CentOS环境下GitLab安全如何保障

CentOS环境下GitLab安全保障

一 基础防护与网络边界

• 启用并仅放行必要端口：使用 firewalld 开放 HTTP 80/HTTPS 443/SSH 22，其余默认拒绝；变更后执行重载。示例：firewall-cmd --permanent --add-service={http,https,ssh} && firewall-cmd --reload。如需自定义 SSH 端口，务必同步在防火墙放行对应端口。
• 强制全站 HTTPS：将 external_url 'https://your_domain_or_ip'；配置 HTTP→HTTPS 跳转 与证书路径：nginx['redirect_http_to_https'] = true、nginx['ssl_certificate']、nginx['ssl_certificate_key']、nginx['ssl_dhparam']，随后执行 gitlab-ctl reconfigure 生效。
• 证书获取与部署：优先使用 Let’s Encrypt 自动签发（如 certbot --nginx -d yourdomain.com），证书路径通常为 /etc/letsencrypt/live/yourdomain.com/fullchain.pem 与 privkey.pem；或采用自签名证书并妥善管控私钥权限。
• 最小化暴露面：仅对外开放 80/443/22；管理口与数据库等后端仅在 回环或内网 可达；禁用未使用的服务与端口。

二 身份与访问控制

• 账户与权限：启用 强密码策略、双因素认证（2FA），按 最小权限 与 项目/组 粒度分配访问；定期清理 闲置与共享账号。
• SSH 访问：优先使用 SSH 密钥（禁用口令登录），为 Git 操作使用 22 端口；如需变更 SSH 端口，需同步调整 sshd_config 与防火墙。
• 系统级登录安全：限制 root 远程登录（PermitRootLogin no）、配置 登录失败锁定（如 pam_tally2.so deny=5 unlock_time=300）、设置 TMOUT 自动注销、限制 su 使用组，降低提权与暴力破解风险。

三 系统与运行时加固

• 操作系统加固：保持 系统与安全补丁 及时更新；启用 SELinux 强制模式 并遵循最小权限原则；清理 无用账户；对关键文件设置不可变属性（如 chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow）；按需优化 内核参数 与 日志审计。
• GitLab 配置安全：在 gitlab.rb 中仅启用必需组件；对外仅暴露 Nginx/Registry 等必要入口；定期执行 gitlab-ctl reconfigure 应用变更；对备份目录与配置目录设置 严格权限 与 隔离。
• 备份与恢复演练：定期执行 全量备份（含配置、仓库、数据库与 secrets），验证 可恢复性 与 恢复时效；在变更窗口前强制备份。

四 数据安全与持续运营

• 传输与存储：全站 TLS 1.2+，禁用弱套件与旧协议；对包含敏感信息的仓库启用 仓库加密 与 CI 变量加密；对必须上传的敏感文件先 加密再入库。
• 代码与依赖安全：使用 .gitignore 与 预提交/CI 扫描 防止密钥与敏感文件入库；启用 依赖漏洞扫描 与 安全审查；对外网可访问的 Pages/Runner 执行 隔离与最小权限。
• 监控与审计：集中收集与保留 GitLab 日志 与 系统审计日志（如 auditd），对异常登录、权限变更、暴力访问与大规模导出等行为设置 告警；定期 漏洞扫描 与 配置基线检查。

五 快速检查清单