搭建GIT服务器(CentOS)
2013-05-13 09:39
495 查看
@http://www.inanu.net/post/742.html
这几天研究 Puppet,刚好需要搭建一个 Git Repository。把过程及遇到的问题简答记录一下。
环境:CentOS 6.2 x86_64
此处安装 httpd 和 gitweb 是为了能够通过 web 对 git 进行方便的浏览、管理。正好 apache 也可以用来替换掉 puppet 自带的 WEBrick,一举两得了。
编辑配置文件,以下是改好的一份 git xinetd 配置文件:
接下来启动 xinetd 服务:
这样就完成了对 Puppet 配置文件的更新。
Gitweb 的 Apache 配置文件位于:/etc/httpd/conf.d/gitweb.conf
可以在服务器端的 Git 仓库配置文件中对 Gitweb 进行一些定制,以上面的 puppet 仓库为例:
打开 puppet Git 仓库配置文件 config 进行编辑,默认的 config 文件应该是这样的:
增加针对 Gitweb 的配置段,变成如下内容:
新增的 [gitweb] 配置段中指定了一些仓库信息。
把所有用户的公钥保存在 authorized_keys 文件的做法,只能凑和一阵子,当用户数量达到几百人的规模时,管理起来就会十分痛苦。每次改删用户都必须登录服务器不去说,这种做法还缺少必要的权限管理。每个人都对所有项目拥有完整的读写权限。
Gitosis 是一套用来管理 authorized_keys 文件和实现简单连接限制的脚本。有趣的是,用来添加用户和设定权限的并非通过网页程序,而只是管理一个特殊的 Git 仓库。你只需要在这个特殊仓库内做好相应的设定,然后推送到服务器上,Gitosis 就会随之改变运行策略,听起来就很酷,对吧?
Gitosis 将会帮我们管理用户公钥,所以先把当前控制文件改名备份,以便稍后重新添加,准备好让 Gitosis 自动管理 authorized_keys 文件:
接下来,把之前 git 用户的登录 git-shell 改为普通的 shell。改过之后,大家仍然无法通过该帐号登录。因为 authorized_keys 文件已经没有了,不用担心,这会交给 Gitosis 来实现。所以现在先修改 /etc/passwd 文件,找到 git 用户所在的行:
将此行改为:
注意:不要再将 git 用户的默认 Shell 改回 git-shell,否则接下来 gitosis-serve 执行时会报错!
这样该公钥的拥有者就能修改用于配置 Gitosis 的那个特殊 Git 仓库了。接下来,需要手工对该仓库中的 post-update 脚本加上可执行权限:
这样基本上就算是好了。如果设定过程没出什么差错,现在可以试一下用初始化 Gitosis 的公钥的拥有者身份 SSH 登录服务器,应该会看到类似下面这样:
说明 Gitosis 认出了该用户的身份,但由于没有运行任何 Git 命令,所以它切断了连接。那么,现在运行一个实际的 Git 命令 — 克隆 Gitosis 的控制仓库:
这会得到一个名为 gitosis-admin 的工作目录,主要由两部分组成:
gitosis.conf
这是用来设置用户、仓库和权限的控制文件。
keydir
这是保存所有具有访问权限用户公钥的地方,每人一个。在 keydir 里的文件名(比如上面的 scott.pub)应该跟你的不一样。Gitosis 会自动从使用 gitosis-init 脚本导入的公钥尾部的描述中获取该名字。
看一下 gitosis.conf 文件的内容,它应该只包含与刚刚克隆的 gitosis-admin 相关的信息:
它显示用户 Nanu(初始化 Gitosis 公钥的拥有者)是唯一能管理 gitosis-admin 项目的人。
现在我们来管理之前的 puppet 仓库,为此我们要建立一个名为 puppet 的新段落,在其中罗列运维团队的人员,以及他们拥有写权限的项目。由于 Nanu 是系统中的唯一用户,我们把他设为唯一用户,并允许他读写名为 puppet 项目:
修改完之后,提交 gitosis-admin 里的改动,并推送到服务器使其生效:
接下来,由于安装 Gitosis 后,默认的 Git 仓库位置已经变为 /var/lib/git/repositories,所以必须先将之前位于 /var/lib/git/puppet.git 的仓库移动至 /var/lib/git/repositories/ 中,否则,在第一次检出或推送的操作时,Gitosis 会自动在 /var/lib/git/repositories 中创建一个新的 puppet.git 仓库。
然后把他们都加进 'puppet' 团队,让他们对 puppet 仓库具有读写权限:
最后重新提交 gitosis-admin 仓库。
现在 Tyra 可以克隆和获取更新,但 Gitosis 不会允许她向项目推送任何内容。像这样的组可以随意创建,多少不限,每个都可以包含若干不同的用户和项目。甚至还可以指定某个组为成员之一(在组名前加上 @ 前缀),自动继承该组的成员:
搜索 '/var/lib/git',将其改为 '/var/lib/git/repositories'。
如果遇到意外问题,试试看把 loglevel=DEBUG 加到 [gitosis] 的段落。
如果一不小心搞错了配置,失去了推送权限,也可以手工修改服务器上的 /var/lib/git/.gitosis.conf 文件。Gitosis 实际是从该文件读取信息的。它在得到推送数据时,会把新的 gitosis.conf 存到该路径上。所以如果你手工编辑该文件的话,它会一直保持到下次向 gitosis-admin 推送新版本的配置内容为止。
