記事のバージョン: Enterprise Server 2.17
Subdomain Isolationの有効化
Subdomain Isolation をセットアップすれば、ユーザーが提供したコンテンツを GitHub Enterprise Server アプライアンスの他の部分から安全に分離できるようになります。
Subdomain Isolationについて
Subdomain Isolationは、クロスサイトスクリプティングや関連するその他の脆弱性を緩和します。 詳しい情報については"Wikipediaのクロスサイトスクリプティング"を参照してください。 GitHub Enterprise Server インスタンスではSubdomain Isolationを有効化することを強くお勧めします。
Subdomain Isolation が有効な場合、GitHub Enterprise Server はいくつかのパスをサブドメインで置き換えます。
Subdomain Isolationなしのパス | Subdomain Isolationされたパス |
---|---|
http(s)://HOSTNAME/assets/ | http(s)://assets.HOSTNAME/ |
http(s)://HOSTNAME/avatars/ | http(s)://avatars.HOSTNAME/ |
http(s)://HOSTNAME/codeload/ | http(s)://codeload.HOSTNAME/ |
http(s)://HOSTNAME/gist/ | http(s)://gist.HOSTNAME/ |
http(s)://HOSTNAME/media/ | http(s)://media.HOSTNAME/ |
http(s)://HOSTNAME/pages/ | http(s)://pages.HOSTNAME/ |
http(s)://HOSTNAME/raw/ | http(s)://raw.HOSTNAME/ |
http(s)://HOSTNAME/render/ | http(s)://render.HOSTNAME/ |
http(s)://HOSTNAME/reply/ | http(s)://reply.HOSTNAME/ |
http(s)://HOSTNAME/uploads/ | http(s)://uploads.HOSTNAME/ |
必要な環境
警告:Subdomain Isolationを無効化している場合は、アプライアンス上のGitHub Pagesも無効化することをおすすめします。 ユーザが提供するGitHub Pagesのコンテンツをその他のアプライアンスのデータから分離しておく方法はありません。 詳しい情報については「アプライアンス上でのGitHub Pagesの設定」を参照してください。
Subdomain Isolationを有効化する前に、新しいドメインに合わせてネットワークを設定しなければなりません。
- 有効なドメイン名を、IP アドレスではなくホスト名として指定します。 詳細は「ホスト名を設定する」を参照してください。 GitHub Enterprise Server インスタンス の初期設定をした後のホスト名の変更は、公式にはサポートされていません。
- 上記のサブドメインに対して、ワイルドカードのドメインネームシステム (DNS) レコードまたは個々の DNS レコードをセットアップします。 各サブドメイン用に複数のレコードを作成せずに済むよう、サーバのIPアドレスを指す
*.HOSTNAME
のAレコードを作成することをおすすめします。 HOSTNAME
とワイルドカードのドメイン*.HOSTNAME
の両方に対するサブジェクト代替名 (SAN) が記載された、*.HOSTNAME
に対するワイルドカードの Transport Layer Security (TLS) 証明書を取得します。 たとえば、ホスト名がgithub.octoinc.com
である場合は、Common Name の値が*.github.octoinc.com
に設定され、SAN の値がgithub.octoinc.com
と*.github.octoinc.com
の両方に設定された証明書を取得します。- アプライアンスで TLS を有効にします。 詳しい情報については"TLSの設定"を参照してください
Subdomain Isolationの有効化
- 任意のページの右上で をクリックします。
- 左のサイドバーでManagement Consoleをクリックしてください。
- 左のサイドバーでHostname(ホスト名)をクリックしてください。
- Subdomain isolation (recommended)(Subdomain Isolation(推奨))を選択してください。
- 左のサイドバーの下でSave settings(設定の保存)をクリックしてください。