CentOS搭建Git服务器及权限管理

CentOS搭建Git服务器及权限管理,第1张

https://www.cnblogs.com/fly_dragon/p/8718614.html

声明:本教程,仅作为配置的记录,细节不展开,需要您有一点linux的命令基础,仅作为配置参考。

1. 系统环境

系统: Linux:CentOS 7.2 64位

由于CentOS已经内置了OpenSSH,如果您的系统没有,请自行安装。

查看ssh版本

$ ssh -V

# 输出以下表示没问题,可以继续。 版本可能不一致,能用即可。
OpenSSH_6.6.1p1, OpenSSL 1.0.1e-fips 11 Feb 2013

避免系统环境和其他的不一致,请核对您系统的版本,其他发行版请对应修改。

2. 安装git

建议以下 *** 作都切换到root

# 请确保您切换到了root账户
$ su root
$ yum install -y git  # 验证是否安装成功 $ git --version # 输出如下内容表示成功: git version x.x.x.x 
3. 添加git的管理的账户和设置密码

设置专门管理git的账号非必须,但是建议这么 *** 作。

# 添加git账户
$ adduser git
 # 修改git的密码 $ passwd git # 然后两次输入git的密码确认后。  # 查看git是否安装成功 $ cd /home && ls -al # 如果已经有了git,那么表示成,参考如下: drwxr-xr-x. 5 root root 4096 Apr 4 15:03 . dr-xr-xr-x. 19 root root 4096 Apr 4 15:05 .. drwx------ 10 git git 4096 Apr 4 00:26 git  # 默认还给我们分配一个名字叫git的组。 
4. git的权限管理

git仓库的权限管理,我们可以手动进行管理和配置,也可以通过其他辅助工具。如果小团队的话,直接通过ssh公钥进行管理即可,如果大点的团队,最好用gitolite 或者 gitosis,两者都差不多,一个是Perl开发,一个是Python开发。

以下我分别介绍手动管理权限和使用gitolite管理的方式,注意两者不兼容,不能混用。

5. git的手动权限管理

经过以上步骤,其实服务器的基本已经配置好,但是需要设置权限和配置远程访问git仓库的方式。我们只介绍ssh的方式,https不做介绍。

5.1 配置服务端的ssh访问

切换到git账号,并创建ssh的默认目录和校验公钥的配置文件

# 1.切换到git账号
$ su git
# 2.进入 git账户的主目录 $ cd /home/git  # 3.创建.ssh的配置,如果此文件夹已经存在请忽略此步。 $ mkdir .ssh  # 4. 进入刚创建的.ssh目录并创建authorized_keys文件,此文件存放客户端远程访问的 ssh的公钥。 $ cd /home/git/.ssh $ touch authorized_keys  # 5. 设置权限,此步骤不能省略,而且权限值也不要改,不然会报错。 $ chmod 700 /home/git/.ssh/ $ chmod 600 /home/git/.ssh/authorized_keys 

此时,服务端的配置基本完成。接下需要把客户端的公钥拷贝到authorized_keys文件中。

5.2 配置客户端的ssh私钥并上传服务器

以下是客户端创建ssh私钥和拷贝的过程,如果您有私钥越过创建私钥的过程。

请用您的客户端进入终端(如果只有一台电脑,可以用不同的账号模拟不同客户端)

第一步: 创建客户端的ssh私钥和公钥

检查是否已经拥有ssh公钥和私钥:进入用户的主目录。

用户主目录:
Windows系统:C:\Users\用户名
Linux系统:/home/用户名
Mac系统:/Users/用户名

然后查看是否有.ssh文件夹,此文件夹下是否有如下几个文件。

# 用户主目录的.ssh文件夹下
.ssh
├── id_rsa
└── id_rsa.pub # 我们要用的私钥 

如果没有,那么用ssh-keygen创建ssh的私钥。

$ ssh-keygen -t rsa

# 接下来,三个回车默认即可。

创建私钥成功后,在查看用户目录是否有意加有了公钥文件id_rsa.pub

第二步: 拷贝私钥到git的服务器

如何把客户端的文件拷贝到服务器端,我建议用scp命令进行拷贝。

以下以mac系统为例:

# 首先进入我的用户主目录的.ssh目录下,注意用户名xxx替换成自己的
$ cd /Users/xxx/.ssh  # 以下命令是:把本地的id_rsa.pub文件拷贝到 aicoder.com服务器,登录aicoder.com服务的账号是git。 # 冒号后面默认就是git账号的主目录,最后文件被保存成laoma.pub # 注意:把域名换成你自己的或者ip,最后的文件名可以自己定,后面还有用。 $ scp ./id_rsa.pub git@aicoder.com:.ssh/laoma.pub 
5.3 服务器端添加客户端的SSH公钥

