Linux配置svn+apache+ssl+radius身份认证

单位最近要上个新项目，要给项目组弄个SVN服务器，原来没弄过，那就边研究边摸索着来吧，废话不多说，下面直接开始 【环境】Centos6.4 X86_64 minimum，iptables,selinux已关闭，所需软件包采取yum安装方式 【SVN客户端软件】TortoiseSVN一、不得不说的svn客户端的4种访问方式 先说说apache+svn，安装subversion包之后能用客户端访问了，但是不能从网页访问，于是考虑到集成apache和svn，提供更亲和的网页访问方式，但是配置完网页访问后傻眼了，一个简陋的版本库页面，只能浏览和下载不能上传，看来客户端访问还是主流 但是转念一想客户端也有版本库浏览器，同时还能上传下载，那要apache+svn干什么，直到我看到同事误把我写的服务器使用说明文档里的网页访问地址http://serverIP/svn/test粘贴到TortoiseSVN客户端的url里，居然也访问成功了，我才意识到apache+svn和单独的subversion是两种完全不同的访问方式 原来以为apache+svn必须在subversion启动的条件下同时启动apache，并且保持subversion和apache配置完全一致才行，弄明白了之后才发现完全不是这么回事 实际上apache+svn是通过http协议80端口访问版本库，subversion是通过svn协议的3690端口访问版本库，这两种方式互不干涉，可以只启动80，不启动3690，也可以只启3690，不启80，还可以同时启动80和3690，甚至这两种方式的版本库根目录都可以不同的，用户名和密码也可以不同，apache+svn用的是htpasswd的用户名和密码，subversion用的是svnserve.conf指定的passwd文件里的用户名和密码，说白了apache+svn和单独的svn服务是两种完全不同svn服务类型

OK，做个总结：实际上TortoiseSVN支持总共4种访问方式①svn也就是独立的subversion服务，通过3690端口访问②http也就是apache+svn，通过80端口访问③https也就是apache+svn+ssl，通过443端口访问④svn+ssh也就是ssh+svn，这种稍微特殊，借用ssh隧道访问svn版本库，通过22端口访问，本文不涉及这种访问方式，有兴趣的话大家可以自己去查相关资料

【注】windows有个visualsvn好像是直接集成的apache和svn，不知道visualsvn是否有网页上传功能呢。因为一般在linux上部署svn性能更好，安全稳定性更高，所以就没研究windows的svn，大家有兴趣的话可以自己安装个visualsvn试试
二、配置svn服务

1.安装

yum install subversion

2.创建版本库

mkdir -pv /svn/svnrepos
svnadmin create /svn/svnrepos/test1    #命令格式：svnadmin create [repopath]

3.配置文件
查看test1下的conf目录，会发现有三个配置文件：svnserve.conf：此版本库的总配置文件passwd：库用户名密码文件authz：库权限配置文件多库共用同一个passwd和authz文件，便于管理。于是在库根目录下建立etc文件夹存放公共配置文件：

mkdir -pv /svn/svnrepos/etc
cp /svn/svnrepos/test1/conf/{passwd,authz} /svn/svnrepos/etc/

a).svnserve.conf配置项

[general]
anon-access = none     #匿名用户无任何权限，如果想匿名用户可读，设置为read即可，默认read
auth-access = write    #认证通过的用户可读可写
password-db = /svn/svnrepos/etc/passwd    #用户名密码文件存放位置
authz-db = /svn/svnrepos/etc/authz        #库权限配置文件存放位置
realm = test           #认证域名，相同认证域名的库的密码缓存可以在多个版本库之间共享

【注】默认每个库都有一个的svnserve.conf，如想所有库共用一个svnserve.conf，可以在启动svn服务的时候添加--config-file=filename参数，svn服务启动的时候就不会再去读取任何一个库的配置文件，而会读参数指定的svnserve.conf
这个方法优点是方便，缺点是缺乏灵活性，如果你有一个库想用一套独立的passwd和authz，用这方法就行不通了。通常是每个库单独配置自己的svnserve.conf，大部分库用同一个passwd和authz，有特殊的库用自己独立的passwd和authz文件 b）.passwd配置项

[users]
harry = harryssecret         #定义库的用户和密码，格式为username = passwd
sally = sallyssecret
tom = tomssecret

c).authz配置项

[groups]                     #定义组和成员
devteam = harry,sally        #格式为groupname = member1,member2
[test1:/]                    #定义test1库根目录的访问权限
* = r                        #所有用户可读
@devteam = rw                #开发组成员读写，注意组名前面要加@
[test1:/tomproject]          #定义test1下tomproject文件夹的权限
tom = rw                     #tom读写

【注】版本库中，子目录继承父目录的权限
4.启停svn服务
a).启动

svnserve -d -r /svn/svnrepos
#    -d               以守护进程的方式运行svn服务
#    -r               指定版本库根目录
#    --listen-port    指定监听端口，默认端口3690

b）.停止

kill `ps aux|grep svn|grep -v 'grep'|awk '{print $2}'`

c).重启脚本

#!/bin/bash
kill `ps aux|grep svn|grep -v 'grep'|awk '{print $2}'`
if [ $? = 0 ]
then
echo "Stop Svnserve successful!"
fi
sleep 1
svnserve -d -r /svn/svnrepos
if [ $? = 0 ]
then
echo "Start Svnserve successful!"
fi