这几天研究 Puppet,刚好需要搭建一个 Git Repository。把过程及遇到的问题简答记录一下。
环境:CentOS 6.2 x86_64
1. 安装 RPM
[root@c1.inanu.net]# yum install httpd [root@c1.inanu.net]# yum install git git-daemon
此处安装 httpd 和 gitweb 是为了能够通过 web 对 git 进行方便的浏览、管理。正好 apache 也可以用来替换掉 puppet 自带的 WEBrick,一举两得了。
2. 配置 Git
在 CentOS 中,Git 是以 xinetd 方式提供服务的,默认的 xinetd 配置文件在:/etc/xinetd.d/git。编辑配置文件,以下是改好的一份 git xinetd 配置文件:
1 2 3 4 5 6 7 8 9 10 11 12 13 | # default: off
# description: The git dæmon allows git repositories to be exported using \
# the git:// protocol.
service git
{
disable = no
socket_type = stream
wait = no
user = nobody
server = /usr/libexec/git-core/git-daemon
server_args = --base-path=/var/lib/git --export-all --user-path=public_git --syslog --inetd --verbose
log_on_failure += USERID
} |
[root@c1.inanu.net]# service xinetd start
3. 建立 Puppet 服务器端 Git 仓库
[root@c1.inanu.net]# useradd -d /var/lib/git -s /usr/bin/git-shell git #创建 git 用户 [root@c1.inanu.net]# passwd git #设置 git 用户密码 [root@c1.inanu.net]# chown -R git:git /var/lib/git [root@c1.inanu.net]# su git #切换到 git 用户 [git@c1.inanu.net]$ cd ~ [git@c1.inanu.net]$ mkdir .ssh [git@c1.inanu.net]$ chmod 700 .ssh [git@c1.inanu.net]$ touch .ssh/authorized_keys [git@c1.inanu.net]$ chmod 600 .ssh/authorized_keys [git@c1.inanu.net]$ mkdir /var/lib/git/puppet.git #创建 Puppet 服务器端 Git 仓库 [git@c1.inanu.net]$ cd /var/lib/git/puppet.git [git@c1.inanu.net]$ git --bare init #初始化 Puppet 服务器端 Git 仓库
4. 在客户端建立 Git 本地仓库
[root@c2.inanu.net]# ssh-keygen -t rsa #生成用户使用的 SSH-Key 密钥对 [root@c2.inanu.net]# ssh-copy-id git@c1.inanu.net #将上一步生成的 SSH-Key 公钥复制到服务器 git 用户中 [root@c2.inanu.net]# mkdir -p /data/git/repo/puppet [root@c2.inanu.net]# cd /data/git/repo/puppet [root@c2.inanu.net]# git init #初始化 Git 仓库 [root@c2.inanu.net]# git clone git@c1.inanu.net:puppet [root@c2.inanu.net]# git config --global user.name 'Nanu' [root@c2.inanu.net]# git config --global user.email 'nanu@inanu.net' [root@c2.inanu.net]# rsync -avz --progress --rsh=ssh root@c1.inanu.net:/etc/puppet/ ./ #将现有的 Puppet Master 配置文件同步到 Git 仓库中 [root@c2.inanu.net]# git add . #添加所有文件、目录到 Git 版本控制中 [root@c2.inanu.net]# git status #查看操作结果,确认所有文件都已添加 [root@c2.inanu.net]# git commit -m 'Init' #提交至本地 Git 仓库 [root@c2.inanu.net]# git push -u origin master #提交至远程 Git 仓库
5. 更新检出 Puppet 配置文件
在 Puppet Master 端 (c1.inanu.net) 上执行:[root@c1.inanu.net]# cd /etc/puppet [root@c1.inanu.net]# git clone git@c1.inanu.net:puppet
