为什么公司不允许 ssh 链接 gitlab

ssh 不是比密码更安全吗

SSH ,需要放开服务器的 ssh 协议给所有人，对于安全团队来说，绝对是不被允许的，在放开 git 的同时，也放开了远程登录的入口，风险太大了，理解一下安全人员吧，而且又不是不能用，为什么要公司为了将就你的习惯增加公司风险

宝马总公司 IT 总部这里依然是建议不使用 ssh.

但的确开放出来了，并且对一个 ip 的 ssh session 做了限制。

是宝马内部的 gitlab.

一个是宝马内部网络很复杂，有很多专线网络互通采用 nat.你一个人把一整个分公司那可怜的 5 个 ssh session 给占满了，别人就用不了

另外一个问题是安全考量

你们觉得是因为菜才禁用，那是以你们程序员的视角来看的。。。运维人员反而觉得你们更菜，连基本的运维安全角度都没有考虑过，只觉得从自己单方面使用便利不便利的角度来看待事物。。。

@jwangkun #22 你在说什么? 感觉你和其他人不在一个频道上

因为主管网络策略的部门不允许 ssh 连接。所以只能通过 https 去访问了，其实和菜没关系。我们测试环境和生产是同样的安全等级，你敢信- -。

@mrzx 你说的对，我就是安全从业人员，也是开发人员

猜测是安全策略好做吧？所有 SSH 外部流量均拒绝？

@jwangkun git 的 ssh 根本不是服务器 login 的 ssh, 各自独立的. 端口一般都设成不一样的.
https 的 ssl 并不会比 ssh 的 ssl 安全, 都是一样的算法.
菜就是菜

#9 说的是一种可能。我司碰到过，等保扫描规则认为开放 22 就是不安全，从技术上解释也没有意义，规则就这么定的，这条就是不合格。

当然，可以开通非标准端口 ssh ，但也有额外沟通成本，可能就关掉省事吧。

@f6x 现在最辣鸡的安全设备,也不是按端口去封..按协议封是常态,都是按流量特征去识别的,而且大部分检测只要测到 22 都会被通告,对运维人员来讲
开,大概率被安全通报
针对客户端 ip 开,网络安全流程麻烦
还不如关了

作为某大厂、安全策略实施者，我来终结此贴：因为 ssh 审计成本大，需要专门配置解密器，才能限制上传和下载两个权限。而 https 目前解密技术成熟、高效，可以快速识别。就是这么简单。别的地方不说、我这里最近半年就查到 10 起代码上传违规、不管起来、还不得上天？

因为 22 口是重点检测，大部分时候被一刀切了

我记得可以在 git 的配置文件里指定用户名和密码，配置好之后不用每次输入了

@weizhen199 可以改端口的

@SteveRogers 确实.

美企大厂也只能 http. 并且公司定期 google 外网上包含公司标签的内容. 每年审计出好几个好多人把公司代码传到 github 的例子.

感觉相反呀 只允许 ssh

因为 https 帐号密码更不安全，ssh 走 kinit 认证

sshd 又不是不能开两个,分别两个配置文件，然后那个用来做 git 的做好权限隔离

GitHub 建议 HTTPS ，没啥特别的原因，只是 HTTPS 相对来说更容易部署和防火墙不用做额外策略。

github 配 access token 就挺麻烦的

我们公司恰好相反，只能用 ssh