Wir verstecken einGitlabInstanz (neben mehreren anderen Anwendungen) hinter einer einzigenApache Reverse Proxy, d. h., es wird eine Benutzerauthentifizierung (OpenID) durchgeführt, bevor weiterer Zugriff auf die untergeordneten Dienste gewährt wird.
Dies ermöglicht uns nureinsService (Apache) der Öffentlichkeit zugänglich gemacht,einsDienst wird möglicherweise angegriffen.
Da GitlabZugriffstoken(technisch: Basisauthentifizierung) zum Gewähren des Zugriffs auf seine Git-Repositorys sind wir gezwungen, Git-URLs ohne Authentifizierung durch unseren Proxy zu lassen, damit sie von Gitlab selbst authentifiziert werden.
Dies öffnet technisch gesehen einen zweiten Angriffsvektor, da nicht authentifizierte Benutzer Gitlab direkt erreichen können.
Gibt es ein mögliches Setup, das diesen zweiten Vektor nicht öffnet? So etwas wie
- Benutzer sendet Anfrage mit Token-Header
- Apache versucht, sich mit diesem Token gegenüber Gitlab zu authentifizieren
- Nur bei erfolgreicher Authentifizierung lässt Apache die Anfrage an Gitlab weiterleiten