切换到服务器端,把刚才上传的laoma.pub文件的内容添加到 authorized_keys中,就可以允许客户端ssh访问了。

# 切换到git账户
$ su git
$ cd /home/git/.ssh  $ ls -al # 查看一下.ssh目录是否有authorized_keys和laoma.pub文件 # . # |-- authorized_keys # `-- laoma.pub  # 如果有,那么进行下面的把laoma.pub文件中的内容添加到authorized_keys中. $ cat laoma.pub >> authorized_keys  # >> 是在文件后面追加的意思,主要如果用其他编辑器,每个ssh的pub要单独一行,建议用cat命令方便简单。 

到此为止,您配置的客户端应该可以ssh的方式直接用git账号登录服务器。(当然不安全,后面可以控制)

# 在客户端用ssh测试连接远程服务器,请将域名aicoder.com换成你的ip地址或者域名
$ ssh git@aicoder.com    
 # 第一次连接有警告,输入yes继续即可。如果可以连接上,那么恭喜你的ssh配置已经可以了。 
5.4 服务器端创建测试git仓库

进入服务器的终端。

# 切换到git账号
$ su git
# 进入git账号的用户主目录。
$ cd /home/git # 在用户主目录下创建 test.git仓库的文件夹
$ mkdir test.git && cd test.git # 在test.git目录下初始化git仓库
$ git init --bare # 输出如下内容,表示成功 Initialized empty Git repository in /home/git/test.git/

git init --bare 是在当前目录创建一个裸仓库,也就是说没有工作区的文件,直接把git仓库隐藏的文件放在当前目录下,此目录仅用于存储仓库的历史版本等数据。

此时,客户端就可以进行clone或者remote add此仓库了。

5.5 客户端测试连接git远程仓库

客户端,可以新建一个文件夹,初始化一个仓库,然后跟远程服务器上的空仓库建立连接。

# 以下shell代码,纯手写没有验证,如果有错误请自行纠正。
$ mkdir demos && cd demos $ git init $ touch a.txt $ echo 'aicoder.com' >> a.txt
$ git add . $ git commit -m 'the first commit'
# 把当前仓库跟远程仓库添映射 $ git remote add origin git@aicoder.com:test.git
# 把当前仓库push到远程仓库。 $ git push -u origin master

到此为止,我们就可以尽情的享用git私服了,但是!但是!但是!客户端可以直接ssh登录啊,这是bug,也是不安全的隐患,且看下面怎么禁用git账号的shell登录。

5.6 禁止客户端shell登录

因为前面我们添加了客户端的ssh的公钥到远程服务器,所以客户端可以直接通过shell远程登录服务器,这不安全,也不是我们想要的。且看下面如何禁用shell登录:

第一步:
给 /home/git 下面创建git-shell-commands目录,并把目录的拥有者设置为git账户。可以直接用git账号登录服务器终端 *** 作。

$ su git
$ mkdir /home/git/git-shell-commands

此文件夹是git-shell用到的目录,需要我们手动创建,不然报错:fatal: Interactive git shell is not enabled. hint: ~/git-shell-commands should exist and have read and execute access.

第二步:修改/etc/passwd文件,修改

$ vim /etc/passwd

# 可以通过 vim的正则搜索快速定位到这行,  命名模式下  :/git:x
 # 找到这句, 注意1000可能是别的数字 git:x:1000:1000::/home/git:/bin/bash
# 改为: git:x:1000:1000::/home/git:/bin/git-shell # 最好不要直接改,可以先复制一行,然后注释掉一行,修改一行,保留原始的,这就是经验!!! # vim快捷键: 命令模式下:yy复制行, p 粘贴 0光标到行首 $到行尾 x删除一个字符 i进入插入模式 # 修改完后退出保存: esc进入命令模式, 输入::wq! 保存退出。

好了,此时我们就不用担心客户端通过shell登录,只允许使用git-shell进行管理git的仓库。

如果有其他小伙伴要连接git服务器,仅需要把他的公钥也添加到authorized_keys即可。

7. git的自动权限管理:gitolite(不要跟上面的步骤混做!!!)

