CentOS上GitLab安全设置

在CentOS上设置GitLab时，确保系统安全是非常重要的。以下是一些关键的安全设置步骤：

1. 基础安全配置：

   • 禁用非必要的超级用户：确保系统中只有必要的超级用户，通过查看 /etc/passwd 文件来检测并管理这些账户。
   • 删除不必要的账户：删除所有不必要的默认账户，如 adm, lp, sync 等，以减少系统受攻击的风险。
   • 强化用户口令：设置复杂的口令，包含大写字母、小写字母、数字和特殊字符，并且长度大于10位。可以通过修改 /etc/login.defs 文件来强制执行这些要求。
   • 保护口令文件：使用 chattr 命令给 /etc/passwd, /etc/shadow, /etc/group, 和 /etc/gshadow 文件加上不可更改属性。
   • 设置root账户自动注销时限：通过修改 /etc/profile 文件中的 TMOUT 参数，设置root账户的自动注销时限。
   • 限制su命令：通过编辑 /etc/pam.d/su 文件，限制只有特定组的用户才能使用 su 命令切换为root。
   • 限制普通用户的敏感操作：删除或修改 /etc/security/console.apps 下的相应程序的访问控制文件，防止普通用户执行关机、重启等敏感操作。

2. GitLab特定安全设置：

   • 配置HTTPS：为GitLab配置SSL证书，以保障数据传输的加密安全性。可以使用Let’s Encrypt免费获取SSL证书，并通过Nginx或GitLab的配置文件来设置。
   • 启用防火墙：限制外部对服务器的访问，只允许必要的端口访问。使用 firewalld 作为防火墙工具。
     • 启动与停止 firewalld：

       sudo systemctl start firewalld
       sudo systemctl stop firewalld
       

     • 添加服务：允许特定服务通过，例如允许SSH服务：

       sudo firewall-cmd --add-service=ssh --permanent
       sudo firewall-cmd --reload
       

     • 允许特定端口：开放端口8080：

       sudo firewall-cmd --add-port=8080/tcp --permanent
       sudo firewall-cmd --reload
       

   • 设置访问控制：通过GitLab的用户和组织管理功能，精细控制谁可以访问仓库和项目。

3. 防火墙设置：

   • 使用 firewalld 配置防火墙规则，仅开放必要的端口。

4. GitLab配置文件修改：

   • 修改GitLab配置文件 /etc/gitlab/gitlab.rb：

     sudo vim /etc/gitlab/gitlab.rb
     

   • 修改外部URL为服务器的IP地址或域名，以及自定义端口：

     external_url 'http://your_server_ip:port'
     

   • 重载GitLab配置使更改生效：

     sudo gitlab-ctl reconfigure
     

   • 重启GitLab服务以应用更改：

     sudo gitlab-ctl restart
     

通过以上步骤，可以大大提高GitLab在CentOS上的安全性。确保定期更新GitLab和操作系统，以修补已知的安全漏洞。