Мы прячемГитлабэкземпляр (среди нескольких других приложений) за однимОбратный прокси-сервер Apache, который выполняет аутентификацию пользователя (OpenID) перед предоставлением дальнейшего доступа к службам более низкого уровня.
Это позволяет нам иметь толькоодинСервис (Apache) доступен для общественности,одинслужба потенциально подвергается атаке.
Поскольку Gitlab предоставляеттокены доступа(технически: базовая аутентификация) для предоставления доступа к его репозиториям git мы вынуждены разрешать URL-адресам git проходить через наш прокси-сервер без какой-либо аутентификации, чтобы они были аутентифицированы самим Gitlab.
Технически это открывает второй вектор атаки, поскольку неаутентифицированные пользователи могут получить прямой доступ к Gitlab.
Есть ли осуществимая настройка, которая не открывает этот второй вектор? Что-то вроде
- Пользователь отправляет запрос с заголовком токена
- Apache пытается аутентифицироваться на Gitlab, используя этот токен
- Только после успешной аутентификации Apache пропускает запрос в Gitlab