив к некоторым атакам, которые нацелены на старые алгоритмы подписи, без ущерба для скорости. Старые клиенты SSH могут не поддерживать Ed25519. По умолчанию экземпляры GitHub Enterprise Server не создают и не объявляют ключ узла Ed25519. Дополнительные сведения см. на веб-сайте Ed25519.

  1. SSH в ваш экземпляр GitHub Enterprise Server. Если экземпляр состоит из нескольких узлов, например, если настроен высокий уровень доступности или георепликация, передача осуществляется по SSH в основной узел. При использовании кластера можно использовать для передачи по SSH в любой узел. Замените HOSTNAME именем узла для экземпляра, именем узла или IP-адресом узла. Дополнительные сведения см. в разделе Доступ к административной оболочке (SSH).

    Shell
    ssh -p 122 admin@HOSTNAME
    
  2. Чтобы включить создание и объявление ключа узла Ed25519, введите следующую команду.

    ghe-config app.babeld.host-key-ed25519 true
    
  3. При необходимости введите следующую команду, чтобы отключить создание и объявление ключа узла Ed25519.

    ghe-config app.babeld.host-key-ed25519 false
    
  4. Чтобы применить конфигурацию, выполните следующую команду.

    Примечание. Во время выполнения конфигурации службы на ваш экземпляр GitHub Enterprise Server могут перезапуститься, что может привести к краткому простою для пользователей.

    Shell
    ghe-config-apply
    
  5. Подождите завершения запуска конфигурации.