这是一个创建于 463 天前的主题,其中的信息可能已经有所发展或是发生改变。
我公司原有一台 git 服务器放在内网,但最近因为业务需要,需要映射到公网大约一年时间。我能想到的就是用 git+ssh 部分提升安全性。请各位大佬再提供一些新的思路,谢谢。
补充:git 是用的 gitea 搭建
补充:git 是用的 gitea 搭建
 | 1 Sayuri 2024-09-17 11:41:17 +08:00 via Android 要定期关注这些服务端的漏洞情况,及时升级版本和修复漏洞。 gitlab 太多次 rce 了。 |
 | 2 litchinn 2024-09-17 11:44:33 +08:00 如果是因为办公问题,那么设置白名单,搭建 vpn 都可以,如果就是要对公众开放那么 copy 一份到 github 企业版或 gitee 企业版上去,时间过了迁移回去 |
 | 3 turan12 OP 感谢楼上,补充一下,git 服务器是用的 gitea 来搭建。gitlab 资源占用实在是太大了,配置伤不起啊 |
 | 5 Puteulanus 2024-09-17 11:53:14 +08:00 @turan12 有公网 IP 自己跑个 OpenVPN 就行吧,不需要专门的 VPN 防火墙那种的 |
 | 6 cookii 2024-09-17 11:56:38 +08:00 via Android 组 VPN 最安全 |
| 7 turan12 OP 之前把 vpn 想复杂了,现在 OpenVPN +2 |
| 8 Puteulanus 2024-09-17 12:08:12 +08:00 |
 | 9 0o0O0o0O0o 2024-09-17 12:11:49 +08:00 via iPhone gitolite+cgit |
| 10 turan12 OP @Puteulanus 我研究一下 |
 | 11 smdbh 2024-09-17 12:18:23 +08:00 放公的目的是啥? 是否可以像一份到代托管平? |
 | 12 wangee 2024-09-17 12:26:41 +08:00 Wireguard 就可以了吧,不是很难的。 |
 | 13 dingwen07 2024-09-17 12:36:50 +08:00 找另外一台机器定期 pull 到某个本地目录,然后这台机器开 ssh 暴露到公网 |
 |
 | 15 cyningxu 2024-09-17 13:04:45 +08:00 via Android 一眼 vpn 啊,这还有啥选的吗? |
 | 16 gxt92 2024-09-17 16:26:31 +08:00 VPN 或者跳板机 |
 | 17 displayabc 2024-09-17 17:32:10 +08:00 端口敲门 |
 | 18 wtsamuel 2024-09-17 17:48:35 +08:00 gitea |
 | 19 heyjei 2024-09-17 17:48:58 +08:00 zerotiter 自己建 controller 和 moon 更简单。 我现在正在逐步的把 openvpn 的网络往 zerotier 上面迁移 |
 | 20 z7356995 2024-09-17 17:52:39 +08:00 via Android  1 用 ssh 在用 rsa key 登录禁止密码就可以了,能破解 rsa key 的还没有 |
 | 21 Vegetable 2024-09-17 18:32:35 +08:00 gitea 这东西设计出来就是公网部署的,大家都在这么用,你担心的是什么? |
 | 22 kiracyan 2024-09-17 18:35:05 +08:00 我自己的直接扔公网了 |
 | 23 IvanLi127 2024-09-17 22:07:27 +08:00 1 你愿意的话,再套个 ssh 做跳板,然后应该就能放心了吧 |
 | 24 newdongyuwei 2024-09-17 22:14:26 +08:00 frp 转发请求,设置 auth token 保护 |
 | 25 yzding 2024-09-17 23:21:08 +08:00 cloudflare zero trust + tunnel 可以满足,设置对应白名单 IP 或者邮箱验证,可以无感访问 |
 | 26 cctv6 2024-09-18 01:08:14 +08:00 via Android 2 端口敲门。 我是用 lua 脚本在 nginx 上做了一层判断,访问之前必须先访问一个特定的 URI ,在访问了 URL 后,会把访问者的 IP 加入到白名单中几个小时。直接访问则拒绝访问。 |
 | 27 hyperbin 2024-09-18 08:59:21 +08:00 via Android 只开放公钥登录 |
 | 28 cheng6563 2024-09-18 09:13:03 +08:00 VPN 太麻烦了,建议端口敲门完事 |
 | 29 spartacussoft 2024-0-18 09:40:05 +08:00 ssh 隧道就行 |
 | 30 wuud 2024-09-18 09:50:35 +08:00 账号密码发我,我帮你测测  |
 | 32 darrh00 2024-09-18 10:34:36 +08:00 gitea 有完整的权限控制啊,设置项目私有,获得项目权限的用户才可以访问 |
 | 33 Rorysky 2024-09-18 11:21:20 +08:00 https 还不够安全么,该关的端口关掉,尤其是 ssh 非证书方式的话; gitea 本身分配 gitea 用户,禁止登录,分配 shell /sbin/nologin |
 | 34 tpopen 2024-09-18 11:25:43 +08:00 vpn |
 | 35 guanzhangzhang 2024-09-18 11:27:46 +08:00 你映射公网的话,如果对所有人可访问,那 gitlab 有漏洞你就 g 了 另一个思路就是组网 v-p-n ,这样接入了才能访问,还可以做 acl 啥的 |
 | 36 iamwin 2024-09-18 11:28:04 +08:00 能不能建个 vpn ,先连上 vpn 再访问 gitea ,这种是最安全的 |
| 37 iamwin 2024-09-18 11:29:50 +08:00 或者用电信那些服务商提供的 0 信任服务,装客户端使用,本质上也是 wireguard 那些 vpn 组网 |
 | 38 Jhma 2024-09-18 11:40:56 +08:00 VPN 网对网或者网对端,gitlab 这几天有新漏洞,还是高危,不要暴露出来哈 |
 | 39 isSamle 2024-09-18 14:56:13 +08:00 多跳几次 docker-->nginx 切端口转发-->限制内网 IP 可访问-->内网 IP 再转发-->内网穿透-->限制目标 IP 可访问 |
 | 40 ByteCat 2024-09-18 15:49:57 +08:00 有什么风险,我的 Gitea 放公网五年了,没问题的,我用 Docker 部署的,开了 watchtower 自动更新 |
 | 41 blackPanda 2024-09-18 18:02:17 +08:00 1. git 使用 http 协议拉取和推送 2. nginx 代理 git 的请求,并且开启客户端证书认证 3. 本地安装你发的证书访问 git config http.sslkey your.key git confgi http.sslcert your.crt |
 | 42 pandaxin 2024-09-18 18:50:08 +08:00 公网服务器部署 authelia + nginx 转发 |
 | 43 sopato 2024-09-19 08:41:13 +08:00 via Android 只开放 ssh 协议就好,密钥对基本破解不了。如果还担心,自己再用 gotunnel 之类包装一层,所有需要访问 git 的人在本地机器启动一个通道指向 git ssh 端口就行 |
 | 44 SoyaDokio 2024-09-19 11:19:35 +08:00 如果有专业的运维人员,恐怕不会来这里问。 如果没有专业的运维人员,最低成本高效率的提案是使用现成的解决方案,比如用 GitHub ,把 repo 设置为 private 。 |
 | 45 Ipsum 2024-10-10 22:25:05 +08:00 建议开 vpn 。 |
Select Language