Configuración de autenticación segura en GitLab

Clase 6 de 53 • Curso de DevOps con GitLab

Resumen

Proteger el acceso a GitLab es crítico para tu código y tu infraestructura. Aquí aprenderás, paso a paso, cómo autenticarse con seguridad usando usuario y contraseña, two factor authentication (2FA) con OTPs y Security Keys, además de llaves SSH para subir código y PGP para firmar commits, tal como se muestra en la demostración dentro de GitLab.com.

¿Qué métodos de autenticación ofrece GitLab?

GitLab permite múltiples capas de seguridad. Primero, el acceso con usuario y contraseña al crear tu cuenta desde Register en GitLab.com o about.gitlab.com. Luego, puedes reforzar con two factor authentication, ya sea con OTPs (one time password) mediante apps como Google Authenticator, o a través de Security Keys basadas en el protocolo FIDO UTF para que tu navegador sea inmune al phishing y se eviten ataques como replay attack. Además, puedes firmar tus commits con llaves PGP, como capa adicional de autenticación y trazabilidad.

¿Cómo crear una cuenta y acceder a settings?

Regístrate desde Register y completa el formulario: nombre, usuario, aceptación de términos y verificación de que no eres un robot.
Abre el menú de tu usuario, entra a Settings > Account.
Opcionalmente, conecta proveedores externos como Google, Twitter o GitHub.

¿Por qué usar two factor authentication con Security Keys?

Security Keys con FIDO UTF ayudan a que el navegador sea inmune al phishing.
Evitan el robo de contraseñas y OTPs por errores de usuario.
Reducen el riesgo de replay attack en autenticaciones.

¿Qué apps de OTP se mencionan?

Google Authenticator: estándar para generar OTPs.
Auty: permite sincronizar códigos si cambias de celular.
Yubico Authenticator: guarda secretos fuera del celular, mitigando robo por malware.

¿Cómo activar two factor authentication en GitLab?

Desde Settings > Account, entra a manage two factor authentication. Allí verás dos opciones: registrar una app de Authenticator para generar códigos o añadir una llave de seguridad U2F. El flujo con OTP es directo: escanea el código QR, introduce el PIN y presiona registrar. GitLab mostrará códigos de recuperación: anótalos y guárdalos en un lugar seguro; son la única vía para recuperar el acceso si pierdes el celular.

Puedes usar OTPs desde apps o, en ocasiones, por SMS.
Tras activar 2FA, verás el estatus enabled.
Buenas prácticas: encripta y resguarda tus códigos de recuperación.

¿Cómo registrar un U2F device?

En la misma sección, añade tu U2F device para mayor protección contra phishing.
Se recomiendan llaves como UV Key o llaves de seguridad Titán de Google para autenticación resistente a ataques.

¿Cómo generar y registrar una llave SSH en GitLab?

Para subir código con git, necesitas autenticación SSH. Si ya tienes una, úsala. Si no, genera una nueva con el programa SSH keygen, eligiendo tipo RSA y 4096 bits de encriptación para mayor entropía. Asigna tu correo como comentario, guarda la llave en el directorio .ssh con un nombre claro (por ejemplo, Platzi RSA) y define una contraseña para la llave. Luego, copia el contenido de la llave pública con una herramienta como pvcopy sin imprimirla en la terminal.

En GitLab, ve a Settings > SSH Keys.
Pega tu llave pública, añade un título (por ejemplo, Platzi en vivo) y guarda.
Verifica que la llave quedó añadida.

Además, puedes firmar commits con PGP para reforzar identidad y seguridad en el historial. Y recuerda: si no activas 2FA, usa contraseñas seguras; evita combinaciones débiles como “password 1234”. La seguridad de tu infraestructura depende de estas prácticas.

¿Ya configuraste 2FA, SSH y PGP en tu cuenta? Comparte tu experiencia y dudas en los comentarios.

Emerson Cedeño

student•

Apps recomendadas para 2FA:

Google Authenticator: estándar en la industria para generar códigos OTP
Authy: permite sincronización de equipos en caso de pérdida
Yubico: códigos OTPs no se guardan en el celular

Alvaro Julian Acosta Rivera

student•

Myki tambien es muy buena

Miguel Angel Escurra

student•

Gracias por el aporte!

ENRIQUE NIETO MARTINEZ

student•

Hola a todos, yo me encuentro siguiendo el curso desde Windows 10, con el subsistema Ubuntu. El comando similar a pbcopy que trae se llama clip.exe y se usa de la misma forma:

clip.exe < ~/.ssh/id_rsa.pub

David Camacho

student•

Si necesitan agregar más de una llave SSH. https://platzi.com/tutoriales/1557-git-github/1751-multiples-cuentas-de-git/

Wilmer Ariel Moina Rivera

student•

Las llaves U2F (Universal 2nd Factor) son una evolución de los sistemas de doble verificación. Mejora la seguridad del sistema al mismo tiempo que lo hace más rápido y sencillo. Son de reducido tamaño y la podemos llevar cómodamente en la cartera o en el llavero.

Wilmer Ariel Moina Rivera

student•

Ubuntu apt-get install xclip -y xclip -sel clip < ~/.ssh/platzi_rsa.pub

Rubén Esparza

student•

Para los que estén en Windows y tengan Git instalado, en el GitBash utilizen el siguiente comando

$ clip < ~/.ssh/id_rsa.pub

Rubén Esparza

student•

La llave publica que fue copiada a tu clipboard, debes agregarla a tus llaves SSH en el panel de configuración de tu cuenta en GitLab.

