CentOS如何确保GitLab的数据安全

在 CentOS 上保障 GitLab 数据安全的可落地方案

一 网络安全与访问控制

• 使用 firewalld 仅开放必要端口：建议仅放行 HTTP 80/HTTPS 443 与 SSH 22，并定期审计规则。示例：firewall-cmd --permanent --add-service=http --add-service=https --add-service=ssh && firewall-cmd --reload。如需调整 SSH 端口，务必同步更新防火墙放行规则。
• 强制 HTTPS：将 external_url 设为 https:// 并开启 HTTP→HTTPS 重定向；证书可使用 Let’s Encrypt 或企业 CA，确保传输加密与证书自动续期。
• 强化 SSH 访问：优先使用 SSH 密钥认证，禁用密码登录；必要时可更改默认 SSH 端口并限制可登录用户，降低暴力破解风险。
• 最小权限与 2FA：在 GitLab 内落实 项目/组权限 与 最小权限原则，为账户启用 双因素认证（2FA），降低账号被冒用风险。

二 备份与快速恢复

• 全量备份命令与频率：使用 gitlab-backup create（GitLab 12.1+）或 gitlab-rake gitlab:backup:create（旧版）执行备份；建议通过 crontab 定时执行，如每日 02:00 备份。
• 关键配置与密钥单独备份：全量备份默认不包含敏感文件，务必单独备份并妥善保管 /etc/gitlab/gitlab.rb 与 /etc/gitlab/gitlab-secrets.json。
• 备份保留与路径：在 /etc/gitlab/gitlab.rb 中设置 gitlab_rails['backup_keep_time']（如 2592000 秒=30 天）与 gitlab_rails['backup_path']（如 /var/opt/gitlab/backups），执行 gitlab-ctl reconfigure 使配置生效。
• 异地与快照：定期将备份目录 rsync 到异地存储/对象存储；如有底层卷支持，可用 LVM/ZFS 快照 作为快速回滚手段。
• 恢复要点：恢复时目标 GitLab 版本需与备份时一致；先停止相关进程（unicorn/sidekiq），执行 gitlab-backup create 或 gitlab-rake gitlab:backup:restore BACKUP=...，再启动服务并校验数据。

三 系统与 GitLab 加固

• 系统与登录安全：启用 SELinux enforcing，仅启用必需服务，及时打补丁；强化 口令复杂度 与 登录失败锁定，可设置 root 会话超时（TMOUT） 与 su 限制 降低本地风险。
• GitLab 侧安全配置：在 /etc/gitlab/gitlab.rb 中开启 HTTPS 重定向、配置 强加密套件、限制上传大小；结合 监控与日志（如 Prometheus/Grafana）持续观测异常。
• 数据安全细节：通过 .gitignore 与提交前扫描避免将 密钥/证书/配置文件 误入库；对确需入库的敏感文件先 加密 再提交。

四 关键配置与命令清单

五 运维与演练建议

• 定期演练 备份恢复，覆盖数据库、仓库、附件、LFS、Registry 等关键数据，验证 版本一致性 与恢复时效。
• 对备份实施 访问控制与加密存储，并保留 校验值；定期抽查备份可用性与完整性。
• 持续 更新 GitLab 与 CentOS，监控异常登录与访问模式，完善告警与审计留痕。