在不打开管理用户的情况下设置 git SSH 服务器

【问题标题】:Setup git SSH server without opening up the management users在不打开管理用户的情况下设置 git SSH 服务器
【发布时间】:2021-06-21 03:04:12
【问题描述】:

目前我正在建立一个 Gitlab 服务器。 将 ssh 端点暴露给互联网(因为这是默认的 git 协议)并仍然允许 ssh 管理服务器的好方法是什么。

允许管理(受密码保护的)用户从 Internet 进行身份验证似乎不是很“安全”。

我可以限制某个用户 (git) 仅从特定 IP 地址连接,因为防火墙 + 反向代理将到位。

感谢你们分享的任何信息!

【问题讨论】:

标签: git ubuntu security ssh gitlab


【解决方案1】:

我只需要为我的商店这样做:

  1. SSH 端口 22 永远不会(在大公司环境中)向 Internet 开放,甚至不会向企业负载均衡器/反向代理重定向流量开放:根据我的经验,它不是一个允许的公共入口点
  2. 应该在该 GitLab 服务器上定义一个专用的 SSH 端口,它有自己的 SSH 守护进程,其中:
    • 只允许一个专用帐户 (AllowUsers)
    • 无法进行交互式会话 (PasswordAuthentication no)
    • 只是~git/.ssh/authorized_keys中使用的强制命令,调用gitlab_shell
  3. 负载平衡器/反向代理(通常为 F5 in big company,如 reverse-proxy)会将公共 22 端口从 DMZ 重定向到服务器上的专用 SSH 端口

【讨论】:

猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 2016-01-19
  • 1970-01-01
  • 2012-02-14
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode