我知道這看起來像一個愚蠢的問題,但我剛剛發現,上個月,我的 GitLab 實體發生了一些可怕的事情:有人注冊并成為管理員,沒有我的邀請,因為我是唯一的管理員。所以他抹掉了里面的每一個內部和/或私人專案,組也一樣(我什至不知道他是否在擦除之前偷走了所有這些,我很擔心,因為它們是專有代碼)。它怎么發生的?請問這有什么關系,因為版本是CE-13.3.0?如果是這樣,升級版本是否足夠安全,還是應該進行一些特定配置,例如禁用注冊頁面?
uj5u.com熱心網友回復:
最好遵循“ GitLab 實體:安全最佳實踐”,其中確實包括:
確保在您的實體上禁用開放注冊。
在安裝了 GitLab 13.6 及更高版本的自管理實體上,默認情況下禁用開放注冊。
如果啟用了新注冊并且您的實體對 Internet 開放,則任何人都可以注冊和訪問資料。想要進一步限制對其實體的訪問的管理員可以按照我們關于如何配置用戶訪問的檔案進行操作。
關于提到的 CVE,還請遵循“自我管理的客戶需要針對 CVE-2021-22205 采取的行動”,在您的情況下:“ CVE-2021-22205:如何確定自我管理的實體是否受到影響”(除非日志事件也已被清除)。
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/373661.html