🥇GIT サーバーへのマルチユーザーアクセスの構成

Git サーバーをインストールして構成する場合、複数のプロジェクトへの複数のユーザーのアクセスを整理することについて疑問が生じます。この問題を調査した結果、シンプル、安全、信頼性というすべての要件を満たす解決策を見つけました。

私の願いは次のとおりです。

各ユーザーは自分のアカウントに接続します
複数のユーザーが XNUMX つのプロジェクトで作業できる
同じユーザーが複数のプロジェクトで作業できる
各ユーザーは、自分が作業しているプロジェクトにのみアクセスできます。
ある種の Web インターフェイスだけでなく、コマンドライン経由でも接続できる必要があります。

それも素晴らしいでしょう:

制御者に読み取り専用権限を付与する
Git でユーザーのアクセス権を簡単に管理

GIT サーバーにアクセスするために考えられるオプションの概要

まず最初に、何を選択するかを知る必要があるため、ここでは Git プロトコルの概要を簡単に説明します。

ssh - サーバーにアクセスするために特別に作成されたユーザーアカウントが使用されます。
- Git が XNUMX つのアカウントを使用してすべてのリポジトリにアクセスすることを推奨事項から除外していないのは不思議です。これは私の要件をまったく満たしていません。
- 複数のアカウントを使用できますが、ユーザーのアクセスを特定のディレクトリのみに制限するにはどうすればよいでしょうか?
  - ホームディレクトリに閉じることは、他のユーザーの書き込みアクセスを整理することが難しいため、適切ではありません。
  - Git はシンボリックリンクをリンクとして解釈しないため、ホームディレクトリからシンボリックリンクを使用することも困難です。
  - インタプリタへのアクセスを制限することは可能ですが、それが常に機能するという完全な保証はありません
    - 通常、そのようなユーザーのために独自のコマンドインタープリターを接続できますが、
      - まず、これはすでにある種の難しい決断です。
      - そして第二に、これは回避できるということです。
しかし、ユーザーが任意のコマンドを実行できることは問題ではないでしょうか?.. 一般に、この方法の使用方法を正確に把握していれば、この方法を除外することはできません。この方法については後ほど説明しますが、ここでは他の代替方法を簡単に検討します。おそらく、もっと単純なものがあるでしょう。
git local プロトコルは sshfs と組み合わせて使用でき、複数のユーザーを使用できますが、本質的には前のケースと同じです
http - 読み取り専用
git は読み取り専用です
https - インストールが難しく、追加のソフトウェアが必要で、ユーザーアクセスを整理するために何らかのコントロールパネルが必要です...実現可能に見えますが、どういうわけかすべてが複雑です。

ssh プロトコルを使用して Git サーバーへのマルチユーザーアクセスを組織する

ssh プロトコルに戻りましょう。

gitにはsshアクセスを使用するため、サーバーデータのセキュリティを確保する必要があります。 ssh 経由で接続するユーザーは、Linux サーバー上で独自のログインを使用するため、ssh クライアント経由で接続し、サーバーのコマンドラインにアクセスできます。
このようなアクセスに対する完全な保護はありません。

ただし、ユーザーは Linux ファイルに興味を持ってはいけません。重要な情報は git リポジトリにのみ保存されます。したがって、コマンドライン経由でアクセスを制限するのではなく、Linux ツールを使用して、ユーザーが参加しているプロジェクトを除くプロジェクトの閲覧を禁止することが可能です。
当然の選択は、Linux 権限システムを使用することです。

すでに述べたように、ssh アクセスに使用できるアカウントは XNUMX つだけです。この構成は、推奨される git オプションのリストに含まれていますが、一部のユーザーにとって安全ではありません。

