为什么公司不允许 ssh 链接 gitlab

2022-10-21 13:15:03 +08:00
 breadykidliu

遇到 3 家公司不允许了,前两家是员工个位数的小作坊,搭建 gitlab 的人技术菜,我可以理解。
但是现在入职了中厂,有专门的的运维部门,运维人也不少,也不允许 ssh ,只能密码链接。
觉得无法理解,是有什么安全问题吗?

10138 次点击
所在节点    程序员
76 条回复
liuidetmks
2022-10-21 14:05:34 +08:00
ssh 不是比密码更安全吗
jwangkun
2022-10-21 14:10:02 +08:00
SSH ,需要放开服务器的 ssh 协议给所有人,对于安全团队来说,绝对是不被允许的,在放开 git 的同时,也放开了远程登录的入口,风险太大了,理解一下安全人员吧,而且又不是不能用,为什么要公司为了将就你的习惯增加公司风险
mrzx
2022-10-21 14:13:01 +08:00
宝马总公司 IT 总部这里依然是建议不使用 ssh.

但的确开放出来了,并且对一个 ip 的 ssh session 做了限制。

是宝马内部的 gitlab.

一个是宝马内部网络很复杂,有很多专线网络互通采用 nat.你一个人把一整个分公司那可怜的 5 个 ssh session 给占满了,别人就用不了

另外一个问题是安全考量

你们觉得是因为菜才禁用,那是以你们程序员的视角来看的。。。运维人员反而觉得你们更菜,连基本的运维安全角度都没有考虑过,只觉得从自己单方面使用便利不便利的角度来看待事物。。。
zoharSoul
2022-10-21 14:15:14 +08:00
@jwangkun #22 你在说什么? 感觉你和其他人不在一个频道上
cco
2022-10-21 14:17:28 +08:00
因为主管网络策略的部门不允许 ssh 连接。所以只能通过 https 去访问了,其实和菜没关系。我们测试环境和生产是同样的安全等级,你敢信- -。
jwangkun
2022-10-21 14:18:01 +08:00
@mrzx 你说的对,我就是安全从业人员,也是开发人员
neroxps
2022-10-21 14:18:24 +08:00
猜测是安全策略好做吧?所有 SSH 外部流量均拒绝?
f6x
2022-10-21 14:20:45 +08:00
@jwangkun git 的 ssh 根本不是服务器 login 的 ssh, 各自独立的. 端口一般都设成不一样的.
https 的 ssl 并不会比 ssh 的 ssl 安全, 都是一样的算法.
菜就是菜
anubu
2022-10-21 14:25:33 +08:00
#9 说的是一种可能。我司碰到过,等保扫描规则认为开放 22 就是不安全,从技术上解释也没有意义,规则就这么定的,这条就是不合格。

当然,可以开通非标准端口 ssh ,但也有额外沟通成本,可能就关掉省事吧。
redial39
2022-10-21 14:31:36 +08:00
@f6x 现在最辣鸡的安全设备,也不是按端口去封..按协议封是常态,都是按流量特征去识别的,而且大部分检测只要测到 22 都会被通告,对运维人员来讲
开,大概率被安全通报
针对客户端 ip 开,网络安全流程麻烦
还不如关了
SteveRogers
2022-10-21 14:33:34 +08:00
作为某大厂、安全策略实施者,我来终结此贴:因为 ssh 审计成本大,需要专门配置解密器,才能限制上传和下载两个权限。而 https 目前解密技术成熟、高效,可以快速识别。就是这么简单。别的地方不说、我这里最近半年就查到 10 起代码上传违规、不管起来、还不得上天?
weizhen199
2022-10-21 14:33:54 +08:00
因为 22 口是重点检测,大部分时候被一刀切了
Nitroethane
2022-10-21 14:37:42 +08:00
我记得可以在 git 的配置文件里指定用户名和密码,配置好之后不用每次输入了
shanyuhai123
2022-10-21 14:39:24 +08:00
@weizhen199 可以改端口的
int0x03
2022-10-21 14:41:46 +08:00
@SteveRogers 确实.

美企大厂也只能 http. 并且公司定期 google 外网上包含公司标签的内容. 每年审计出好几个好多人把公司代码传到 github 的例子.
iyaozhen
2022-10-21 14:42:42 +08:00
感觉相反呀 只允许 ssh

因为 https 帐号密码更不安全,ssh 走 kinit 认证
zhhww57
2022-10-21 15:12:47 +08:00
sshd 又不是不能开两个,分别两个配置文件,然后那个用来做 git 的做好权限隔离
weeei
2022-10-21 15:24:54 +08:00
GitHub 建议 HTTPS ,没啥特别的原因,只是 HTTPS 相对来说更容易部署和防火墙不用做额外策略。
dog82
2022-10-21 17:12:57 +08:00
github 配 access token 就挺麻烦的
buppter
2022-10-21 17:12:59 +08:00
我们公司恰好相反,只能用 ssh

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/888699

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX