Skip to main content

Enterprise Server 3.15 ist derzeit als Release Candidate verfügbar.

Konfigurieren von Hostschlüsseln für deine Instanz

Du kannst die Sicherheit von Ihre GitHub Enterprise Server-Instance erhöhen, indem du die Algorithmen konfigurierst, die deine Instanz zum Generieren und Ankündigen von Hostschlüsseln für eingehende SSH-Verbindungen verwendet.

Wer kann dieses Feature verwenden?

Site administrators can configure the host keys for a GitHub Enterprise Server instance.

Informationen zu Hostschlüsseln für deine Instanz

Server, die SSH-Verbindungen akzeptieren, kündigen einen oder mehrere kryptografische Hostschlüssel an, um den Server für SSH-Clients sicher zu identifizieren. Um die Identität des Servers während der Initialisierung einer Verbindung zu bestätigen, speichern und überprüfen Clients den Hostschlüssel. Weitere Informationen findest du unter SSH Host Key - What, Why, How auf der Website der SSH Academy.

Jede GitHub Enterprise Server-Instanz akzeptiert SSH-Verbindungen über zwei Ports. Websiteadministratoren können über SSH auf die Verwaltungsshell zugreifen, dann Befehlszeilen-Hilfsprogramme ausführen, Problembehandlung und Wartung durchführen. Benutzer können eine Verbindung über SSH herstellen und in den Repositorys der Instanz auf Git-Daten zuzugreifen und sie schreiben. Benutzer haben keinen Shellzugriff auf deine Instanz. Weitere Informationen findest du in den folgenden Artikeln.

Standardmäßig werden von Ihre GitHub Enterprise Server-Instance Hostschlüssel unter Verwendung einer OpenSSH-ähnlichen Hostschlüsselrotation generiert und angekündigt. Um die Sicherheit von SSH in deiner Umgebung zu erhöhen, kannst du zusätzliche Algorithmen für die Generierung von Hostschlüsseln aktivieren.

Hinweis: Wenn du zusätzliche Hostschlüsselalgorithmen aktivierst, kann es vorkommen, dass Clients, die für SSH-Verbindungen nicht OpenSSH verwenden, während der Verbindung Warnungen erhalten oder dass die Verbindung ganz fehlschlägt. Einige SSH-Implementierungen können nicht unterstützte Algorithmen ignorieren und ein Fallback zu einem anderen Algorithmus vornehmen. Wenn der Client kein Fallback unterstützt, schlägt die Verbindung fehl. Die SSH-Bibliothek für Go unterstützt beispielsweise kein Fallback zu einem anderen Algorithmus.

Verwalten eines Ed25519-Hostschlüssels

Um die Sicherheit für Clients zu erhöhen, die sich mit Ihre GitHub Enterprise Server-Instance verbinden, kannst du die Generierung und Ankündigung eines Ed25519-Hostschlüssels aktivieren. Ed25519 ist immun gegen einige Angriffe, die auf ältere Signaturalgorithmen abzielen, ohne dabei an Geschwindigkeit einzubüßen. Ältere SSH-Clients unterstützen möglicherweise Ed25519 nicht. Standardmäßig werden von GitHub Enterprise Server-Instanzen keine Ed25519-Hostschlüssel generiert oder angekündigt. Weitere Informationen findest du auf der Website zu Ed25519.

  1. Melde dich über SSH bei Ihre GitHub Enterprise Server-Instance an. Wenn deine Instanz mehrere Knoten umfasst, wenn z. B. Hochverfügbarkeit oder Georeplikation konfiguriert ist, wird SSH im primären Knoten konfiguriert. Wenn du einen Cluster verwendest, kannst du SSH in einen beliebigen Knoten einfügen. Ersetzen Sie HOSTNAME durch den Hostnamen Ihrer Instanz bzw. durch den Hostnamen oder die IP-Adresse eines Knotens. Weitere Informationen findest du unter Auf die Verwaltungsshell (SSH) zugreifen.

    Shell
    ssh -p 122 admin@HOSTNAME
    
  2. Gib den folgenden Befehl ein, um die Generierung und Ankündigung des Ed25519-Hostschlüssels zu aktivieren.

    ghe-config app.babeld.host-key-ed25519 true
    
  3. Gib optional den folgenden Befehl ein, um die Generierung und Ankündigung des Ed25519-Hostschlüssels zu deaktivieren.

    ghe-config app.babeld.host-key-ed25519 false
    
  4. Führe den folgenden Befehl aus, um die Konfiguration anzuwenden.

    Hinweis: Während einer Konfigurationsausführung können die Dienste auf Ihre GitHub Enterprise Server-Instance neu gestartet werden, was zu kurzen Ausfallzeiten für Benutzer führen kann.

    Shell
    ghe-config-apply
    
  5. Warte auf den Abschluss der Konfigurationsausführung.