この記事の冒頭で示した要件を実装するために、権限と所有者を割り当てて次のディレクトリ構造を作成します。

1) プロジェクトディレクトリ

dir1(proj1:proj1,0770)
dir2(proj2:proj2,0770)
dir3(proj3:proj3,0770)
...
どこ
dir1、dir2、dir3 - プロジェクトディレクトリ: プロジェクト 1、プロジェクト 2、プロジェクト 3。

proj1:proj1、proj2:proj2、proj3:proj3 は、対応するプロジェクトディレクトリの所有者として割り当てられる、特別に作成された Linux ユーザーです。

すべてのディレクトリのアクセス許可は 0770 に設定されます。つまり、所有者とそのグループには完全なアクセスが許可され、その他の全員には完全な禁止が与えられます。

2) 開発者アカウント

Разработчик 1: dev1:dev1,proj1,proj2
Разработчик 2: dev2:dev2,proj2,proj3

重要な点は、開発者には、対応するプロジェクトのシステムユーザー所有者の追加グループが割り当てられるということです。 これは、Linux サーバー管理者が XNUMX つのコマンドで実行します。

この例では、「開発者 1」はプロジェクト proj1 と proj2 に取り組んでおり、「開発者 2」はプロジェクト proj2 と proj3 に取り組んでいます。

開発者のいずれかがコマンドライン経由で ssh 経由で接続した場合、その開発者の権限は、参加していないプロジェクトディレクトリの内容を表示するのに十分ではありません。彼自身がこれを変えることはできません。

この原則の基礎は Linux の権利の基本的なセキュリティであるため、このスキームは信頼できます。さらに、この制度は管理が非常に簡単です。

練習に移りましょう。

Linux サーバー上での Git リポジトリの作成

確認しよう。

[root@server ~]# cd /var/
[root@server var]# useradd gitowner
[root@server var]# mkdir gitservertest
[root@server var]# chown gitowner:gitowner gitservertest
[root@server var]# adduser proj1
[root@server var]# adduser proj2
[root@server var]# adduser proj3
[root@server var]# adduser dev1
[root@server var]# adduser dev2
[root@server var]# passwd dev1
[root@server var]# passwd dev2

手書きで入力するのは疲れます…

[root@server gitservertest]# sed "s/ /n/g" <<< "proj1 proj2 proj3" | while read u; do mkdir $u; chown $u:$u $u; chmod 0770 $u; done

[root@server gitservertest]# usermod -aG proj1 dev1
[root@server gitservertest]# usermod -aG proj2 dev1
[root@server gitservertest]# usermod -aG proj2 dev2
[root@server gitservertest]# usermod -aG proj3 dev2

コマンドラインから他の人のリポジトリにアクセスすることは不可能であり、その内容を表示することさえ不可能であると私たちは確信しています。

[dev1@server ~]$ cd /var/gitservertest/proj3
-bash: cd: /var/gitservertest/proj3: Permission denied
[dev1@server ~]$ ls /var/gitservertest/proj3
ls: cannot open directory /var/gitservertest/proj3: Permission denied

Git の同じプロジェクトで複数の開発者と共同作業する

1 つの疑問が残ります。ある開発者が新しいファイルを導入した場合、他の開発者はそのファイルを変更できません。その開発者自身がその所有者 (dev1 など) であり、プロジェクトのユーザー所有者 (projXNUMX など) ではないためです。サーバー側のリポジトリがあるため、まず「.git」ディレクトリがどのように構成されているか、新しいファイルが作成されるかどうかを知る必要があります。

ローカル Git リポジトリの作成と Git サーバーへのプッシュ

クライアントマシンに移りましょう。

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:gittest>git init .
Initialized empty Git repository in C:/gittest/.git/

C:gittest>echo "test dev1 to proj2" > test1.txt

C:gittest>git add .

