우리는Gitlab단일 뒤에 있는 인스턴스(다른 여러 애플리케이션 중에서)Apache 역방향 프록시즉, 하위 서비스에 대한 추가 액세스 권한을 부여하기 전에 사용자 인증(OpenID)을 수행하는 것입니다.
이를 통해 우리는하나공개적으로 노출되는 서비스(Apache),하나서비스가 잠재적으로 공격을 받고 있습니다.
Gitlab이 제공하기 때문에액세스 토큰(기술적으로: 기본 인증) Git 저장소에 대한 액세스 권한을 부여하기 위해 Git URL이 Gitlab 자체에서 인증되도록 인증 없이 프록시를 통과하도록 허용해야 합니다.
인증되지 않은 사용자가 Gitlab에 직접 접근할 수 있으므로 기술적으로 두 번째 공격 벡터가 열립니다.
이 두 번째 벡터를 열지 않는 실행 가능한 설정이 있습니까? 같은 것
- 사용자가 토큰 헤더와 함께 요청을 보냅니다.
- Apache는 이 토큰을 사용하여 Gitlab에 대해 인증을 시도합니다.
- 인증이 성공한 경우에만 Apache는 요청이 Gitlab으로 전달되도록 허용합니다.