如果团队大点的,我们可以用gitolite管理,而且使用很方便。

7.1 gitolite的安装和配置

以下配置此承接第5,如果第6步您已经 *** 作,请注意第二步的说明。

第一步:添加gitolite依赖的perl的包

$ yum install 'perl(Data::Dumper)' 

第二步:清空服务器端配置的ssh的公钥

确保:~/.ssh/authorized_keys文件是空的,或者不存在。如果已经存在,建议你把他改名即可,比如:authorized_keys.bak

第三步:上传管理员的客户端的ssh公钥到服务器

把你管理员电脑的ssh的id_rsa.pub文件拷贝到服务器的: $HOME/YourName.pub

YourName可以自定义,最好根据不同伙伴的名字命名。

参考:

# mac客户端
$ scp /Users/fly/.ssh/id_rsa.pub git@aicoder.com:malun.pub

第四步:安装配置gitolite

用git账号登录,并执行如下命令。

# 切换到git账号
$ su git
# 进入git主目录 $ cd /home/git
# 下载gitolite的仓库 $ git clone https://github.com/sitaramc/gitolite
# 创建bin文件夹,必须!!! $ mkdir -p $HOME/bin # 用下载下来的仓库中的insall执行安装 *** 作,指向的目录就是上一命令行创建的目录 $ ./gitolite二进制/install -to $HOME/bin # 把上传到服务器的 管理员的公钥setup到gitolite中,注意:YourName.pub改成你自己的文件名。 $ ~/bin/gitolite setup -pk ~/YourName.pub # 此时安装配完成后,查看git主目录 $ ls /home/git drwxr-xr-x 7 git git 4096 Apr 3 23:50 bin # 我们创建的存放gitolite二进制 drwxrwxr-x 6 git git 4096 Apr 3 23:40 gitolite drwx------ 6 git git 4096 Apr 3 23:52 .gitolite -rw------- 1 git git 7130 Apr 3 23:52 .gitolite.rc -rw------- 1 git git 398 Apr 3 23:39 malun.pub # 管理员的公钥 drwxrw---- 3 git git 4096 Apr 3 23:40 .pki -rw------- 1 git git 19 Apr 4 00:26 projects.list # 仓库列表(gitolite自动创建) drwx------ 5 git git 4096 Apr 4 00:26 repositories # 存放所有仓库文件夹 drwx------ 2 git git 4096 Apr 4 15:50 .ssh # repositories目录下已经有了两个git仓库了。 # . # |-- gitolite-admin.git # 管理配置权限的仓库 # `-- testing.git # 测试仓库

好了,到此位置,管理员就可以直接把默认的远程管理的仓库gitolite-admin直接clone到本地进行管理git服务了。

第五步:管理员在本地管理和配置服务器端的仓库

下载服务器端的远程管理仓库

# 下载远程管理仓库, 请把aicoder.com换成你自己服务器的域名或者ip
$ git clone git@aicoder.com:gitolite-admin $ cd gitolite-admin # 目录结构如下: # . # ├── conf # 配置文件夹 # │ └── gitolite.conf # 配置权限的文件 # └── keydir # 客户端的公钥文件夹,所有伙伴的公钥要放到此目录下 # └── malun.pub 
7.2 gitolite的权限配置
  • 添加其他开发的小伙伴

    把小伙伴的公钥发给管理员。管理员添加到gitolite-admin仓库的keydir目录下,注意文件名字格式为username.pub,username就是配置权限时的用户名。

  • 配置用户对仓库的读写权限

    直接修改conf文件夹下的,gitolite.conf文件。简单解释下几个用法:

    • repo代表仓库的意思,如果新添加一个repo,代表服务端新建一个空仓库,仓库push到服务端后会自动创建。
    • RW 代表可读可写
    • @all 代表所有人。
    • master和 dev代表分支

    参考:

    @admin = malun  
    @om = malun bcd  
      
    repo gitolite-admin  
        RW+     =   malun 
      
    repo testing  
        RW+     =   @all  
      
    repo om  
        RW+     =   @admin RW+ master = @admin RW+ dev = @om 
  • 应用修改到服务器端

做好配置后,由管理员把修改push到服务器端,会自动处理。

$ git add conf
$ git add keydir
$ git commit -m "added foo, gave access to alice, bob, carol"
$ git push

此时登录服务端,查看/home/git/repositories/目录下是否增加了对应的仓库了呢?

总结

其实配置这些并不繁琐,但是需要你有一定的linux的经验,当然你也可以选择使用GitLab或者Github

最后希望能帮到你。

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zaji/2081826.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-07-22
下一篇 2022-07-22

发表评论

登录后才能评论

评论列表(0条)

保存