不得不把私有 git 服务器挂在公网一段时间，用什么方法能提高安全性？

我公司原有一台 git 服务器放在内网，但最近因为业务需要，需要映射到公网大约一年时间。我能想到的就是用 git+ssh 部分提升安全性。请各位大佬再提供一些新的思路，谢谢。

补充：git 是用的 gitea 搭建

Vegetable

2 天前

gitea 这东西设计出来就是公网部署的，大家都在这么用，你担心的是什么？

IvanLi127

2 天前

你愿意的话，再套个 ssh 做跳板，然后应该就能放心了吧🤣

yzding

2 天前

cloudflare zero trust + tunnel 可以满足，设置对应白名单 IP 或者邮箱验证，可以无感访问

cdlnls

2 天前

端口敲门。

我是用 lua 脚本在 nginx 上做了一层判断，访问之前必须先访问一个特定的 URI ，在访问了 URL 后，会把访问者的 IP 加入到白名单中几个小时。直接访问则拒绝访问。

doracoinC

1 天前

@cdlnls #26 这个方法巧妙，和宝塔的安全登录入口有些相似

darrh00

1 天前

gitea 有完整的权限控制啊，设置项目私有，获得项目权限的用户才可以访问

Rorysky

1 天前

https 还不够安全么，该关的端口关掉，尤其是 ssh 非证书方式的话； gitea 本身分配 gitea 用户，禁止登录，分配 shell
/sbin/nologin

guanzhangzhang

1 天前

你映射公网的话，如果对所有人可访问，那 gitlab 有漏洞你就 g 了
另一个思路就是组网 v-p-n ，这样接入了才能访问，还可以做 acl 啥的

iamwin

1 天前

能不能建个 vpn ，先连上 vpn 再访问 gitea ，这种是最安全的

iamwin

1 天前

或者用电信那些服务商提供的 0 信任服务，装客户端使用，本质上也是 wireguard 那些 vpn 组网

Jhma

1 天前

VPN 网对网或者网对端，gitlab 这几天有新漏洞，还是高危，不要暴露出来哈

isSamle

1 天前

多跳几次 docker-->nginx 切端口转发-->限制内网 IP 可访问-->内网 IP 再转发-->内网穿透-->限制目标 IP 可访问

ByteCat

1 天前

有什么风险，我的 Gitea 放公网五年了，没问题的，我用 Docker 部署的，开了 watchtower 自动更新

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.