21. April 2020, 18:23

Datensparsame Gitea Einstellungen

Die eigene gitea Instanz - Teil II

Letztes Wochenende habe ich Zeit gefunden weiter an der Instanz zu arbeiten. Zunächst die guten Nachrichten:

Die harte Restriktion, keine Fremdanmeldung zuzulassen, habe ich aufgehoben und ermögliche nun jedem die Registrierung. Selbstverständlich erst nach einer Email Bestätigung, mit REGISTER_EMAIL_CONFIRM gesetzt.

Das ist der Bestimmungszweck der Instanz. Eigene Repos für Benutzer habe ich jedoch mit MAX_CREATION_LIMIT unterbunden. Und auch die öffentliche Ansicht auf Repos und Aktivitäten wird mit REQUIRE_SIGNIN_VIEW auf angemeldete Benutzer beschränkt.

Das HTML Template für den Footer wurde mit einem Impressum ergänzt und nicht benötigte Informationen entfernt. Auf weitere UI Anpassungen habe ich vorerst verzichtet. Auf meiner To-Do stehen noch die die Anpassungen der verschiednen Email-Benachrichtigungs Templates, die ich pauschal alle in der .INI auf “Nur-Text” gesetzt habe.

Ein ziemlich wichtiger Switch ist OFFLINE_MODE damit wirklich alle Ressourcen nicht von CDNs sondern vom eigenen Server kommen. Für den Datenschutz wichtig sind das Ausschalten von Gravatar, OpenID, Captchas und Externen Dritt-Diensten.

Hier eine Übersicht der manuell angepassten Settings neben den üblichen Defaults, die ich hier nicht mit zeige:

[repository]
MAX_CREATION_LIMIT = 0

[repository-pull-request]
WORK_IN_PROGRESS_PREFIXES = WIP:,[WIP]

[server]
OFFLINE_MODE = true
DISABLE_SSH = true

[service]
ENABLE_CAPTCHA = false
REQUIRE_SIGNIN_VIEW = true
ALLOW_ONLY_EXTERNA_REGISTRATION = false
REGISTER_EMAIL_CONFIRM = true
DEFAULT_KEEP_EMAIL_PRIVATE = true
DEFAULT_ALLOW_CREATE_ORGANIZATION = false

[picture]
DISABLE_GRAVATAR = true
ENABLE_FEDERATED_AVATAR = false

[openid]
ENABLE_OPENID_SIGNUP = false
ENABLE_OPENID_AVATAR = false

[mailer]
SEND_AS_PLAIN_TEXT = true[/code]

Die grundlegenden Abläufe habe ich mit einem Test-User durchgespielt sowohl in der WebUI als auch von einer lokalen Arbeitskopie aus. PR und andere Aktivitäten werden mir richtig signalisiert. Wiki und Issues funktionieren richtig gut, da gibt es nichts besonders zu berichten. Lediglich bei dem Zeit-Tracker weiß ich noch nicht, ob es gut ist, daß jeder die Zeiten sehen kann. Man muß diesen ja nicht benutzten. Die WebUI ist zwar gut und github-like, insgesamt jedoch limitierend und erlaubt immer nur eine Aktion.

Damit sind wir bei den Schattenseiten und dem, was weniger gut läuft. Ich habe hinsichtlich GPG Signing für mich noch keine zufriedenstellende Lösung finden können. Und so wie es aussieht, werde ich diese wohl auch (noch) nicht finden können. Mein Ansinnen ist es ja, daß jede Aktion auch GPG signed ist. Arbeite ich lokal und commite ich in die Instanz, klappt das auch. Derzeit nutze ich am Mac die Testversion der aktuellen git-tower Version und auf Linux neben der Konsole das grafische gitg Frontend in Gnome. Sobald ich etwas in der WebUI probiere klappt das Signing nicht. Weitere Besonderheit: Wird etwas geforkt sieht man einen “untrusted User” in gelb, der mir jedoch valide in grün angezeigt wird.

Da habe ich den Dreh noch nicht ganz raus und habe entweder noch einen Denkfehler oder komme an eine funktionale Grenze von gitea.

signed Commits

Eine weitere.(kleinere) Baustelle: 2FA kann nicht auf registrierte Anwender enforced werden. Es obliegt der Entschedung des Benutzers, ob er 2FA nutzen mag oder nicht.

© 2020 Tomas Jakobs - Impressum und Datenschutzhinweis