Sobre isolamento de subdomínio
O isolamento de subdomínios reduz os problemas de script entre sites e outras vulnerabilidades relacionadas. Para obter mais informações, leia mais sobre scripts entre sites na Wikipedia. É altamente recomendável habilitar o isolamento de subdomínio para a your GitHub Enterprise Server instance.
Quando o isolamento do subdomínio está ativado, o GitHub Enterprise Server substitui vários caminhos pelos subdomínios. Depois de habilitar o isolamento de subdomínio, as tentativas de acessar os caminhos anteriores para alguns conteúdos fornecidos pelo usuário como http(s)://HOSTNAME/raw/
podem retornar erros de 404
.
Caminho sem isolamento de subdomínio | Caminho com isolamento de subdomínio |
---|---|
http(s)://HOSTNAME/assets/ | http(s)://assets.HOSTNAME/ |
http(s)://HOSTNAME/avatars/ | http(s)://avatars.HOSTNAME/ |
http(s)://HOSTNAME/codeload/ | http(s)://codeload.HOSTNAME/ |
http(s)://HOSTNAME/gist/ | http(s)://gist.HOSTNAME/ |
http(s)://HOSTNAME/media/ | http(s)://media.HOSTNAME/ |
http(s)://HOSTNAME/pages/ | http(s)://pages.HOSTNAME/ |
http(s)://HOSTNAME/raw/ | http(s)://raw.HOSTNAME/ |
http(s)://HOSTNAME/render/ | http(s)://render.HOSTNAME/ |
http(s)://HOSTNAME/reply/ | http(s)://reply.HOSTNAME/ |
http(s)://HOSTNAME/uploads/ | http(s)://uploads.HOSTNAME/ |
https://HOSTNAME/_registry/docker/ | http(s)://docker.HOSTNAME/ |
https://HOSTNAME/_registry/npm/ | https://npm.HOSTNAME/ |
https://HOSTNAME/_registry/rubygems/ | https://rubygems.HOSTNAME/ |
https://HOSTNAME/_registry/maven/ | https://maven.HOSTNAME/ |
https://HOSTNAME/_registry/nuget/ | https://nuget.HOSTNAME/ |
Pré-requisitos
Aviso: Se o isolamento de subdomínio estiver desabilitar, recomendamos também desabilitar GitHub Pages na sua empresa. Não haverá forma de isolar o conteúdo GitHub Pages fornecido pelo usuário dos dados da sua empresa. Para obter mais informações, consulte "Configurar GitHub Pages para a sua empresa".
Antes de habilitar o isolamento de subdomínio, você deve definir as configurações de rede do novo domínio.
- Em vez de um endereço IP, especifique um nome de domínio válido como nome de host. Para obter mais informações, consulte "Configurar nome de host".
Aviso: Não altere o nome do host para GitHub Enterprise Server após a configuração inicial. Alterar o nome do host causará comportamento inesperado, até e incluindo falhas de instância.
- Configure um registro curinga do Sistema de Nomes de Domínio (DNS) ou registros DNS individuais para os subdomínios listados acima. É recomendável criar um registro A para
*.HOSTNAME
que aponte para o endereço IP do servidor, de modo que não seja preciso criar vários registros para cada subdomínio. - Obtenha um certificado curinga de Segurança da Camada de Transporte (TLS) para
*.HOSTNAME
com Nome Alternativo da Entidade (SAN) paraHOSTNAME
e o domínio curinga*.HOSTNAME
. Por exemplo, se o nome de host forgithub.octoinc.com
, obtenha um certificado com valor de nome comum definido como*.github.octoinc.com
e valor SAN definido paragithub.octoinc.com
e*.github.octoinc.com
. - Habilite o TLS no appliance. Para obter mais informações, consulte "Configurar TLS".
Habilitar isolamento de subdomínio
-
From an administrative account on GitHub Enterprise Server, in the upper-right corner of any page, click .
-
If you're not already on the "Site admin" page, in the upper-left corner, click Site admin.
-
Na barra lateral esquerda, clique em Console de gerenciamento.
-
Na barra lateral esquerda, clique em Hostname.
-
Selecione Subdomain isolation (recommended) (Isolamento de subdomínio [recomendado]).
-
Na barra lateral esquerda, clique Save settings (Salvar configurações).
Note: Saving settings in the Console de gerenciamento restarts system services, which could result in user-visible downtime.
-
Aguarde a conclusão da execução de suas configurações.