CentOS搭建Git服务器及权限管理

发表于 分类于 阅读次数: 本文字数: 6.3k 阅读时长 ≈ 6 分钟
默认

声明:本教程,仅作为配置的记录,细节不展开,需要您有一点linux的命令基础,仅作为配置参考。

1. 系统环境

系统: Linux:CentOS 7.2 64位

由于CentOS已经内置了OpenSSH,如果您的系统没有,请自行安装。

查看ssh版本

1
2
3
4
$ ssh -V

# 输出以下表示没问题,可以继续。 版本可能不一致,能用即可。
OpenSSH_6.6.1p1, OpenSSL 1.0.1e-fips 11 Feb 2013

避免系统环境和其他的不一致,请核对您系统的版本,其他发行版请对应修改。

2. 安装git

建议以下操作都切换到root

1
2
3
4
5
6
7
8
9
# 请确保您切换到了root账户
$ su root
$ yum install -y git

# 验证是否安装成功
$ git --version

# 输出如下内容表示成功:
git version x.x.x.x

3. 添加git的管理的账户和设置密码

设置专门管理git的账号非必须,但是建议这么操作。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
# 添加git账户
$ adduser git

# 修改git的密码
$ passwd git

# 然后两次输入git的密码确认后。

# 查看git是否安装成功
$ cd /home && ls -al
# 如果已经有了git,那么表示成,参考如下:
drwxr-xr-x.  5 root root 4096 Apr  4 15:03 .
dr-xr-xr-x. 19 root root 4096 Apr  4 15:05 ..
drwx------  10 git  git  4096 Apr  4 00:26 git

# 默认还给我们分配一个名字叫git的组。

4. git的权限管理

git仓库的权限管理,我们可以手动进行管理和配置,也可以通过其他辅助工具。如果小团队的话,直接通过ssh公钥进行管理即可,如果大点的团队,最好用gitolite 或者 gitosis,两者都差不多,一个是Perl开发,一个是Python开发。

以下我分别介绍手动管理权限和使用gitolite管理的方式,注意两者不兼容,不能混用

5. git的手动权限管理

经过以上步骤,其实服务器的基本已经配置好,但是需要设置权限和配置远程访问git仓库的方式。我们只介绍ssh的方式,https不做介绍。

5.1 配置服务端的ssh访问

切换到git账号,并创建ssh的默认目录和校验公钥的配置文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
# 1.切换到git账号
$ su git

# 2.进入 git账户的主目录
$ cd /home/git

# 3.创建.ssh的配置,如果此文件夹已经存在请忽略此步。
$ mkdir .ssh

# 4. 进入刚创建的.ssh目录并创建authorized_keys文件,此文件存放客户端远程访问的 ssh的公钥。
$ cd /home/git/.ssh
$ touch authorized_keys

# 5. 设置权限,此步骤不能省略,而且权限值也不要改,不然会报错。
$ chmod 700 /home/git/.ssh/
$ chmod 600 /home/git/.ssh/authorized_keys

此时,服务端的配置基本完成。接下需要把客户端的公钥拷贝到authorized_keys文件中。

5.2 配置客户端的ssh私钥并上传服务器

以下是客户端创建ssh私钥和拷贝的过程,如果您有私钥越过创建私钥的过程。

请用您的客户端进入终端(如果只有一台电脑,可以用不同的账号模拟不同客户端)

第一步: 创建客户端的ssh私钥和公钥

检查是否已经拥有ssh公钥和私钥:进入用户的主目录。

用户主目录:
Windows系统:C:\Users\用户名
Linux系统:/home/用户名
Mac系统:/Users/用户名

然后查看是否有.ssh文件夹,此文件夹下是否有如下几个文件。

1
2
3
4
# 用户主目录的.ssh文件夹下
.ssh
├── id_rsa
└── id_rsa.pub  # 我们要用的私钥

如果没有,那么用ssh-keygen创建ssh的私钥。

1
2
3
$ ssh-keygen -t rsa

# 接下来,三个回车默认即可。

创建私钥成功后,在查看用户目录是否有意加有了公钥文件id_rsa.pub

第二步: 拷贝私钥到git的服务器

如何把客户端的文件拷贝到服务器端,我建议用scp命令进行拷贝。

以下以mac系统为例:

1
2
3
4
5
6
7
# 首先进入我的用户主目录的.ssh目录下,注意用户名xxx替换成自己的
$ cd /Users/xxx/.ssh

# 以下命令是:把本地的id_rsa.pub文件拷贝到 aicoder.com服务器,登录aicoder.com服务的账号是git。
# 冒号后面默认就是git账号的主目录,最后文件被保存成laoma.pub
# 注意:把域名换成你自己的或者ip,最后的文件名可以自己定,后面还有用。
$ scp ./id_rsa.pub git@aicoder.com:.ssh/laoma.pub

