CentOS系统下GitLab的安全设置

以下是CentOS系统下GitLab的安全设置要点：

1. 基础安全配置
   • 防火墙：仅开放HTTP（80）、HTTPS（443）端口，关闭非必要端口（如SSH 22）。

     sudo firewall-cmd --permanent --add-service=http --add-service=https  
     sudo firewall-cmd --reload  
     

   • HTTPS加密：使用Let’s Encrypt免费证书，配置/etc/gitlab/gitlab.rb指定证书路径。

     sudo yum install certbot  
     sudo certbot --nginx -d yourdomain.com  
     

2. 访问控制与认证
   • 用户权限管理：通过GitLab Web界面设置用户角色（Owner/Maintainer/Developer等），限制项目访问权限。
   • SSH密钥认证：生成密钥对并将公钥添加至GitLab，禁用密码登录（可选）。

     ssh-keygen -t rsa -b 4096 -C "your_email@example.com"  
     cat ~/.ssh/id_rsa.pub | ssh user@gitlab "cat >> ~/.ssh/authorized_keys"  
     

3. 安全加固措施
   • 双因素认证（2FA）：在GitLab配置文件中启用otp_enabled = true。
   • 敏感信息保护：使用.gitignore忽略敏感文件，定期备份数据。
   • 系统级安全：删除非必要系统用户，限制su命令使用，锁定关键文件。
4. 监控与维护
   • 日志监控：定期查看/var/log/gitlab/下日志，使用ELK等工具分析异常。
   • 定期更新：通过sudo yum update gitlab-ce升级GitLab，修复安全漏洞。

参考来源：[1,2,3,5,6,7,8,9,10,11]