我們隱藏一個GitLab單一實例(以及其他幾個應用程式)後面阿帕契反向代理,即在授予對較低層服務的進一步存取權之前進行使用者身份驗證 (OpenID)。
這使得我們只能有一服務(Apache)暴露於公眾,一服務可能受到攻擊。
由於 Gitlab 提供了訪問令牌(技術上:基本驗證)為了授予對其 git 儲存庫的存取權限,我們被迫允許 git URL 通過我們的代理,而無需任何身份驗證,以便由 Gitlab 本身進行身份驗證。
從技術上講,這打開了第二個攻擊媒介,因為未經身份驗證的使用者可以直接存取 Gitlab。
是否有不開啟第二個向量的可行設定?就像是
- 用戶發送帶有令牌標頭的請求
- Apache 嘗試使用此令牌對 Gitlab 進行身份驗證
- 僅在身份驗證成功後,Apache 才會將請求傳遞到 Gitlab