escondemos unGitlabinstancia (entre varias otras aplicaciones) detrás de una únicaProxy inverso Apache, es decir, realizar la autenticación del usuario (OpenID) antes de otorgarle más acceso a los servicios inferiores.
Esto nos permite tener sólounoServicio (Apache) expuesto al público,unoservicio potencialmente atacado.
Dado que Gitlab proporcionatokens de acceso(técnicamente: autenticación básica) para otorgar acceso a sus repositorios de git, nos vemos obligados a permitir que las URL de git pasen por nuestro proxy sin ninguna autenticación para que Gitlab las autentique.
Técnicamente, esto abre un segundo vector de ataque, ya que los usuarios no autenticados pueden acceder a Gitlab directamente.
¿Existe una configuración factible que no abra este segundo vector? Algo como
- El usuario envía la solicitud con el encabezado del token
- Apache intenta autenticarse en Gitlab usando este token
- Solo con una autenticación exitosa, Apache permite que la solicitud pase a Gitlab