安全,私密,本地的Gitorious

时间:2011-09-02 08:41:22

标签: linux security git ubuntu gitorious

我希望本地Gitorious安装无法在本地网络之外访问,并且尽可能安全且私密。如果发生黑客入侵或被盗,该回购将保留我需要保密的密码。

我不是Linux的专家,当然不是git / gitorious的专家,因此下面介绍的改进我的安装的任何提示都会非常有用!

我有:

  • 在运行Ubuntu Server 11.04 64位且具有加密LVM的本地计算机上安装了Gitorious。
  • 如果有人好奇,请使用this guide进行Gitorious安装。
  • 修改Gitorious以支持本地IP作为主机名。
  • 在gitorious.yml:
    • 主机字段是本地IP(例如192.168.xxx.xxx)
    • public_mode:false
    • only_site_admins_can_create_profiles:true
    • hide_http_clone_urls:true
  • 已安装git-daemon,但现已删除。
  • 没有端口通过面向路由器的路由器转发到计算机。

基于git://和基于http://的请求通常都允许开放克隆repos。删除git-daemon并将hi​​de_http_clone_urls设置为false似乎已禁用这两个。当我尝试克隆时,它们都会传递错误。

使用加密的LVM,机器在物理盗窃时是安全的。此外,其他计算机上的所有克隆存储库也保留在加密驱动器上。我在加密的LVM上使用了一个自定义脚本,在尝试失败的情况下,用色情填充硬盘。

我目前的担忧:

  • 是通过git://和http://完全禁用回复访问吗?
  • 现在在ssh后面的所有回购访问途径都得到了保障吗?
  • 有没有办法阻止所有不是来自本地网络的机器请求,以防我的路由器生气并向我报仇?
  • 如果出现问题,我还可以做些什么来加密或保护回购?
  • 如何备份有价值的数据?只需备份MySQL数据库和repos目录吗?

谢谢。

1 个答案:

答案 0 :(得分:2)

如果你的git-daemon没有运行,那么没有git:// access。 hide_http_clone_urls不会禁用http,它只是不显示链接。为了防止未经授权的访问,您可能希望阻止apache / nginx访问git.yourdomain.com。

您可以查看我的debian软件包,它有许多默认配置,比互联网上提供的文档更好:

https://gitorious.org/gitorious-for-debian/gitorious/

基本文件夹是存储所有配置的地方,比如apache配置和其他配置,还有shell脚本可以创建默认用户和其他东西,只需浏览源树。

更具体地说明了apache配置,请看一下:https://gitorious.org/gitorious-for-debian/gitorious/blobs/master/base/debian/etc/apache2/sites-available/gitorious

例如,如果您没有添加git.yourserver.com别名,那么任何人都无法从http进行git克隆。

您可能还希望观看和支持计划中的private repositories feature,这样可以真实,安全地控制谁可以查看内容。

另外关于ssh的问题,我可以说,是的,它是安全的,并且只允许访问在您的功能安装上注册公钥的人。

关于请求问题,您可以查看apache allow, deny rules,您可以在其中创建以下内容:

Deny from All
Allow from 192.168.0

对于备份,您必须备份存储库文件夹和mysql数据库。

相关问题
最新问题