强化极狐GitLab 安全
- Tier: 基础版, 专业版, 旗舰版
- Offering: JihuLab.com, 私有化部署
一般信息
本节涵盖了一些关于平台的一般信息和建议。
建议
有关提高极狐 GitLab 环境安全态势的更多信息,请参阅加固建议。
杀毒软件
通常,不建议在极狐 GitLab 主机上运行杀毒软件。
然而,如果必须使用,系统上极狐 GitLab 的所有位置都应排除在扫描之外,因为它可能会被错误地隔离。
具体来说,您应该排除以下极狐 GitLab 目录的扫描:
- /var/opt/gitlab
- /etc/gitlab/
- /var/log/gitlab/
- /opt/gitlab/
您可以在 Linux 软件包配置文档中找到所有这些目录的列表。
用户账户
- 审查认证选项。
- 配置密码长度限制。
- 限制 SSH 密钥技术并要求最低密钥长度。
- 通过注册限制限制账户创建。
- 在注册时发送电子邮件确认。
- 强制两因素认证以要求用户启用两因素认证。
- 限制多个 IP 的登录。
- 如何重置用户密码。
- 如何解锁锁定的用户。
数据访问
平台使用和设置
- 审查极狐 GitLab 令牌类型和使用。
- 如何配置速率限制以提高安全性和可用性。
- 如何过滤出站 webhook 请求。
- 如何配置导入和导出限制及超时。
- 审查 Runner 安全考虑和建议。
- 审查 CI/CD 变量安全考虑。
- 审查流水线安全以在 CI/CD 流水线中使用和保护密钥。
修补
极狐 GitLab 私有化部署客户和管理员负责其基础主机的安全性,并保持极狐 GitLab 本身的更新。定期修补极狐 GitLab、修补您的操作系统及其软件,并根据供应商的指导加固您的主机是很重要的。
监控
日志
- 审查极狐 GitLab 生成的日志类型和内容。
- 审查 Runner 作业日志信息。
- 如何使用关联 ID 来跟踪日志。
- 日志配置和访问。
- 如何配置审计事件流。
- 在客户安全事件期间为极狐 GitLab.com 客户提供帮助。
响应
速率限制
有关速率限制的信息,请参阅速率限制。