강화 - 구성 권장 사항

강화 - 구성 권장 사항에 대해 설명합니다.

일반적인 강화 지침은 메인 강화 문서 에 설명되어 있습니다. GitLab 인스턴스에 대한 일부 강화 권장 사항은 추가 서비스 또는 구성 파일을 통한 제어가 필요합니다. 구성 파일을 변경할 때는 편집하기 전에 백업을 만드세요. 또한 많은 변경을 할 경우 모든 변경을 한 번에 수행하지 말고 각 변경 후에 테스트하여 모든 것이 올바르게 작동하는지 확인하는 것이 좋습니다. NGINX # NGINX는 GitLab 인스턴스에 액세스하는 데 사용되는 웹 인터페이스를 제공하는 데 사용됩니다. NGINX는 GitLab에 제어되고 통합되어 있으므로 조정을 위해 /etc/gitlab/gitlab.rb 파일을 수정합니다. NGINX 자체의 보안을 개선하는 데 도움이 되는 몇 가지 권장 사항은 다음과 같습니다: Diffie-Hellman 키 를 만듭니다: sudo openssl dhparam -out /etc/gitlab/ssl/dhparam.pem 4096 /etc/gitlab/gitlab.rb 를 편집하고 다음을 추가합니다: # # Only strong ciphers are used # nginx[ 'ssl_ciphers' ] = "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256" # # Follow preferred ciphers and the order listed as preference # nginx[ 'ssl_prefer_server_ciphers' ] = "on" # # Only allow TLSv1.2 and TLSv1.3 # nginx[ 'ssl_protocols' ] = "TLSv1.2 TLSv1.3" ##! **Recommended in: https://nginx.org/en/docs/http/ngx_http_ssl_module.html** nginx[ 'ssl_session_cache' ] = "builtin:1000 shared:SSL:10m" ##! **Default according to https://nginx.org/en/docs/http/ngx_http_ssl_module.html** nginx[ 'ssl_session_timeout' ] = "5m" # Should prevent logjam attack etc nginx[ 'ssl_dhparam' ] = "/etc/gitlab/ssl/dhparam.pem" # changed from nil # Turn off session ticket reuse nginx[ 'ssl_session_tickets' ] = "off" # Pick our own curve instead of what openssl hands us nginx[ 'ssl_ecdh_curve' ] = "secp384r1" GitLab을 재구성합니다: sudo gitlab-ctl