gitlab 403

gitlab 前端经过一个nginx代理后，某天访问的时候发现nginx报502错误

经查询发现是某用户认证失败，导致gitlab为了安全把远程ip禁用掉了

./redis-cli keys '*' | grep 'rack::attack' 
cache:gitlab:rack::attack:allow2ban:ban:10.5.0.42
cache:gitlab:rack::attack:allow2ban:ban:10.5.0.46

临时解决办法为清掉redis里的改数据 ./redis-cli keys '*' | grep 'rack::attack' | xargs .

解决方法一：

在gitlab.rb里找到下面配置，将ip加入白名单或者增加maxretry

 gitlab_rails['rack_attack_git_basic_auth'] = {
   'enabled' => true,
   'ip_whitelist' => ["127.0.0.1"],
   'maxretry' => 10,
   'findtime' => 60,
   'bantime' => 3600
 }

解决方法二：

由于经过的前边的nginx反向代理，所以gitlab获取到的远程ip为nginx的ip，并非用户的真实ip 在gitlab.rb 里找到如下配置，将nginx的ip加入到real_ip_trusted_address，并且将real_ip_header修改为前端nginx自定义的header，这样gitlab就能通过自定义的header获取用户的真实ip

nginx['real_ip_trusted_addresses'] = ['10.5.0.46','10.5.0.42']
nginx['real_ip_header'] = 'X-Forwarded-For'
nginx['real_ip_recursive'] = 'on'

参考： https://docs.gitlab.com/omnibus/settings/nginx.html