C:gittest>git status
On branch master
No commits yet
Changes to be committed:
  (use "git rm --cached <file>..." to unstage)
        new file:   test1.txt

C:gittest>git commit -am "new test file added"
[master (root-commit) a7ac614] new test file added
 1 file changed, 1 insertion(+)
 create mode 100644 test1.txt
 
C:gittest>git remote add origin "ssh://[email protected]/var/gitservertest/proj2"

C:gittest>git push origin master
dev1:[email protected]'s password:
Counting objects: 3, done.
Writing objects: 100% (3/3), 243 bytes | 243.00 KiB/s, done.
Total 3 (delta 0), reused 0 (delta 0)
To ssh://10.1.1.11/var/gitservertest/proj2
 * [new branch]      master -> master

C:gittest>

同時に、新しいファイルがサーバー上に作成され、それらはプッシュを実行したユーザーに属します。

[dev1@server proj2]$ tree
.
├── 1.txt
├── branches
├── config
├── description
├── HEAD
├── hooks
│   ├── applypatch-msg.sample
│   ├── commit-msg.sample
│   ├── post-update.sample
│   ├── pre-applypatch.sample
│   ├── pre-commit.sample
│   ├── prepare-commit-msg.sample
│   ├── pre-push.sample
│   ├── pre-rebase.sample
│   └── update.sample
├── info
│   └── exclude
├── objects
│   ├── 75
│   │   └── dcd269e04852ce2f683b9eb41ecd6030c8c841
│   ├── a7
│   │   └── ac6148611e69b9a074f59a80f356e1e0c8be67
│   ├── f0
│   │   └── 82ea1186a491cd063925d0c2c4f1c056e32ac3
│   ├── info
│   └── pack
└── refs
    ├── heads
    │   └── master
    └── tags

12 directories, 18 files
[dev1@server proj2]$ ls -l objects/75/dcd269e04852ce2f683b9eb41ecd6030c8c841
-r--r--r--. 1 dev1 dev1 54 Jun 20 14:34 objects/75/dcd269e04852ce2f683b9eb41ecd6030c8c841
[dev1@server proj2]$

変更を Git サーバーにアップロードすると、追加のファイルとディレクトリが作成され、実際の所有者はアップロードを行ったユーザーになります。ただし、これらのファイルとディレクトリのグループは、このユーザーのメイングループ、つまり、dev1 ユーザーの dev1 グループと dev2 ユーザーの dev2 グループにも対応します (開発者ユーザーのメイングループを変更しても役に立ちません)というのは、どうやって複数のプロジェクトに取り組むことができるのでしょうか?)。この場合、ユーザー dev2 はユーザー dev1 が作成したファイルを変更できなくなり、機能が低下する可能性があります。

Linux chown - 通常のユーザーによるファイルの所有者の変更

ファイルの所有者はその所有権を変更できません。ただし、自分に属するファイルのグループを変更すると、そのファイルを同じグループ内の他のユーザーが変更できるようになります。それが私たちに必要なことなのです。

Gitフックの使用

フックの作業ディレクトリはプロジェクトのルートディレクトリです。フックは、プッシュを実行するユーザーの下で実行される実行可能ファイルです。これを理解すれば、計画を実行することができます。

[dev1@server proj2]$ mv hooks/post-update{.sample,}
[dev1@server proj2]$ sed -i '2,$ s/^/#/' hooks/post-update
[dev1@server proj2]$ cat <<< 'find . -group $(whoami) -exec chgrp proj2 '"'"'{}'"'"' ;' >> hooks/post-update

あるいは単に

vi hooks/post-update

クライアントマシンに戻りましょう。

C:gittest>echo "dev1 3rd line" >> test1.txt

C:gittest>git commit -am "3rd from dev1, testing server hook"
[master b045e22] 3rd from dev1, testing server hook
 1 file changed, 1 insertion(+)

C:gittest>git push origin master
dev1:[email protected]'s password:
   d22c66e..b045e22  master -> master

