考虑一个托管多个 Git 存储库的服务器:
$ ls -l /opt/git/
drwxrwxr-x 7 ubuntu root 4096 Jan 2 2014 george.git
drwxrwxr-x 7 ubuntu root 4096 Dec 29 2013 john.git
drwxrwsr-x 7 ubuntu root 4096 Jul 4 2013 paul.git
drwxrwsr-x 7 ubuntu root 4096 Jun 30 2013 ringo.git
到目前为止,所有开发人员都可以通过 SSH 访问所有 Git 存储库。我现在正在添加一个只能访问john.gitrepo 的开发人员。我已经创建了一个 Linux 用户yoko,但我不确定我应该如何以最安全的方式yoko访问该/opt/git/john.git目录而不让他访问/opt/git/.
限制访问的规范方式是什么?
我的倾向是创建john.gitas 组foobar并将该组添加到 useryoko的组中。但是,如果我以后需要添加另一个可以访问两个 repos 的用户会发生什么?例如,我可能想添加cynthia同时访问john.git和 的用户paul.git。我应该为每个 Git 存储库设置一个单独的组吗?我可以看到它很快变得笨拙
请注意,这些用户应该只能访问他们自己的目录以及允许他们访问的 Git 存储库。/home/user/如果有一种符号链接的方法,即/home/yoko/john.git以/opt/git/john.git一种阻止访问其余部分的方式,/opt/git/那将是最好的,但是我似乎无法像这样配置系统。
该服务器正在运行 Ubuntu Server 12.04,但如果需要,我可以将其更新到 14.04。用户使用 RSA 密钥通过 SSH 连接,无需密码。他们将在服务器上执行git pull,git push仅此而已。
对于少量的 repos,groups 方法工作得很好。是的,每个 repo 都可能需要自己的组,如果你有更多的 repo,它确实会变得笨拙。正如@AlexeyTen 在评论中提到的,如果你有更多的repos,或者想要一个更“高级”的管理界面,你应该看看像gitolite 或gitlab 这样的repo manager。Gitolite 通过 git repo 中的文本文件进行管理(配置文件和 SSH 密钥被提交到一个特殊的 git repo 并推送,一切都已配置)。另一方面,Gitlab 是一个一体化的 web 应用程序,在概念上类似于自托管的 Github。如果您不需要所有的花里胡哨,gitolite 几乎肯定会完美地完成这项工作。