Linux中GitLab怎样进行安全加固

Linux环境下GitLab安全加固指南

一、基础安全配置

1. 配置防火墙

通过防火墙限制GitLab服务器仅开放必要端口（HTTP 80、HTTPS 443），阻断非法IP访问。可使用iptables或ufw工具：

• iptables：添加规则允许HTTP/HTTPS流量，保存并重启服务：

  sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
  sudo iptables-save > /etc/iptables.rules
  sudo systemctl restart iptables
  

• ufw（Ubuntu推荐）：简化配置，仅允许指定端口：

  sudo apt install ufw
  sudo ufw allow 80/tcp
  sudo ufw allow 443/tcp
  sudo ufw enable
  

2. 启用HTTPS加密

使用SSL/TLS证书加密数据传输，防止中间人攻击。可选择Let’s Encrypt免费证书或商业证书：

• Let’s Encrypt配置步骤：
  1. 安装Certbot及Nginx插件：

     sudo apt install certbot python3-certbot-nginx  # Debian/Ubuntu
     sudo yum install certbot python2-certbot-nginx  # CentOS/RHEL
     

  2. 获取证书并自动配置Nginx：

     sudo certbot --nginx -d gitlab.example.com  # 替换为实际域名
     

  3. 配置GitLab识别证书：编辑/etc/gitlab/gitlab.rb，指定证书路径：

     external_url 'https://gitlab.example.com'
     nginx['ssl_certificate'] = "/etc/letsencrypt/live/gitlab.example.com/fullchain.pem"
     nginx['ssl_certificate_key'] = "/etc/letsencrypt/live/gitlab.example.com/privkey.pem"
     

  4. 重载GitLab配置：

     sudo gitlab-ctl reconfigure
     sudo gitlab-ctl restart
     

3. 强化访问控制

通过用户/组管理实现权限精细化：

• 用户角色分级：GitLab内置5级权限（从低到高）：
  • 访客（Guest）：仅查看项目、下载代码；
  • 报告者（Reporter）：提交Issue、评论、克隆项目；
  • 开发者（Developer）：推送代码、创建分支、处理MR；
  • 维护者（Maintainer）：设置保护分支、添加Webhook、管理项目设置；
  • 所有者（Owner）：完全控制项目/群组（添加成员、设置可见性）。
• 群组权限继承：群组内项目自动继承群组权限，减少重复配置；可通过“项目覆盖”调整单个项目的权限（如限制某项目的开发者权限）。

4. 配置SSH密钥认证

替代密码认证，避免密码泄露风险：

1. 用户本地生成密钥对：

   ssh-keygen -t rsa -b 4096 -C "your_email@example.com"
   

2. 将公钥（id_rsa.pub）添加至GitLab账户：
   • 登录GitLab → 点击头像 → Preferences → SSH Keys → 粘贴公钥。
3. 测试SSH连接：

   ssh -T git@gitlab.example.com
   

5. 定期备份数据

通过备份恢复因故障或攻击丢失的数据：

• 手动备份：使用GitLab内置命令备份所有数据（包括代码、数据库、附件）：

  sudo gitlab-rake gitlab:backup:create
  

  备份文件默认存储在/var/opt/gitlab/backups目录。
• 自动备份：通过cron设置每日定时备份（如凌晨2点）：

  sudo crontab -e
  

  添加以下内容：

  0 2 * * * /opt/gitlab/bin/gitlab-rake gitlab:backup:create
  

• 备份清理：定期删除旧备份（保留最近7天），节省存储空间：

  sudo gitlab-ctl cleanup
  

6. 及时更新GitLab

修复已知漏洞，降低安全风险：

• 检查更新：

  sudo apt update && sudo apt list --upgradable | grep gitlab  # Debian/Ubuntu
  sudo yum check-update | grep gitlab                       # CentOS/RHEL
  

• 升级步骤：
  1. 备份数据（参考“定期备份”）；
  2. 按照官方文档升级（如从15.0升级至15.1）：

     sudo apt install gitlab-ce=15.1.0-ce.0  # Debian/Ubuntu
     sudo yum update gitlab-ce               # CentOS/RHEL
     