Gitサーバー上で、コミット後のフック更新後スクリプトの動作を確認します。

[dev1@server proj2]$ find . ! -group proj2

- 空です、すべて問題ありません。

Git で XNUMX 人目の開発者を接続する

XNUMX 人目の開発者の作業をシミュレーションしてみましょう。

クライアント側で

C:gittest>git remote remove origin

C:gittest>git remote add origin "ssh://[email protected]/var/gitservertest/proj2"

C:gittest>echo "!!! dev2 added this" >> test1.txt

C:gittest>echo "!!! dev2 wrote" > test2.txt

C:gittest>git add test2.txt

C:gittest>git commit -am "dev2 added to test1 and created test2"
[master 55d49a6] dev2 added to test1 and created test2
 2 files changed, 2 insertions(+)
 create mode 100644 test2.txt

C:gittest>git push origin master
[email protected]'s password:
   b045e22..55d49a6  master -> master

そして同時にサーバー上では...

[dev1@server proj2]$ find . ! -group proj2

— 再び空になると、すべてが機能します。

Git プロジェクトの削除と Git サーバーからのプロジェクトのダウンロード

すべての変更が保存されたことをもう一度確認できます。

C:gittest>rd /S /Q .
Процесс не может получить доступ к файлу, так как этот файл занят другим процессом.

— Git プロジェクトを削除するには、ディレクトリを完全にクリアするだけです。このコマンドを使用して現在のディレクトリを削除することは不可能であるため、生成されるエラーは我慢しましょう。ただし、これはまさに必要な動作です。

C:gittest>dir
 Содержимое папки C:gittest

21.06.2019  08:43    <DIR>          .
21.06.2019  08:43    <DIR>          ..

C:gittest>git clone ssh://[email protected]/var/gitservertest/proj2
Cloning into 'proj2'...
[email protected]'s password:

C:gittest>cd proj2

C:gittestproj2>dir
 Содержимое папки C:gittestproj2

21.06.2019  08:46    <DIR>          .
21.06.2019  08:46    <DIR>          ..
21.06.2019  08:46               114 test1.txt
21.06.2019  08:46                19 test2.txt
C:gittestproj2>type test1.txt
"test dev1 to proj2"
"dev1 added some omre"
"dev1 3rd line"
"!!! dev2 added this"

C:gittestproj2>type test2.txt
"!!! dev2 wrote"

Git でのアクセスの共有

次に、1 番目の開発者が、Git を介しても、作業していない ProjXNUMX プロジェクトにアクセスできないことを確認しましょう。

C:gittestproj2>git remote remove origin

C:gittestproj2>git remote add origin "ssh://[email protected]/var/gitservertest/proj1"

C:gittestproj2>git push origin master
[email protected]'s password:
fatal: '/var/gitservertest/proj1' does not appear to be a git repository
fatal: Could not read from remote repository.

Please make sure you have the correct access rights
and the repository exists.

これでアクセスが許可されました

[root@server ~]# usermod -aG proj1 dev2

その後はすべてうまくいきます。

C:gittestproj2>git push origin master
[email protected]'s password:
To ssh://10.1.1.11/var/gitservertest/proj1
 * [new branch]      master -> master

詳細については、

さらに、ファイルやディレクトリの作成時にデフォルトの権限に問題がある場合は、CentOS で次のコマンドを使用できます。

setfacl -Rd -m o::5 -m g::7 /var/gitservertest

また、この記事では、小さな便利な事柄に遭遇するかもしれません。

Linuxでディレクトリツリーを構築する方法
sed のアドレス範囲を特定の行からファイルの末尾まで渡す方法、つまり、最初の行を除くすべての行を sed で置換する方法
Linux find で検索条件を反転する方法
Linux シェルでワンライナーを使用して複数の行をループに渡す方法
bashで一重引用符をエスケープする方法
Windowsのコマンドラインでディレクトリとその内容をすべて削除する方法
bash mv を使用してファイルを再度書き換えずに名前を変更する方法

ご清聴ありがとうございました。

出所： habr.com

GIT サーバーへのマルチユーザー アクセスの構成