Настройка SSH-подключений к экземпляру
Каждый экземпляр данных GitHub Enterprise Server принимает SSH-подключения через два порта. Администраторы сайта могут получить доступ к административной оболочке посредством SSH, а затем запускать служебные программы командной строки, устранять неполадки и выполнять обслуживание. Пользователи могут подключаться по SSH для доступа к данным Git и записи их в репозитории экземпляра. У пользователей нет доступа к экземпляру посредством оболочки. Для получения дополнительных сведений см. следующие статьи.
Для размещения клиентов SSH в вашей среде можно настроить типы подключений, которые будут принимать ваш экземпляр GitHub Enterprise Server.
Настройка SSH-подключений с помощью ключей RSA
Когда пользователи выполняют операции Git с ваш экземпляр GitHub Enterprise Server через SSH через порт 22, клиент может пройти проверку подлинности с помощью ключа RSA. Клиент может подписать попытку с помощью хэш-функции SHA-1. В этом контексте хэш-функция SHA-1 больше не является безопасной. Дополнительные сведения см. в статье SHA-1 в Википедии.
По умолчанию подключения SSH, удовлетворяющие обоим из следующих условий, завершаются сбоем.
- Ключ RSA был добавлен в учетную запись пользователя на ваш экземпляр GitHub Enterprise Server после даты отключения полуночи UTC 1 августа 2022 года.
- Клиент SSH подписывает попытку подключения с помощью хэш-функции SHA-1.
Вы можете настроить дату прекращения. Если пользователь отправил ключ RSA до даты отключения, клиент может продолжать подключаться успешно с помощью SHA-1 до тех пор, пока ключ остается допустимым. Кроме того, можно отклонить все подключения SSH, прошедшие проверку подлинности с помощью ключа RSA, если клиент подписывает подключение с помощью хэш-функции SHA-1.
Независимо от выбранных параметров экземпляра клиенты могут по-прежнему подключаться с использованием любого ключа RSA, подписанного хэш-функцией SHA-2.
Если вы используете центр сертификации SSH, подключения завершаются ошибкой, если дата valid_after
сертификата установлена позднее, чем дата прекращения. Дополнительные сведения см. в разделе Сведения о центрах сертификации SSH.
Дополнительные сведения см. в the GitHub Blog.
-
SSH в ваш экземпляр GitHub Enterprise Server. Если экземпляр состоит из нескольких узлов, например, если настроен высокий уровень доступности или георепликация, передача осуществляется по SSH в основной узел. При использовании кластера можно использовать для передачи по SSH в любой узел. Замените HOSTNAME именем узла для экземпляра, именем узла или IP-адресом узла. Дополнительные сведения см. в разделе Доступ к административной оболочке (SSH).
Shell ssh -p 122 admin@HOSTNAME
ssh -p 122 admin@HOSTNAME
-
Проверьте журналы экземпляра на наличие подключений, использующих небезопасные алгоритмы или хэш-функции, используя для этого служебную программу
ghe-find-insecure-git-operations
. Дополнительные сведения см. в разделе Служебные программы командной строки. -
Чтобы настроить дату отсечения, после которой ваш экземпляр GitHub Enterprise Server отклонит подключения от клиентов, использующих ключ RSA, отправленный после даты, если подключение подписано хэш-функцией SHA-1, введите следующую команду. Замените RFC-3399-UTC-TIMESTAMP допустимой меткой времени RFC 3399 UTC. Например, значение по умолчанию "1 августа 2022 г." будет представлено как
2022-08-01T00:00:00Z
. Дополнительные сведения см. в разделе RFC 3339 на веб-сайте IETF.$ ghe-config app.gitauth.rsa-sha1 RFC-3339-UTC-TIMESTAMP
-
Кроме того, чтобы полностью отключить SSH-подключения, использующие ключи RSA, подписанные с помощью хэш-функции SHA-1, введите следующую команду.
ghe-config app.gitauth.rsa-sha1 false
-
Чтобы применить конфигурацию, выполните следующую команду.
Note
Во время выполнения конфигурации службы на ваш экземпляр GitHub Enterprise Server могут перезапуститься, что может привести к краткому простою для пользователей.
Shell ghe-config-apply
ghe-config-apply
-
Подождите завершения запуска конфигурации.