Vamos a actualizar nuestra Política de privacidad próximamente. Te recomendamos consultar el avance.

GitLab esencial

Recomendaciones de seguridad de tu servidor para GitLab

¡Prueba gratis durante 10 días

nuestros 1288 cursos !

Prueba gratis Mostrar modalidades de suscripción
GitLab tiene un mantenimiento de seguridad bastante activo, pero es necesario que cumplas unas cuantas normas básicas. Veremos qué puedes hacer para mantener a los piratas a raya de la mejor forma posible.

Transcripción

Hay una serie de recomendaciones de seguridad para GitLab que es muy importante seguir, especialmente si nuestra instancia está conectada a internet. La primera y más importante sería mantener las actualizaciones tanto de software como de seguridad al día. Es muy fácil saber si estamos actualizados o no entrando al menú de administración, donde podemos ver la última versión y esta especie de botón semáforo verde que nos indica que estamos actualizados. Siempre que esté en verde estamos al día con las últimas versiones. Si estuviera en naranja o en rojo, es importante actualizarnos. También es muy importante la autenticación de dos factores. La autenticación de dos factores crea una segunda contraseña que tiene que utilizar cada usuario y que solo dura un corto periodo de tiempo. Podemos entrar en Users y activar el filtro 2FA Disabled para saber qué usuarios no tienen activada la autenticación de dos factores. De esta manera podemos ponernos en contacto con ellos y pedirles que activen esta autenticación. Otra tercera tarea, bastante importante si accedemos desde internet, sería tener un certificado SSL o TLS instalado en nuestro servidor. Si nos fijamos aquí arriba a la izquierda, no tenemos ningún candado dibujado por lo tanto este servicio no está asegurado, no lleva ningún certificado de cifrado. Si comparamos, por ejemplo, con este otro, vemos que sí tiene el candadito verde que nos indica que hay un certificado SSL en marcha y toda la conexión y todos los datos que pasan a través de ella están cifrados y son privados. También es importante separar las copias de seguridad. Nosotros, cuando hacemos la copia de seguridad de GitLab, tenemos dos partes. Una son los datos y la base de datos, y otra parte es los secretos y la configuración. Dentro del fichero de secretos y configuración hay una serie de cadenas de texto que son las que cifran y descifran los datos que hay en la base de datos, y es importante guardarlos separados de la base de datos para que nadie, si nos interceptara la copia de seguridad, pudiera verlos. Si vemos dónde están almacenados, que es en la ruta etc/gitlab, vemos que hay un fichero que es gitlab-secrets.json, que es donde se almacenan todas estas contraseñas y es importante tenerlas bien guardadas. También es importante que todos los usuarios que se den de alta reciban un email de confirmación para que confirmen su cuenta. Se puede revisar esta configuración en el menú de administración, en la opción Settings, y si bajamos a Sign-up Restrictions podemos ver que está activado Sign-up enabled, es decir, la gente externa se puede dar de alta en nuestro sistema, pero sin embargo, no está activado la confirmación de correo, que deberíamos activarla para que fuera más seguro. También podemos limitar los dominios que se pueden dar de alta en nuestro sistema para que solo se activen cuentas que sean parte de determinada empresa o de determinado dominio de correo. También es importante, si somos administradores de un sistema, darse de alta en la lista de correo de seguridad de GitLab. Si vamos a la página de contacto de GitLab, aparte de la newsletter general de noticias tenemos una parte que es de noticias de seguridad. Si nos damos de alta aquí, recibiremos antes que nadie notificaciones de fallos de seguridad y de actualizaciones y si hay alguno muy grave, nos avisarán antes que al público para que podamos actualizar nuestras instancias. Aparte tenemos una serie de recomendaciones de seguridad que son más bien generalistas para casi cualquier instalación que serían, por ejemplo, utilizar contraseñas largas y que no se repitan como usuarios, y una quizá que es más en concreto para los repositorios de Git, que sería no subir ficheros con secretos al repositorio. A veces, por despistes de configuración, subimos ficheros con contraseñas secretas o datos privados que no deberíamos haber subido, y como GitLab utiliza Git, que es un sistema de control de código distribuido, todo el mundo tiene todas las copias de todos los ficheros y cualquiera podría ver nuestras contraseñas sin que nosotros lo supiéramos. Es muy importante que, por despiste, nunca subamos ficheros con secretos, claves de APIS o contraseñas a nuestros repositorios.

GitLab esencial

Aprende a instalar y administrar GitLab, bien en tu propio servidor o en un servicio web gratuito o de pago, y cómo crear un perfil y generar tu primer proyecto en GitLab.

3:14 horas (47 Videos)
Actualmente no hay comentarios.
 
Fecha de publicación:27/10/2016

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.