我公司原有一台 git 服务器放在内网,但最近因为业务需要,需要映射到公网大约一年时间。我能想到的就是用 git+ssh 部分提升安全性。请各位大佬再提供一些新的思路,谢谢。
补充:git 是用的 gitea 搭建
补充:git 是用的 gitea 搭建
This topic created in 604 days ago, the information mentioned may be changed or developed.
 | 1 Sayuri Sep 17, 2024 via Android 要定期关注这些服务端的漏洞情况,及时升级版本和修复漏洞。 gitlab 太多次 rce 了。 |
 | 2 litchinn Sep 17, 2024 如果是因为办公问题,那么设置白名单,搭建 vpn 都可以,如果就是要对公众开放那么 copy 一份到 github 企业版或 gitee 企业版上去,时间过了迁移回去 |
 | 3 turan12 OP 感谢楼上,补充一下,git 服务器是用的 gitea 来搭建。gitlab 资源占用实在是太大了,配置伤不起啊 |
 | 5 Puteulanus Sep 17, 2024 @turan12 有公网 IP 自己跑个 OpenVPN 就行吧,不需要专门的 VPN 防火墙那种的 |
 | 6 cookii Sep 17, 2024 via Android 组 VPN 最安全 |
| 7 turan12 OP 之前把 vpn 想复杂了,现在 OpenVPN +2 |
| 8 Puteulanus Sep 17, 2024 |
 | 9 0o0O0o0O0o Sep 17, 2024 via iPhone gitolite+cgit |
| 10 turan12 OP @Puteulanus 我研究一下 |
 | 11 smdbh Sep 17, 2024 放公的目的是啥? 是否可以像一份到代托管平? |
 | 12 wangee Sep 17, 2024 Wireguard 就可以了吧,不是很难的。 |
 | 13 dingwen07 Sep 17, 2024 找另外一台机器定期 pull 到某个本地目录,然后这台机器开 ssh 暴露到公网 |
 | 14 ludyleocn Sep 17, 2024 via iPhone 不开 ipv4 用内网指定同服务商另一台机子(这个台开 ipc4 )远程? |
 | 15 cyningxu Sep 17, 2024 via Android 一眼 vpn 啊,这还有啥选的吗? |
 | 16 gxt92 Sep 17, 2024 VPN 或者跳板机 |
 | 17 displayabc Sep 17, 2024 端口敲门 |
 | 18 wtsamuel Sep 17, 2024 gitea |
 | 19 heyjei Sep 17, 2024 zerotiter 自己建 controller 和 moon 更简单。 我现在正在逐步的把 openvpn 的网络往 zerotier 上面迁移 |
 | 20 z7356995 Sep 17, 2024 via Android  1 用 ssh 在用 rsa key 登录禁止密码就可以了,能破解 rsa key 的还没有 |
 | 21 Vegetable Sep 17, 2024 gitea 这东西设计出来就是公网部署的,大家都在这么用,你担心的是什么? |
 | 22 kiracyan Sep 17, 2024 我自己的直接扔公网了 |
 | 23 IvanLi127 Sep 17, 2024 1 你愿意的话,再套个 ssh 做跳板,然后应该就能放心了吧 |
 | 24 newdongyuwei Sep 17, 2024 frp 转发请求,设置 auth token 保护 |
 | 25 yzding Sep 17, 2024 cloudflare zero trust + tunnel 可以满足,设置对应白名单 IP 或者邮箱验证,可以无感访问 |
 | 26 cctv6 Sep 18, 2024 via Android 2 端口敲门。 我是用 lua 脚本在 nginx 上做了一层判断,访问之前必须先访问一个特定的 URI ,在访问了 URL 后,会把访问者的 IP 加入到白名单中几个小时。直接访问则拒绝访问。 |
 | 27 hyperbin Sep 18, 2024 via Android 只开放公钥登录 |
 | 28 cheng6563 Sep 18, 2024 VPN 太麻烦了,建议端口敲门完事 |
 | 29 spartacussoft Sep 18, 2024 ssh 隧道就行 |
 | 30 wuud Sep 18, 2024 账号密码发我,我帮你测测  |
 | 32 darrh00 Sep 18, 2024 gitea 有完整的权限控制啊,设置项目私有,获得项目权限的用户才可以访问 |
 | 33 Rorysky Sep 18, 2024 https 还不够安全么,该关的端口关掉,尤其是 ssh 非证书方式的话; gitea 本身分配 gitea 用户,禁止登录,分配 shell /sbin/nologin |
 | 34 tpopen Sep 18, 2024 vpn |
 | 35 guanzhangzhang Sep 18, 2024 你映射公网的话,如果对所有人可访问,那 gitlab 有漏洞你就 g 了 另一个思路就是组网 v-p-n ,这样接入了才能访问,还可以做 acl 啥的 |
 | 36 iamwin Sep 18, 2024 能不能建个 vpn ,先连上 vpn 再访问 gitea ,这种是最安全的 |
| 37 iamwin Sep 18, 2024 或者用电信那些服务商提供的 0 信任服务,装客户端使用,本质上也是 wireguard 那些 vpn 组网 |
 | 38 Jhma Sep 18, 2024 VPN 网对网或者网对端,gitlab 这几天有新漏洞,还是高危,不要暴露出来哈 |
 | 39 isSamle Sep 18, 2024 多跳几次 docker-->nginx 切端口转发-->限制内网 IP 可访问-->内网 IP 再转发-->内网穿透-->限制目标 IP 可访问 |
 | 40 ByteCat Sep 18, 2024 有什么风险,我的 Gitea 放公网五年了,没问题的,我用 Docker 部署的,开了 watchtower 自动更新 |
 | 41 blackPanda Sep 18, 2024 1. git 使用 http 协议拉取和推送 2. nginx 代理 git 的请求,并且开启客户端证书认证 3. 本地安装你发的证书访问 git config http.sslkey your.key git confgi http.sslcert your.crt |
 | 42 pandaxin Sep 18, 2024 公网服务器部署 authelia + nginx 转发 |
 | 43 sopato Sep 19, 2024 via Android 只开放 ssh 协议就好,密钥对基本破解不了。如果还担心,自己再用 gotunnel 之类包装一层,所有需要访问 git 的人在本地机器启动一个通道指向 git ssh 端口就行 |
 | 44 SoyaDokio Sep 19, 2024 如果有专业的运维人员,恐怕不会来这里问。 如果没有专业的运维人员,最低成本高效率的提案是使用现成的解决方案,比如用 GitHub ,把 repo 设置为 private 。 |
 | 45 Ipsum Oct 10, 2024 建议开 vpn 。 |
Select Language