GitLab self-instance on RedOs

[Inoriol]

А в чём смысл ставить И докер И снап, а делать всё через установку yum пакетов в итоге?..

[Prikalel]

Намеревался добавить проверку ci/cd gitlab с использованием gitlab-runner, но потом выяснилось, что это есть уже в другой статье, да и у меня не сработало в итоге. Докер-образы то не скачиваются, то скачиваются, но при выполнении git pull в процессе pipeline-на выкидывает ошибку time out.

[mmaks17]

гитлаб раннего на том же хосте что и сам гитлаб тот ещё антипаттерн

[grossws]

self-instance

Напомнило:

• How much watch?

• No so much..

• MGIMO finished?

• Ask!

[grossws]

Про конфиг postfix'а: из того что бросилось в глаза smtp_use_tls = yes при выставленном smtp_tls_security_level не нужен.

Зачем вы ставите certbot через snap (которому, по хорошему не место на сервере) вместо пакета из репозитория или venv+pip -- не понятно. Избегание стандартного пакета из репозитория может быть понятно, если уже нарывались как некоторые доп репозитории типа powertools умеют разваливать certbot.

curl https://packages.gitlab.com/install/repositories/gitlab/gitlab-ce/script.rpm.sh | sudo os=centos dist=7 bash

Никогда так не делайте, тем более на сервере. Для такого способа установки сначала скрипт сохраняется в файл, внимательно просматривается и только потом запускается. Это, кстати, известный вектор для атаки, т. к. скачивание и отправка в pipe легко различимы со стороны сервера и в curl ... | bash -s может быть выполнен совсем другой код.

chmod -R go+r /etc/gitlab/ssl/

И вы пошарили приватные ключи со всеми пользователями системы. Не надо так.

setenforce 0

Может лучше выполнить первым пунктом RTFM, а вторым проставить/восстановить нужные контексты?

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='185.145.201.29' reject"

Спасибо, посмеялся. Вы так будете по одному адресу руками банить сотню-тысячу адресов в месяц? Не проще настроить fail2ban?

[Prikalel]

Кста еще комментарий: если будет вылезать ERR_SSL_VERSION_OR_CIPHER_MISMATCH, то в настройках /etc/nginx/conf.d/gitlab.conf имеет смысл в строку ssl_protocols TLSv1 TLSv1.1 TLSv1.2; добавить TLSv1.3.

[grossws]

Имеет смысл выбросить устаревшее барахло типа SSLv3/TLSv1/TLSv1.1 и использовать разумный набор ciphersuites. Есть хорошие рекомендации и генератор конфигов под популярный софт от Мозилла.

Например, intermediate (TLSv1.2+TLSv1.3, ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384) -- это поддержка Firefox 27, Android 4.4.2, Chrome 31, Edge, IE 11 on Windows 7, Java 8u31, OpenSSL 1.0.1, Opera 20, and Safari 9, куда уж древнее лезть.

TLSv1 -- это Firefox 1, Android 2.3, Chrome 1, Edge 12, IE8 on Windows XP, Java 6, OpenSSL 0.9.8, Opera 5, and Safari 1..