这样就完成了对 Puppet 配置文件的更新。
6. Gitweb 配置
安装好所有的 RPM 包之后,Gitweb 就可以运行了,默认的访问地址是:http://IP/git/。Gitweb 的 Apache 配置文件位于:/etc/httpd/conf.d/gitweb.conf
可以在服务器端的 Git 仓库配置文件中对 Gitweb 进行一些定制,以上面的 puppet 仓库为例:
[root@c1.inanu.net]# vi /var/lib/git/puppet/config
打开 puppet Git 仓库配置文件 config 进行编辑,默认的 config 文件应该是这样的:
1 2 3 4 | [core] repositoryformatversion = 0 filemode = true bare = true |
1 2 3 45 | [core] repositoryformatversion = 0 filemode = true bare = true |
7. Git 权限控制
Git 默认不提供权限管理的功能,一般都是通过操作系统自身的安全控制机制来实现,非常麻烦,而且不灵活。我们需要借助第三方的 Git 应用来管理,一般最常用的是 Gitosis。把所有用户的公钥保存在 authorized_keys 文件的做法,只能凑和一阵子,当用户数量达到几百人的规模时,管理起来就会十分痛苦。每次改删用户都必须登录服务器不去说,这种做法还缺少必要的权限管理。每个人都对所有项目拥有完整的读写权限。
Gitosis 是一套用来管理 authorized_keys 文件和实现简单连接限制的脚本。有趣的是,用来添加用户和设定权限的并非通过网页程序,而只是管理一个特殊的 Git 仓库。你只需要在这个特殊仓库内做好相应的设定,然后推送到服务器上,Gitosis 就会随之改变运行策略,听起来就很酷,对吧?
(1) 由于 Gitosis 是基于 Python 开发的,先安装依赖的 Python-Setuptools RPM
[root@c1.inanu.net]# yum install python-setuptools
(2) 从 Gitosis 官方克隆代码
[root@c1.inanu.net]# cd /usr/local/src [root@c1.inanu.net]# git clone git://eagain.net/gitosis.git [root@c1.inanu.net]# cd gitosis [root@c1.inanu.net]# python setup.py install
(2) 准备管理用户公钥
建立 Gitosis 的主目录:[root@c1.inanu.net]# mkdir -p /data/gitosis
Gitosis 将会帮我们管理用户公钥,所以先把当前控制文件改名备份,以便稍后重新添加,准备好让 Gitosis 自动管理 authorized_keys 文件:
[root@c1.inanu.net]# mv /var/lib/git/.ssh/authorized_keys /var/lib/git/.ssh/authorized_keys.bak
接下来,把之前 git 用户的登录 git-shell 改为普通的 shell。改过之后,大家仍然无法通过该帐号登录。因为 authorized_keys 文件已经没有了,不用担心,这会交给 Gitosis 来实现。所以现在先修改 /etc/passwd 文件,找到 git 用户所在的行:
1 | git:x:501:501::/var/lib/git:/usr/bin/git-shell |
1 | git:x:501:501::/var/lib/git:/bin/bash |
(3) 初始化 Gitosis
[root@c1.inanu.net]# su git [git@c1.inanu.net]$ cd ~ [git@c1.inanu.net]$ gitosis-init < .ssh/authorized_keys.bak Initialized empty Git repository in /var/lib/git/repositories/gitosis-admin.git/ Reinitialized existing Git repository in /var/lib/git/repositories/gitosis-admin.git/
注意:不要再将 git 用户的默认 Shell 改回 git-shell,否则接下来 gitosis-serve 执行时会报错!
这样该公钥的拥有者就能修改用于配置 Gitosis 的那个特殊 Git 仓库了。接下来,需要手工对该仓库中的 post-update 脚本加上可执行权限:
[git@c1.inanu.net]$ chmod 755 /var/lib/git/repositories/gitosis-admin.git/hooks/post-update
这样基本上就算是好了。如果设定过程没出什么差错,现在可以试一下用初始化 Gitosis 的公钥的拥有者身份 SSH 登录服务器,应该会看到类似下面这样:
[root@c2.inanu.net]# ssh git@c1.inanu.net PTY allocation request failed on channel 0 fatal: unrecognized command 'gitosis-serve Nanu' Connection to gitserver closed.
