Basic Gitea Information

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Basiese Struktuur

Die basiese Gitea-omgewingsstruktuur is om repositorsies te groepeer volgens organisasie(s), elkeen kan verskeie repositorsies en verskeie spanne bevat. Let egter daarop dat soos in github gebruikers repositorsies buite die organisasie kan hê.

Verder kan 'n gebruiker 'n lid van verskillende organisasies wees. Binne die organisasie kan die gebruiker verskillende toestemmings oor elke repositorsie hê.

'n Gebruiker kan ook deel wees van verskillende spanne met verskillende toestemmings oor verskillende repositorsies.

En uiteindelik kan repositorsies spesiale beskermingsmeganismes hê.

Toestemmings

Organisasies

Wanneer 'n organisasie geskep word word 'n span genaamd Eienaars geskep en die gebruiker word daarin geplaas. Hierdie span sal administratiewe toegang oor die organisasie gee, daardie toestemmings en die naam van die span kan nie gewysig word nie.

Org-admins (eienaars) kan die sigbaarheid van die organisasie kies:

  • Openbaar

  • Beperk (slegs ingeteken gebruikers)

  • Privaat (alleen lede)

Org-admins kan ook aandui of die repositorium-admins toegang kan byvoeg en/of verwyder vir spanne. Hulle kan ook die maksimum aantal repositorsies aandui.

Wanneer 'n nuwe span geskep word, word verskeie belangrike instellings gekies:

  • Daar word aangedui watter repositoriums van die organisasie die lede van die span sal kan toegang hê: spesifieke repositorsies (repositorsies waar die span bygevoeg is) of almal.

  • Daar word ook aangedui of lede nuwe repositorsies kan skep (skepper sal administratiewe toegang daartoe kry)

  • Die toestemmings wat die lede van die repositorsium sal :

  • Administrateur toegang

  • Spesifieke toegang:

Spanne & Gebruikers

In 'n repositorsium kan die org-admin en die repositorium-admins (indien toegelaat deur die org) die rolle wat aan medewerkers (ander gebruikers) en spanne gegee word, bestuur. Daar is 3 moontlike rolle:

  • Administrateur

  • Skryf

  • Lees

Gitea-verifikasie

Webtoegang

Deur gebruikersnaam + wagwoord te gebruik en moontlik (en aanbeveel) 'n 2FA.

SSH-sleutels

Jy kan jou rekening konfigureer met een of verskeie openbare sleutels wat die verwante privaatsleutel toelaat om namens jou aksies uit te voer. http://localhost:3000/user/settings/keys

GPG-sleutels

Jy kan nie die gebruiker impersoneer met hierdie sleutels nie maar as jy dit nie gebruik nie, is dit moontlik dat jy ontdek word vir die stuur van commits sonder 'n handtekening.

Persoonlike Toegangstokens

Jy kan 'n persoonlike toegangstoken genereer om 'n aansoek toegang tot jou rekening te gee. 'n Persoonlike toegangstoken gee volle toegang tot jou rekening: http://localhost:3000/user/settings/applications

Oauth-toepassings

Net soos persoonlike toegangstokens sal Oauth-toepassings volledige toegang tot jou rekening hê en die plekke waar jou rekening toegang het, omdat, soos aangedui in die dokumente, scopes word nog nie ondersteun nie:

Implementeringssleutels

Implementeringssleutels mag lees- of skryftoegang tot die repositorsium hê, sodat hulle interessant kan wees om spesifieke repositorsies te kompromiteer.

Takbeskerming

Takbeskerming is ontwerp om nie volledige beheer van 'n repositorsium aan die gebruikers te gee nie. Die doel is om verskeie beskermingsmetodes te plaas voordat jy in staat is om kode binne 'n tak te skryf.

Die takbeskermings van 'n repositorsium kan gevind word in https://localhost:3000/<orgnaam>/<reponaam>/settings/branches

Dit is nie moontlik om 'n takbeskerming op organisasievlak in te stel nie. Dus moet almal op elke repositorsium verklaar word.

Verskillende beskermings kan op 'n tak toegepas word (soos op meester):

  • Skryf uitskakel: Niemand kan na hierdie tak skryf nie

  • Skryf aktiveer: Enigeen met toegang kan skryf, maar nie kragtig skryf nie.

  • Witlys Beperkte Skryf: Slegs geselekteerde gebruikers/spanne kan na hierdie tak skryf (maar nie kragtig skryf nie)

  • Voeg Witlys vir Saamvoeging toe: Slegs witgelysde gebruikers/spanne kan PR's saamvoeg.

  • Aktiveer Statuskontroles: Vereis dat statuskontroles slaag voordat saamgevoeg word.

  • Vereis goedkeurings: Dui die aantal goedkeurings aan wat vereis word voordat 'n PR saamgevoeg kan word.

  • Beperk goedkeurings tot witlys: Dui gebruikers/spanne aan wat PR's kan goedkeur.

  • Blokeer saamvoeging op afgewysde resensies: As veranderinge aangevra word, kan dit nie saamgevoeg word nie (selfs as die ander kontroles slaag)

  • Blokeer saamvoeging op amptelike resensieversoeke: As daar amptelike resensieversoeke is, kan dit nie saamgevoeg word nie

  • Verwerp ou goedkeurings: Met nuwe commits sal ou goedkeurings verwerp word.

  • Vereis Ondertekende Commits: Commits moet onderteken word.

  • Blokeer saamvoeging as die trekversoek verouderd is

  • Beskerm/Onbeskermde lêerpatrone: Dui patrone van lêers aan om teen veranderinge beskerm/ontblokkeer te word

Soos gesien kan, selfs as jy daarin geslaag het om sekere geloofsbriewe van 'n gebruiker te verkry, kan repositorsies beskerm wees om te voorkom dat jy kode na meester stuur byvoorbeeld om die CI/CD-pyplyn te kompromiteer.

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Last updated