  3. 重载配置：

     sudo gitlab-ctl reconfigure
     sudo gitlab-ctl restart
     

二、高级安全措施

1. 强化密码策略

设置复杂密码规则，防止弱密码攻击：
编辑/etc/gitlab/gitlab.rb，添加以下配置：

gitlab_rails['password_authentication'] = true  # 启用密码认证
gitlab_rails['password_complexity'] = {
  'min_length' => 12,        # 最小长度12位
  'require_lowercase' => true,
  'require_uppercase' => true,
  'require_numbers' => true,
  'require_symbols' => false
}
gitlab_rails['account_lockout_after_multiple_failed_logins'] = 5  # 5次失败锁定账户

重载配置：

sudo gitlab-ctl reconfigure

2. 限制文件上传

防止敏感信息（如数据库凭证、API密钥）泄露：

• 通过.gitignore忽略敏感文件：在项目根目录添加.gitignore，排除敏感文件（如*.env、*.pem、config/database.yml）。
• 使用Git Hooks检查提交内容：在项目.git/hooks/pre-receive中添加脚本，拒绝包含敏感信息的提交（如匹配password=、secret=的行）。

3. 加密敏感文件

对必须上传的敏感文件（如secrets.yml）进行加密：

• 使用ansible-vault或git-secret工具加密文件：

  gem install git-secret  # 安装git-secret
  git secret init       # 初始化加密目录
  git secret add secrets.yml  # 添加敏感文件
  git secret hide       # 加密文件（生成secrets.yml.enc）
  

• 仅授权成员解密文件：

  git secret tell user@example.com  # 授权用户
  git secret reveal                   # 解密文件
  

4. 安全审查

通过代码审查和合并请求（MR）流程降低安全风险：

• 保护关键分支：设置main/master分支为受保护分支，仅允许Maintainer及以上角色推送代码、合并MR。
• 启用MR审批：在项目设置中，要求MR必须经过至少1名Maintainer批准才能合并。
• 定期代码扫描：使用GitLab内置的Security Scanning功能（需开启）扫描代码中的漏洞（如SQL注入、XSS），或在CI/CD pipeline中集成第三方工具（如SonarQube）。

5. 实时监控与日志记录

追踪系统活动，快速响应安全事件：

• 查看GitLab日志：日志文件位于/var/log/gitlab/目录（如gitlab-rails/production.log记录应用日志，nginx/access.log记录HTTP请求）。
• 使用监控工具：集成Prometheus+Grafana监控GitLab性能及安全指标（如CPU使用率、内存占用、登录失败次数），设置告警规则（如登录失败次数超过5次/分钟时发送邮件通知）。
• 集中日志管理：将GitLab日志发送至ELK Stack（Elasticsearch+Logstash+Kibana）或Splunk，实现日志集中存储、分析与检索。

三、权限管理最佳实践

1. 分层授权模型

遵循“最小权限原则”，根据用户职责分配角色：

• 普通成员：分配Developer角色（可推送代码、创建分支）；
• 核心成员：分配Maintainer角色（可管理项目设置、合并MR）；
• 项目负责人：分配Owner角色（可添加成员、设置项目可见性）。

2. 保护关键分支

通过分支保护规则防止未经授权的修改：

1. 进入项目 → Settings → Repository → Protected Branches；
2. 选择需要保护的main分支，设置：
   • Allowed to push：Maintainer及以上；
   • Allowed to merge：Maintainer及以上；
   • Require a merge request before merging：启用（强制通过MR合并）。

3. 权限审查与更新

定期检查用户权限，确保符合当前业务需求：

• 每月审查：通过Admin Area（管理中心）→ Users查看所有用户权限，移除离职用户或调整不再需要的权限（如将Maintainer降级为Developer）。
• 权限变更记录：所有权限变更需记录（如“2025-09-01 将用户A从Developer升级为Maintainer”），便于追溯。

4. 教育与沟通

• 培训用户：定期开展GitLab安全培训，讲解权限使用规则（如“不要分享个人访问令牌”）、代码提交规范（如“不要提交敏感信息”）。
• 明确责任：告知用户其权限对应的责任（如Maintainer需审核MR中的代码安全性），提高安全意识。