{{< details >}}
- Tier: 基础版, 专业版, 旗舰版
- Offering: 私有化部署
{{< /details >}}
ssh-keygen 允许用户创建最少 768 位的 RSA 密钥,这远低于某些标准组织(如美国 NIST)的建议标准。一些部署极狐GitLab 的组织需要强制执行最低密钥强度,以满足内部安全政策或监管合规要求。
类似地,某些标准组织建议使用 RSA、ECDSA、ED25519、ECDSA_SK 或 ED25519_SK,而不是较旧的 DSA,管理员可能需要限制允许的 SSH 密钥算法。
极狐GitLab 允许您限制允许的 SSH 密钥技术,并为每种技术指定最小密钥长度:
- 在左侧边栏底部,选择 管理员。
- 选择 Settings > General。
- 展开 Visibility and access controls,并为每种密钥类型设置所需的值:
- RSA SSH keys。
- DSA SSH keys。
- ECDSA SSH keys。
- ED25519 SSH keys。
- ECDSA_SK SSH keys。
- ED25519_SK SSH keys。
- 选择 Save changes。
如果对任何密钥类型施加限制,用户将无法上传不符合要求的新 SSH 密钥。任何不符合要求的现有密钥将被禁用但不会被删除,并且用户无法使用它们拉取或推送代码。
如果您有受限制的密钥,您在个人资料的 SSH keys 部分可以看到一个警告图标 ({{< icon name=”warning” >}})。要了解该密钥为何受限,请将鼠标悬停在图标上。
默认设置
默认情况下,JihuLab.com 和极狐GitLab私有化部署的 支持的密钥类型 设置为:
- 禁止使用 DSA SSH keys。
- 允许使用 RSA SSH keys。
- 允许使用 ECDSA SSH keys。
- 允许使用 ED25519 SSH keys。
- 允许使用 ECDSA_SK SSH keys。
- 允许使用 ED25519_SK SSH keys。
阻止被禁止或泄露的密钥
{{< details >}}
- Tier: 基础版, 专业版, 旗舰版
- Offering: JihuLab.com, 极狐GitLab私有化部署, 极狐GitLab Dedicated
{{< /details >}}
{{< history >}}
- 在极狐GitLab 15.1 中引入,使用名为
ssh_banned_key的功能标志。默认启用。 - 在极狐GitLab 15.2 中普遍可用。功能标志
ssh_banned_key被移除。
{{< /history >}}
当用户尝试将 新的 SSH 密钥添加 到极狐GitLab 账户时,密钥会与已知被泄露的 SSH 密钥列表进行检查。用户无法将此列表中的密钥添加到任何极狐GitLab 账户。此限制无法配置。此限制存在是因为与密钥对关联的私钥是公开已知的,可以用来访问使用该密钥对的账户。
如果您的密钥被此限制禁止,请 生成一个新的 SSH 密钥对 以代替使用。