SVN + SSH Güvenliği

Anahtar tabanlı kimlik doğrulaması ile snv + ssh kullanıyorum. Şu anda svn kullanıcılarımın Subversion aracılığıyla depoya erişebilmeleri için, repo dosyalarının dosya sisteminde okunabilir ve yazılabilir olmasını ayarlamalıyım.

Kullanıcıların ssh aracılığıyla sunucuda oturum açtıklarında repo veritabanını silmesini önlemek, ancak hala ödeme ve kod taahhüt edebilmek istiyorum.

Bunu nasıl yapabileceğime dair düşünceler?

Bir svn + ssh URL'sine erişmek için, svn istemcisi "ssh -q user @ host svnserve -t" kullanarak bir svnserve örneği başlatır ve bu örnekle stdin / stdout aracılığıyla konuşur.

Kullanıcılarınızın normal ssh erişimine ihtiyacı varsa, yine de bir kullanıcıya erişimi sınırlandırarak (chown -R svnserve: svnserve repo; chmod -R g-rwx, o-rwx repo) ve svnserve komutunu değiştirerek depoya erişmelerini engelleyebilirsiniz . bu setuid / setgid svnserve sarma programı .

Paylaşılan bir kullanıcı ortamında, gerçek bir Subversion sunucusu kurmanızı öneririm (ya svnserveApache üzerinden). Bu ortamda, tüm kullanıcıların sunucu işleminin kullanıcı hesabı altında yapıldığından, tek tek kullanıcıların havuz dosyalarına erişmesi gerekmez.

Subversion kitabının bir Sunucu Yapılandırması Seçme konusunda yardımcı olabilecek bir bölümü vardır . Bu bölümden (vurgu mayın):

SSH hesaplarına dayanan mevcut bir altyapınız varsa ve kullanıcılarınızın sunucu makinenizde zaten sistem hesapları varsa, SSH üzerinden svnserve üzerinden bir çözüm kurmak mantıklıdır. Aksi takdirde, bu seçeneği halka yaygın olarak önermiyoruz. Kullanıcılarınızın havuza, tam gelişmiş sistem hesapları yerine svnserve veya Apache tarafından yönetilen (hayali) hesaplarla erişmesi genellikle daha güvenli kabul edilir.

Bu sitenin bazı güzel hileleri var: http://svn.apache.org/repos/asf/subversion/trunk/notes/ssh-tricks

Bunlardan hiçbiri sizin için işe yaramazsa, belki de bir çözüm hile yapabilir mi? Taahhüt kancalarına biri böyle bir şey ekleyerek her seferinde deponun yedeğini alabilirsiniz: sudo rsync -a / my / repo / path / my / closed / path /

Bu soruna saldırmak için iki olası yön görüyorum:

• Sınırlı kabuk erişimi sağlayın, örneğin kullanıcılar hesaplarıyla sadece svn kullanabilirler (kabuk erişimi başka amaçlar için de gerekiyorsa başka bir hesaba ihtiyaç duyabilir) - svnonly için googling yapan birkaç ilginç referans buldum . Not: Onları kendim denemedim.
• https üzerinden alt sürüme geçerek istemci sertifikaları ekleyin. Bunu tartışan insanlar gördüm, ama asla kendim yapmadım. Dezavantajı: ssh anahtarlarına ek olarak istemci sertifikalarının dağıtılmasını gerektirir.

Greg ve Olaf ile aynı fikirde - https erişimi için gidin. Ben oldukça uzun bir süre böyle bir kurulum kullanıyorum ve gerçekten herhangi bir olumsuz görmüyorum.

depo içinde hassas erişim denetiminin ek avantajlarından yararlanacaksınız; böylece bazı kısımlarını salt okunur, bazılarına ise seçili kullanıcılar için erişilemez hale getirebilirsiniz.