什么是SVN安全的“企业”最佳实践?

时间:2010-10-08 17:34:53

标签: security svn

(特别是对于VisualSVN。)您应该使用SVN身份验证还是Windows集成身份验证?

如果此处有任何错误,请更正,但......

SVN auth的问题在于管理员基本上要么在开始创建帐户时让开发人员输入自己的密码,要么必须为他们创建密码(因此他们知道开发人员的密码) 。但是,当然,SVN服务器管理员无论如何都可以访问他们的代码,因为他们可以完全访问存储库本身,这有关系吗?

如果您正在使用Windows集成身份验证,我相信(?)这意味着您在SVN服务器上给开发者完全访问权限帐户(我可以看到肛门审核员称之为不良做法取决于在那里运行的其他东西)。

那么哪种类型的auth被认为对大型组织更好?这有关系吗?

2 个答案:

答案 0 :(得分:1)

使用DAV(dav_module,dav_svn_module)和AUTHZ(authz_svn_module)和SSPI(sspi_auth_model)在Apache上托管SVN意味着您可以针对域控制器验证用户请求。这意味着拥有域用户帐户的每个人都可以访问,密码策略和重置过程已经很好地定义(并由其他人维护),并且您的管理开销非常低。

您仍然需要定义哪个组在哪个组,每个组被授予什么,以及默认访问级别是什么,但这非常简单,并且不会让您知道他们的密码,只知道他们的用户名。

例如,在我们的某个服务器上,默认为读访问权限(任何可以登录到域的人都可以登录SVN服务器并查看内容),而选定的一组用户(开发人员)则被授予提交权限/锁定/写入更改。

答案 1 :(得分:0)

Integrated Windows Authentication (IWA)被认为是最佳做法。

IWA启用Negotiate (SPNEGO)安全软件包。协商在KerberosNTLM身份验证协议之间进行选择。请阅读文章KB39:了解VisualSVN服务器身份验证选项,以获取更多信息。

请注意,VisualSVN Server使用Windows API与Active Directory集成。请阅读文章KB39: Understanding VisualSVN Server Authentication options,以获取有关VisualSVN Server中可用的身份验证方法的完整概述。

如果您使用的是Windows集成身份验证,我相信(?)这意味着 您将在SVN服务器上为开发人员提供完全访问权限帐户(我 可以看到肛门审计员根据其他情况称其为不良作法 在那儿跑。)

否,您不授予最终用户对服务器计算机的完全访问权限。这太奇怪了。 IWA的目的是安全性。