5.3 服务器端添加客户端的SSH公钥

切换到服务器端,把刚才上传的laoma.pub文件的内容添加到 authorized_keys中,就可以允许客户端ssh访问了。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# 切换到git账户
$ su git
$ cd /home/git/.ssh

$ ls -al
# 查看一下.ssh目录是否有authorized_keys和laoma.pub文件
# .
# |-- authorized_keys
# `-- laoma.pub

# 如果有,那么进行下面的把laoma.pub文件中的内容添加到authorized_keys中.
$ cat laoma.pub >> authorized_keys

# >> 是在文件后面追加的意思,主要如果用其他编辑器,每个ssh的pub要单独一行,建议用cat命令方便简单。

到此为止,您配置的客户端应该可以ssh的方式直接用git账号登录服务器。(当然不安全,后面可以控制)

1
2
3
4
# 在客户端用ssh测试连接远程服务器,请将域名aicoder.com换成你的ip地址或者域名
$ ssh git@aicoder.com    

# 第一次连接有警告,输入yes继续即可。如果可以连接上,那么恭喜你的ssh配置已经可以了。

5.4 服务器端创建测试git仓库

进入服务器的终端。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# 切换到git账号
$ su git

# 进入git账号的用户主目录。
$ cd /home/git

# 在用户主目录下创建 test.git仓库的文件夹
$ mkdir test.git  && cd test.git

# 在test.git目录下初始化git仓库
$ git init --bare

# 输出如下内容,表示成功
Initialized empty Git repository in /home/git/test.git/

git init --bare 是在当前目录创建一个裸仓库,也就是说没有工作区的文件,直接把git仓库隐藏的文件放在当前目录下,此目录仅用于存储仓库的历史版本等数据。

此时,客户端就可以进行clone或者remote add此仓库了。

5.5 客户端测试连接git远程仓库

客户端,可以新建一个文件夹,初始化一个仓库,然后跟远程服务器上的空仓库建立连接。

1
2
3
4
5
6
7
8
9
10
11
12
13
# 以下shell代码,纯手写没有验证,如果有错误请自行纠正。
$ mkdir demos && cd demos
$ git init
$ touch a.txt
$ echo 'aicoder.com' >> a.txt
$ git add .
$ git commit -m 'the first commit'

# 把当前仓库跟远程仓库添映射
$ git remote add origin git@aicoder.com:test.git

# 把当前仓库push到远程仓库。
$ git push -u origin master

到此为止,我们就可以尽情的享用git私服了,但是!但是!但是!客户端可以直接ssh登录啊,这是bug,也是不安全的隐患,且看下面怎么禁用git账号的shell登录。

5.6 禁止客户端shell登录

因为前面我们添加了客户端的ssh的公钥到远程服务器,所以客户端可以直接通过shell远程登录服务器,这不安全,也不是我们想要的。且看下面如何禁用shell登录:

第一步:
/home/git 下面创建git-shell-commands目录,并把目录的拥有者设置为git账户。可以直接用git账号登录服务器终端操作。

1
2
$ su git
$ mkdir /home/git/git-shell-commands

此文件夹是git-shell用到的目录,需要我们手动创建,不然报错:fatal: Interactive git shell is not enabled. hint: ~/git-shell-commands should exist and have read and execute access.

第二步:修改/etc/passwd文件,修改

1
2
3
4
5
6
7
8
9
10
11
12
13
$ vim /etc/passwd

# 可以通过 vim的正则搜索快速定位到这行,  命名模式下  :/git:x

# 找到这句, 注意1000可能是别的数字
git:x:1000:1000::/home/git:/bin/bash

# 改为:
git:x:1000:1000::/home/git:/bin/git-shell

# 最好不要直接改,可以先复制一行,然后注释掉一行,修改一行,保留原始的,这就是经验!!!
# vim快捷键: 命令模式下:yy复制行, p 粘贴  0光标到行首 $到行尾 x删除一个字符  i进入插入模式 
# 修改完后退出保存:  esc进入命令模式, 输入::wq!   保存退出。

好了,此时我们就不用担心客户端通过shell登录,只允许使用git-shell进行管理git的仓库。

如果有其他小伙伴要连接git服务器,仅需要把他的公钥也添加到authorized_keys即可。

7. git的自动权限管理:gitolite(不要跟上面的步骤混做!!!)

