不得不把私有 git 服务器挂在公网一段时间，用什么方法能提高安全性？

要定期关注这些服务端的漏洞情况，及时升级版本和修复漏洞。
gitlab 太多次 rce 了。

如果是因为办公问题，那么设置白名单，搭建 vpn 都可以，如果就是要对公众开放那么 copy 一份到 github 企业版或 gitee 企业版上去，时间过了迁移回去

感谢楼上，补充一下，git 服务器是用的 gitea 来搭建。gitlab 资源占用实在是太大了，配置伤不起啊

@litchinn 主要是因为正在开发的几个项目的代码不能放到公网上，但是咱小公司又没有开 vpn 的设备

@turan12 有公网 IP 自己跑个 OpenVPN 就行吧，不需要专门的 VPN 防火墙那种的

组 VPN 最安全

之前把 vpn 想复杂了，现在 OpenVPN +2

@turan12 你们要有作为服务器的 Windows 机器，给你推荐一下这个 https://www.softether.org
有好几种 VPN 的 GUI 配置，挺好用的

gitolite+cgit

@Puteulanus 我研究一下

放公網的目的是啥？ 是否可以鏡像一份到代碼托管平臺？

Wireguard 就可以了吧，不是很难的。

找另外一台机器定期 pull 到某个本地目录，然后这台机器开 ssh 暴露到公网

不开 ipv4 用内网指定同服务商另一台机子（这个台开 ipc4 ）远程？

一眼 vpn 啊，这还有啥选的吗？

VPN 或者跳板机

端口敲门

gitea

zerotiter 自己建 controller 和 moon 更简单。

我现在正在逐步的把 openvpn 的网络往 zerotier 上面迁移

用 ssh 在用 rsa key 登录禁止密码就可以了，能破解 rsa key 的还没有

gitea 这东西设计出来就是公网部署的，大家都在这么用，你担心的是什么？

我自己的直接扔公网了

你愿意的话，再套个 ssh 做跳板，然后应该就能放心了吧🤣

frp 转发请求,设置 auth token 保护

cloudflare zero trust + tunnel 可以满足，设置对应白名单 IP 或者邮箱验证，可以无感访问

端口敲门。

我是用 lua 脚本在 nginx 上做了一层判断，访问之前必须先访问一个特定的 URI ，在访问了 URL 后，会把访问者的 IP 加入到白名单中几个小时。直接访问则拒绝访问。

只开放公钥登录

VPN 太麻烦了，建议端口敲门完事

ssh 隧道就行

账号密码发我，我帮你测测

@cdlnls #26 这个方法巧妙，和宝塔的安全登录入口有些相似

gitea 有完整的权限控制啊，设置项目私有，获得项目权限的用户才可以访问

https 还不够安全么，该关的端口关掉，尤其是 ssh 非证书方式的话； gitea 本身分配 gitea 用户，禁止登录，分配 shell
/sbin/nologin

vpn

你映射公网的话，如果对所有人可访问，那 gitlab 有漏洞你就 g 了
另一个思路就是组网 v-p-n ，这样接入了才能访问，还可以做 acl 啥的

能不能建个 vpn ，先连上 vpn 再访问 gitea ，这种是最安全的

或者用电信那些服务商提供的 0 信任服务，装客户端使用，本质上也是 wireguard 那些 vpn 组网

VPN 网对网或者网对端，gitlab 这几天有新漏洞，还是高危，不要暴露出来哈

多跳几次 docker-->nginx 切端口转发-->限制内网 IP 可访问-->内网 IP 再转发-->内网穿透-->限制目标 IP 可访问

有什么风险，我的 Gitea 放公网五年了，没问题的，我用 Docker 部署的，开了 watchtower 自动更新

1. git 使用 http 协议拉取和推送
2. nginx 代理 git 的请求，并且开启客户端证书认证
3. 本地安装你发的证书访问
git config http.sslkey your.key
git confgi http.sslcert your.crt

公网服务器部署 authelia + nginx 转发

只开放 ssh 协议就好，密钥对基本破解不了。如果还担心，自己再用 gotunnel 之类包装一层，所有需要访问 git 的人在本地机器启动一个通道指向 git ssh 端口就行

如果有专业的运维人员，恐怕不会来这里问。
如果没有专业的运维人员，最低成本高效率的提案是使用现成的解决方案，比如用 GitHub ，把 repo 设置为 private 。