Erika Gabriela Villanueva Perez de Leon

student•

Muchas gracias! tu aporte si me funciono

Alexis Otaño

student•

Linux Ubuntu

Crear llaves locales ssh-keygen -t rsa -b 4096 -C "tu@email.com"
Verficiar que el servicio de llaves este arriba eval $(ssh-agent -s)
Agregar la llave al servicio local ssh-add ruta-donde-guardaste-tu-llave-privada

Cesar Villegas

student•

Para todos los que usan Linux instalen xclip

Para usarlo ejecutan

xclip -i < ~/.ssh/tu_llave.pub

Le hacen paste con el 3er botón del mouse o botón derecho y seleccionan "Pegar"

De hecho es posible copiar y pegar archivos usando xclip-copyfile y xclip-pastefile entre sus terminales logueados en distintos servidores :)

Wilmer Ariel Moina Rivera

student•

GitLab and SSH keys https://docs.gitlab.com/ee/ssh/#adding-an-ssh-key-to-your-gitlab-account

ssh-keygen -t rsa -b 4096 -C "email@example.com"

Juan Camilo Lezcano Benitez

student•

Es aconsejable usar la misma llave SSH en diferentes cosas, por ejemplo yo ya tengo una llave SSH que uso con Github, ¿puedo usar esa misma aquí?

Anibal Rojas

teacher•

Si, no es problema. Realmente no sería muy práctico que tuvieras una llave para cada servidor al que te vas a conectar.

Daniel Martinez Sarta

student•

Como dijo Freddy en el curso de Git y Github, lo recomendable es hacer una llave por cada dispositivo que tengas. Así que usar una llave creada en tu PC la puedes utilizar para autenticación de cualquier servicio.

TeamQA

student•

Si al crear la llave en Windows muestra el siguiente error : failed: No such file or directory, se corrige realizando lo siguiente: 1.Abrir una terminal de GitBash 2. crear la carpeta .ssh, con el siguiente comando : mkdir .ssh y posteriormente continuar con los pasos respectivos.

CARLOS JULIAN RAMIREZ MILLAN

student•

necesito generar una SSH key por cada proyecto??

David Aroesti

teacher•

Lo recomendado es por cada dispositivo que utilices. Por ejemplo, si trabajas con una computadora del trabajo y otra personal, tendrías que generar dos llaves ssh y subir ambas a gitlab. Otra opcion es utilizar herramientas como krypton.

Miguel Angel Garcia Chavez

student•

al momento de poner mi contraseña para finalizar el proceso de la llave SSH me arroja el mensaje ".ssh/platzi_rsa no such file or directory", a alguien más?

Juan Castro

teacher•

:wave: ¡Hola!

En estas otras preguntas y respuestas de la clase puede que encuentres la solución:

:point_right: https://platzi.com/comentario/629276/ :point_right: https://platzi.com/comentario/620787/

En caso de que no, puedes decirnos y te ayudamos a buscar otra solución. :wink:

Jairo Cuartas

student•

Eso sucede porque el directorio .ssh solamente aplica siempre y cuando la ejecución del comando la hayas realizado en el home del usuario. Te aconsejo antes de ejecutar el comando de ir al home de tu usuario con "cd ~" o "cd $HOME", validas que el directorio .ssh este creado con "ls -la" y sino, lo puedes crear y ahí si ejecutar el comando.

ERASMO JOSE AURELIO ALCAIDE CAZALES

student•

cómo se abre la consola?

Juan Castro

teacher•

Te respondí en esta pregunta: http://platzi.com/comentario/771186/.

¡Evita repetir tus preguntas! :P

Jose Almenarez

student•

Es super bueno usar el segundo factor de autenticación ya que aunque tengan tú password se requiere el otro código que es más difícil de obtener. Hay distintas opciones como usar una Yubico junto con Google Autenticator por ejemplo. Esas son las que yo uso.

Carlos Valdivia L.

student•

Cuando abrí la aplicación Yubico Authenticator en mi Mobil Huawei, me mostró el sigte mensaje: this device seems not to support NFC. y luego me muestra:Tap or insert your YubiKey.. a que se refieren esos mensajes...?

Diego Forero

Team Platzi•

Tu celular no tiene NFC que es un sistema para transferir información por contacto. Por lo tanto no puede conectarse a la Yubi Key y te pide que la insertes en un USB.

Carlos Valdivia L.

student•

Conoces un celular que tenga opción para NFC ..?

Juan Camilo Sarmiento Reyes

student•

Gracias por la explicación de 2FA :D :D

Erika Gabriela Villanueva Perez de Leon

student•

Hola estoy trabajando en CMD y cuando quiero copiar la llave el sistema de dice

The system cannot find the path specified.

Pero si me voy a DIR dentro de .ssh/ si esta mi llave

Gilberto Guerrero Quinayas

student•

En windows no funciona la funcion de windows lo que hice fue utilizar cygwin para poder manejar comandos de linux e imprimir el codigo de la llave con cat key.pub

Brazzini OC

student•

Para crear una cuenta empresarial, es decir usando el correo de mi empresa, se registra en el mismo formulario de registro ? o hay otra manera de registrar ?

J. Sebastián Botello. H.

student•

Es igual.

Luis Alberto Burgos Vilca

student•

copiar la llave ssh desde el terminal en Windows me funcionó con el comando:

clip.exe < platzi_rsa.pub