如果团队大点的,我们可以用gitolite管理,而且使用很方便。

7.1 gitolite的安装和配置

以下配置此承接第5,如果第6步您已经操作,请注意第二步的说明

第一步:添加gitolite依赖的perl的包

1
$ yum install 'perl(Data::Dumper)'

第二步:清空服务器端配置的ssh的公钥

确保:/home/git/.ssh/authorized_keys文件是空的,或者不存在。如果已经存在,建议你把他改名即可,比如:authorized_keys.bak

第三步:上传管理员的客户端的ssh公钥到服务器

把你管理员电脑的ssh的id_rsa.pub文件拷贝到服务器的: $HOME/YourName.pub

YourName可以自定义,最好根据不同伙伴的名字命名。

参考:

1
2
# mac客户端
$ scp /Users/fly/.ssh/id_rsa.pub git@aicoder.com:malun.pub

第四步:安装配置gitolite

用git账号登录,并执行如下命令。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
# 切换到git账号
$ su git

# 进入git主目录
$ cd /home/git

# 下载gitolite的仓库
$ git clone https://github.com/sitaramc/gitolite

# 创建bin文件夹,必须!!!
$ mkdir -p $HOME/bin

# 用下载下来的仓库中的insall执行安装操作,指向的目录就是上一命令行创建的目录
$ ./gitolite二进制/install -to $HOME/bin

# 把上传到服务器的 管理员的公钥setup到gitolite中,注意:YourName.pub改成你自己的文件名。
$ ~/bin/gitolite setup -pk ~/YourName.pub

# 此时安装配完成后,查看git主目录
$ ls /home/git
drwxr-xr-x   7 git  git  4096 Apr  3 23:50 bin               # 我们创建的存放gitolite二进制
drwxrwxr-x   6 git  git  4096 Apr  3 23:40 gitolite
drwx------   6 git  git  4096 Apr  3 23:52 .gitolite
-rw-------   1 git  git  7130 Apr  3 23:52 .gitolite.rc
-rw-------   1 git  git   398 Apr  3 23:39 malun.pub         # 管理员的公钥
drwxrw----   3 git  git  4096 Apr  3 23:40 .pki
-rw-------   1 git  git    19 Apr  4 00:26 projects.list     # 仓库列表(gitolite自动创建)
drwx------   5 git  git  4096 Apr  4 00:26 repositories      # 存放所有仓库文件夹
drwx------   2 git  git  4096 Apr  4 15:50 .ssh

# repositories目录下已经有了两个git仓库了。
# .
# |-- gitolite-admin.git    # 管理配置权限的仓库
# `-- testing.git           # 测试仓库

好了,到此位置,管理员就可以直接把默认的远程管理的仓库gitolite-admin直接clone到本地进行管理git服务了。

第五步:管理员在本地管理和配置服务器端的仓库

下载服务器端的远程管理仓库

1
2
3
4
5
6
7
8
9
# 下载远程管理仓库, 请把aicoder.com换成你自己服务器的域名或者ip
$ git clone git@aicoder.com:gitolite-admin
$ cd gitolite-admin
# 目录结构如下:
# .
# ├── conf                # 配置文件夹
# │   └── gitolite.conf   # 配置权限的文件
# └── keydir              # 客户端的公钥文件夹,所有伙伴的公钥要放到此目录下
#     └── malun.pub

7.2 gitolite的权限配置

  • 添加其他开发的小伙伴

    把小伙伴的公钥发给管理员。管理员添加到gitolite-admin仓库的keydir目录下,注意文件名字格式为username.pub,username就是配置权限时的用户名。

  • 配置用户对仓库的读写权限

    直接修改conf文件夹下的,gitolite.conf文件。简单解释下几个用法:

    • repo代表仓库的意思,如果新添加一个repo,代表服务端新建一个空仓库,仓库push到服务端后会自动创建。
    • RW 代表可读可写
    • @all 代表所有人。
    • masterdev代表分支

    参考:

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    @admin = malun  
    @om = malun bcd  
      
    repo gitolite-admin  
        RW+     =   malun 
      
    repo testing  
        RW+     =   @all  
      
    repo om  
        RW+     =   @admin  
        RW+ master = @admin  
        RW+ dev  =   @om

  • 应用修改到服务器端

做好配置后,由管理员把修改push到服务器端,会自动处理。

1
2
3
4
$ git add conf
$ git add keydir
$ git commit -m "added foo, gave access to alice, bob, carol"
$ git push

此时登录服务端,查看/home/git/repositories/目录下是否增加了对应的仓库了呢?

总结

其实配置这些并不繁琐,但是需要你有一定的linux的经验,当然你也可以选择使用GitLab或者Github

最后希望能帮到你。