8
我們使用git-shell來確保git帳戶僅用於git操作。這很好。使用git-shell並限制開發人員承諾自己的項目
然而,在我們開始使用git全職工作之前,我們如何設置它類似於github,根據您的公鑰,您可能只能提交給自己的存儲庫?
至於我可以告訴GitHub的人可能會被自己卷git-shell,該source code appears to be very simple to hack
A
回答
14
我用的東西有點簡單,你只需要設置三個文件,該文件authorized_keys的gitsecurity.rb文件和文件的權限gitpermissions。爲了簡單起見,他們都可以進入git accounts .ssh文件夾。 (需要基本的UNIX管理員的技能在此理解)
的gitpermissions文件看起來是這樣的,應該是相當自我explanitory:
repo1.git|jane|rw
repo1.git|james|r
repo2.git|bob|rw
的autorized_keys文件看起來是這樣的:
command="/Users/git/.ssh/gitsecurity.rb jacob",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty ssh-rsa rFaivBw.....5Rws jacob
command="/Users/git/.ssh/gitsecurity.rb bob",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty ssh-rsa rFaivBw.....5Rws bob
最後是gitsecurity.rb腳本,只需複製並粘貼即可:
#!/usr/bin/ruby
class GitPermission
attr_accessor :username;
attr_accessor :repository;
attr_accessor :read;
attr_accessor :write;
def initialize(line)
bits = line.split('|');
if(bits.length!=3)
$stderr.puts "Invalid configuration file"
Process.exit(4)
end
@repository = bits[0]
@username = bits[1]
@read = bits[2].include?("r")
@write = bits[2].include?("w")
end
end
if(!ENV.has_key?("SSH_ORIGINAL_COMMAND"))
$stderr.puts "SSH not allowed to the git account."
Process.exit(1);
end
command = ENV["SSH_ORIGINAL_COMMAND"];
if(!ARGV.length == 1)
$stderr.puts "Authorised keys file misconfigured, username not specified correctly."
Process.exit(1);
end
if(!ARGV[0].match(/^[A-Za-z0-9]+$/))
$stderr.puts "Authorised keys file misconfigured, username contains invalid characters: "+ARGV[0];
Process.exit(1);
end
username = ARGV[0]
if(!command.match(/^git[ -]upload-pack /) && !command.match(/^git[ -]receive-pack /))
$stderr.puts "Only git commands are allowed."
Process.exit(2);
end
repository = command[(command.index(' ')+1)..-1]
if(!repository.match(/'.*'/))
$stderr.puts "Repository parameter incorrect."
Process.exit(2);
end
repository = repository[1,repository.length-2]
begin
file = File.new("/Users/git/.ssh/gitpermissions", "r")
while (line = file.gets)
p = GitPermission.new(line);
if(p.repository == repository && p.username == username)
if((p.write == true || (p.read == true && command.match(/^git[ -]upload-pack/))))
exec "/usr/local/git/bin/" + command
Process.exit(0);
end
end
end
file.close
rescue => err
$stderr.puts "Problem with server configuration: #{err}"
Process.exit(4)
end
$stderr.puts "You do not have permission to complete this operation"
Process.exit(5)
2
2
該腳本允許經過身份驗證的用戶可以作爲git用戶運行任意代碼。
實施例利用:https://gist.github.com/ranmrdrakono/4959641
建議的修復:https://gist.github.com/ranmrdrakono/4959672
注意EXEC給出的兩個參數。第一個是要執行的命令(常量),第二個是參數(shell不會被解釋)。
+0
謝謝。修復它的答案。 – Jacob 2013-04-26 06:15:53
相關問題
- 1. 有限的Android開發人員選項
- 2. GitLab CE:在私人項目中查看自己的項目成員權限
- 3. Google開發人員控制檯 - 項目ID或項目編號
- 4. 將某些JIRA開發人員限制在JIRA中的單個項目4.4
- 5. .gitignore與開發人員使用Ubuntu和Windows的Android Studio項目
- 6. 如何使用Greenhopper管理多個項目的開發人員?
- 7. Group .net項目:1開發人員在PC上使用VS 2005和1開發人員在Mac上使用MonoDeveloper
- 8. 如何使用gitolite將開發人員限制在開發分支中:
- 9. 如何創建我自己的承諾?
- 10. PHP開發人員創建自己的框架很容易嗎?
- 11. IBM Worklight - 適用於開發人員的Worklight Studio限制
- 12. 如何使用我自己的數據庫連接到SQL開發人員
- 13. 尋找各種項目的開源代碼開發人員?
- 14. 在IntelliJ和Eclipse開發人員都在使用的項目中使用@NotNull
- 15. APIgee開發人員App限速
- 16. Windows開發人員許可證(權限)
- 17. 限制對前端開發人員的git /代碼訪問
- 18. iOS開發人員計劃 - 設備的數量和限制
- 19. 限制開發人員在TFS 2015中的代碼簽入
- 20. 限制開發人員在GitHub存儲庫上的訪問
- 21. Youtube API - 沒有開發人員密鑰的限制
- 22. 開發人員的postgresql選項 - wal_debug
- 23. 網絡開發人員項目模板目錄
- 24. 如何限制任何開發人員使用我創建的靜態庫?
- 25. 多個承諾的一個承諾 - 併發問題
- 26. 如何獲取您自己的Facebook開發人員應用程序的列表
- 27. 單個開發人員的自動「SCM」
- 28. 限制模型只在has_many中查看自己的項目
- 29. 如何爲第三方開發人員限制onClicklistener?
- 30. 阻止或限制開發人員在GitHub中創建分支
多數民衆贊成在酷,這正是我以後,簡單快速和容易。謝謝! – corydoras 2010-01-18 22:08:16