说明 Gitosis 认出了该用户的身份,但由于没有运行任何 Git 命令,所以它切断了连接。那么,现在运行一个实际的 Git 命令 — 克隆 Gitosis 的控制仓库:
[root@c2.inanu.net]# git clone git@c1.inanu.net:gitosis-admin.git
这会得到一个名为 gitosis-admin 的工作目录,主要由两部分组成:
[root@c2.inanu.net]# cd gitosis-admin [root@c2.inanu.net]# find . ./gitosis.conf ./keydir ./keydir/scott.pub
gitosis.conf
这是用来设置用户、仓库和权限的控制文件。
keydir
这是保存所有具有访问权限用户公钥的地方,每人一个。在 keydir 里的文件名(比如上面的 scott.pub)应该跟你的不一样。Gitosis 会自动从使用 gitosis-init 脚本导入的公钥尾部的描述中获取该名字。
看一下 gitosis.conf 文件的内容,它应该只包含与刚刚克隆的 gitosis-admin 相关的信息:
1 2 3 45 | [gitosis] [group gitosis-admin] writable = gitosis-admin members = Nanu |
现在我们来管理之前的 puppet 仓库,为此我们要建立一个名为 puppet 的新段落,在其中罗列运维团队的人员,以及他们拥有写权限的项目。由于 Nanu 是系统中的唯一用户,我们把他设为唯一用户,并允许他读写名为 puppet 项目:
12 | [group puppet] writable = puppet members = Nanu |
[root@c2.inanu.net]# git commit -am 'Modify puppet' [root@c2.inanu.net]# git push
接下来,由于安装 Gitosis 后,默认的 Git 仓库位置已经变为 /var/lib/git/repositories,所以必须先将之前位于 /var/lib/git/puppet.git 的仓库移动至 /var/lib/git/repositories/ 中,否则,在第一次检出或推送的操作时,Gitosis 会自动在 /var/lib/git/repositories 中创建一个新的 puppet.git 仓库。
[git@c1.inanu.net]$ mv /var/lib/git/puppet.git /var/lib/git/repositories/
(4) 添加用户公钥
要和朋友们在一个项目上协同工作,就得重新添加他们的公钥。不过这次不用在服务器上一个一个手工添加到 ~/.ssh/authorized_keys 文件末端,而只需管理 keydir 目录中的公钥文件。文件的命名将决定在 gitosis.conf 中对用户的标识。现在我们为 Tyra 添加公钥:[root@c2.inanu.net]# cp /tmp/id_rsa.tyra.pub keydir/tyra.pub
然后把他们都加进 'puppet' 团队,让他们对 puppet 仓库具有读写权限:
12 | [group puppet] writable = puppet members = Nanu tyra |
(5) 权限控制
Gitosis 也具有简单的访问控制功能。如果想让 Tyra 只有读权限,可以这样做:1 2 3 45 | [group puppet] writable = puppet members = Nanu |
1 2 3 45 | [group puppet_committers] members = Nanu tyra [group puppet_1] writable = puppet members = @puppet_committers [group puppet_2] writable = another_puppet members = @Nanu_committers vv |
(6) 其他
安装 Gitosis 之后,如果启用了 Gitweb,那么还需要修改一下 Gitweb 的 CGI 程序,因为安装 Gitosis 后,默认 Git 仓库存放位置已经改变。[root@c1.inanu.net]# vi /etc/httpd/conf.d/git.conf
搜索 '/var/lib/git',将其改为 '/var/lib/git/repositories'。
如果遇到意外问题,试试看把 loglevel=DEBUG 加到 [gitosis] 的段落。
如果一不小心搞错了配置,失去了推送权限,也可以手工修改服务器上的 /var/lib/git/.gitosis.conf 文件。Gitosis 实际是从该文件读取信息的。它在得到推送数据时,会把新的 gitosis.conf 存到该路径上。所以如果你手工编辑该文件的话,它会一直保持到下次向 gitosis-admin 推送新版本的配置内容为止。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 在CentOS下搭建自己的Git服务器
- 在CentOS搭建Git服务器的详细步骤
- 基于CentOS 6.8的Git服务器的搭建
- centOS7.2 x64下搭建git服务器
- CentOS 搭建Git Gitosis 服务器
- centos7 搭建gitlabt服务器,并将svn迁移到git
- CentOS 6.4 搭建git 服务器
- CentOS 7 Git服务器搭建
- centos6.5搭建git服务器
- centos6.3搭建一个git服务器
- 记录自己在centos虚拟机搭建简易git服务器的过程,分享给大家
- 在CentOS下搭建自己的Git服务器
- 在linux(CentOS)上搭建git服务器和配置gitolite权限管理
- centos搭建git服务器
- windows+CentOS+git服务器搭建记录
- centos搭建git服务器(转)
- 阿里云Linux-CentOS系统下-搭建Git服务器详解
- centos 搭建自己的git服务器
- centos7.3搭建git服务器
- 在centos上搭建git服务器