Nós escondemos umGitlabinstância (entre vários outros aplicativos) por trás de um únicoProxy reverso Apache, que faz a autenticação do usuário (OpenID) antes de conceder acesso adicional aos serviços inferiores.
Isso nos permite ter apenasumServiço (Apache) exposto ao público,umserviço sendo potencialmente atacado.
Como o Gitlab fornecefichas de acesso(tecnicamente: autenticação básica) para conceder acesso aos seus repositórios git, somos forçados a permitir que URLs git passem em nosso proxy sem qualquer autenticação para que sejam autenticados pelo próprio Gitlab.
Tecnicamente, isso abre um segundo vetor de ataque, já que usuários não autenticados podem acessar o Gitlab diretamente.
Existe uma configuração viável que não abra este segundo vetor? Algo como
- O usuário envia solicitação com cabeçalho de token
- Apache tenta autenticar no Gitlab usando este token
- Somente após autenticação bem-sucedida, o Apache permite que a solicitação passe para o Gitlab