目前我正在设置Gitlab服务器。将ssh端点公开到互联网(因为这是默认的git协议(并允许ssh管理服务器的好方法是什么。
允许管理(密码保护(用户从互联网进行身份验证似乎不是很"容易";"安全";。
我可以限制某个用户(git(只从特定的IP地址连接吗?因为防火墙+反向代理已经到位。
谢谢你们能分享的任何信息!
我只需要为我的商店做这件事:
- SSH端口22从未(在大公司环境中(向互联网开放,甚至从未向企业负载均衡器/反向代理重定向流量开放:根据我的经验,它不是允许的公共入口点
- 应该在该GitLab服务器上定义一个专用的SSH端口,该端口具有自己的SSH守护进程,并具有:
- 只允许一个专用帐户(
AllowUsers( - 不可能进行交互式会话(
PasswordAuthentication no( - 仅在
~git/.ssh/authorized_keys中使用强制命令,调用gitlab_shell
- 只允许一个专用帐户(
- 负载均衡器/反向代理(在大公司中通常是F5,作为反向代理(会将DMZ的公共22端口重定向到服务器上的专用SSH端口