Acerca del aislamiento de subdominio
El aislamiento de subdominio mitiga las vulnerabilidades del estilo cross-site scripting y otras vulnerabilidades relacionadas. Para más información, vea "Scripting entre sitios" en Wikipedia. Se recomienda encarecidamente habilitar el aislamiento de subdominios en your GitHub Enterprise Server instance.
Cuando el aislamiento de subdominio está habilitado, GitHub Enterprise Server reemplaza varias rutas con subdominios. Después de habilitar el aislamiento de subdominios, los intentos para acceder a las rutas anteriores para encontrar algo del contenido proporcionado por los usuarios, como http(s)://HOSTNAME/raw/
, podría devolver errores de tipo 404
.
Ruta sin aislamiento de subdominio | Ruta con aislamiento de subdominio |
---|---|
http(s)://HOSTNAME/assets/ | http(s)://assets.HOSTNAME/ |
http(s)://HOSTNAME/avatars/ | http(s)://avatars.HOSTNAME/ |
http(s)://HOSTNAME/codeload/ | http(s)://codeload.HOSTNAME/ |
http(s)://HOSTNAME/gist/ | http(s)://gist.HOSTNAME/ |
http(s)://HOSTNAME/media/ | http(s)://media.HOSTNAME/ |
http(s)://HOSTNAME/pages/ | http(s)://pages.HOSTNAME/ |
http(s)://HOSTNAME/raw/ | http(s)://raw.HOSTNAME/ |
http(s)://HOSTNAME/render/ | http(s)://render.HOSTNAME/ |
http(s)://HOSTNAME/reply/ | http(s)://reply.HOSTNAME/ |
http(s)://HOSTNAME/uploads/ | http(s)://uploads.HOSTNAME/ |
https://HOSTNAME/ | http(s)://docker.HOSTNAME/ |
https://HOSTNAME/_registry/npm/ | https://npm.HOSTNAME/ |
https://HOSTNAME/_registry/rubygems/ | https://rubygems.HOSTNAME/ |
https://HOSTNAME/_registry/maven/ | https://maven.HOSTNAME/ |
https://HOSTNAME/_registry/nuget/ | https://nuget.HOSTNAME/ |
Prerrequisitos
Advertencia: Si se deshabilita el aislamiento de subdominios, también se recomienda deshabilitar GitHub Pages en la empresa. No habrá forma de aislar el contenido de GitHub Pages que suministre un usuario del resto de los datos de tu empresa. Para más información, vea "Configuración de GitHub Pages para la empresa".
Antes de que habilites el aislamiento de subdominio, debes configurar tus ajustes de red para el nuevo dominio.
- Especifica un nombre de dominio válido como tu nombre del host, en lugar de una dirección IP. Para más información, vea "Configuración de un nombre de host".
Advertencia: No cambie el nombre de host para GitHub Enterprise Server después de la configuración inicial. Cambiar el nombre del host ocasionará un comportamiento inesperado que puede incluir y llegar hasta la interrupción del servicio.
- Configura un registro de Sistema de nombres de dominio (DNS) de carácter comodín o registros DNS individuales para los subdominios detallados más arriba. Se recomienda crear un registro A para
*.HOSTNAME
que apunte a la dirección IP del servidor, para no tener que crear varios registros para cada subdominio. - Obtenga un certificado de seguridad de la capa de transporte (TLS) comodín para
*.HOSTNAME
con un nombre alternativo del firmante (SAN) paraHOSTNAME
y el dominio comodín*.HOSTNAME
. Por ejemplo, si el nombre de host esgithub.octoinc.com
, obtenga un certificado con el valor Nombre común establecido en*.github.octoinc.com
y un valor SAN establecido engithub.octoinc.com
y*.github.octoinc.com
. - Habilita TLS en tu aparato. Para más información, vea "Configuración de TLS".
Habilitar el aislamiento de subdominio
-
Desde una cuenta administrativa de GitHub Enterprise Server, en la esquina superior derecha de cualquier página, haz clic en .
-
Si todavía no está en la página "Administrador del sitio", en la esquina superior izquierda, haga clic en Administrador del sitio.
1. En la barra lateral de la izquierda, haga clic en Consola de administración . 3. En la barra lateral izquierda, haga clic en Hostname.
-
Seleccione Aislamiento de subdominios (recomendado) . 1. En la barra lateral de la izquierda, haga clic en Guardar configuración.
Nota: Al guardar la configuración en la Consola de administración se restablecen los servicios de sistema, lo que podría generar un tiempo de inactividad visible para el usuario.
-
Espera que se complete la fase de configuración.