5.访问
客户端访问：启动后就可以用TortoiseSVN访问了，在url栏中输入svn://serverIP:[port]/test1即可访问版本库test1了，默认不用加端口，如果修改过svn端口号，就需要在服务器地址后面加上端口

【注】同时运行多个库是和svn服务启动的时候的版本库根目录(-r参数)有直接关系的，在版本库根目录底下建多个库，启动的时候就可以把这些库一并启动起来，登录的时候只需要指定不同的库名即可

看网上还有文章讨论说只运行一个库，这个库底下放着三个项目的文件夹，然后用不同用户组和权限去限制访问，这样有以下几个问题： ①每个项目文件有变动的时候，版本号都会增加，分不清楚是哪个项目增加的 ②备份的时候效率很低，必须得三个项目一起备份，没法单独备份其中一个项目 ③随着版本号的增加，版本库的冗余会越来越大，所占空间也会很多 但其好处是可以一次备份多个项目 选择什么方式运行见仁见智，适合实际环境的方式就是最好的，大家自己选择吧6.删除版本库

删除整库是没有svnadmin remove这种命令的，直接rm -rf删除整个库文件夹即可
三、配置apache+svn
1.安装apache和apache的mod_dav_svn模块

yum install httpd mod_dav_svn               #安装apache和apache的svn模块
apachectl -t -D DUMP_MODULES|grep svn       #查看apache是否已经加载了dav_svn_module和authz_svn_module

一般yum安装的apache模块都会在启动时自动加载，如果尚未加载，在http.conf文件中添加如下内容后重启httpd服务即可

#vim /etc/httpd/conf/httpd.conf
LoadModule dav_svn_module modules/mod_dav_svn.so
LoadModule authz_svn_module modules/mod_authz_svn.so

此外，鉴于svn需要列出文件夹内容，建议把apache的默认列目录功能关闭，防止svn以外的目录被列出结构，提升安全性

sed -i '/Options Indexes/s/Indexes/-Indexes/' /etc/httpd/conf/httpd.conf
#其中"-"表示不允许列目录

2.配置httpd.conf

#vim /etc/httpd/conf/httpd.conf
<Location /svn>
DAV svn                        #使用svn模块
SVNParentPath /svn/svnrepos    #svn版本库根目录
AuthType Basic                 #认证类型：基本身份认证
AuthName "SVN"                 #认证名称
AuthUserFile /svn/svnrepos/etc/.htpasswd        #指定用户名密码文件路径
AuthzSVNAccessFile /svn/svnrepos/etc/authz      #指定authz文件路径
Require valid-user             #有效用户可以访问
</Location>

【注】<location>和<directiony>的区别，<location>是虚拟目录，用<location>可以隐藏真实路径，而<directory>是直接使用真实路径
3.创建.htpasswd文件并修改权限

htpasswd -bc /svn/svnrepos/etc/.htpasswd a 123
htpasswd -b /svn/svnrepos/etc/.htpasswd b 123
htpasswd -b /svn/svnrepos/etc/.htpasswd c 123
chmod 600 /svn/svnrepos/etc/.htpasswd        #修改权限提升安全性
chown -R apache.apache /svn                  #最后别忘了修改版本库目录权限
service httpd restart                        #重启服务
chmod -R 700 /svn                            #权限

4.访问
客户端访问：启动后就可以用TortoiseSVN访问了，在url栏中输入http://serverIP/svn/test1即可访问版本库test1了,注意路径要与配置文件中配置的虚拟目录名一致即可 浏览器访问：同时我们也可以在浏览器地址栏中，输入http://serverIP/svn/test1，用网页访问版本库，页面稍显简陋，只能查看和下载版本库文件，不能上传5.Selinux导致认证总是通不过
部署完成如需要开启selinux，可能会出现原本可用的认证不可用，提示permission deny，满足以下两种条件会出现这种情况： ①开启selinux并处于enforcing状态 ②svn版本库根目录不在/var/www下 于是由于库文件上下文不符被selinux拒绝访问，解决方法:修改selinux context变成http可发布的context

chcon -R system_u:object_r:httpd_sys_content_t:s0 /svn    #问题解决

四、配置apache+svn+ssl
配置好svn后又出现了新的需求，最近单位需要一个新库去存放一些比较重要资料和文件，要求安全性比较高 通过http访问svn版本库虽然方便，但是http协议均采用明文传输，随便在网络上抓包用户名和密码就可能被泄露了，所以考虑采用https传输，也就是apache+svn+ssl1.安装apache的mod_ssl模块

yum install mod_ssl
apachectl -t -D DUMP_MODULES|grep ssl        #查看apache是否已经加载了ssl_module

2.配置https
a).生成密钥和证书

openssl genrsa -des3 -out server.key 1024
#生成服务器密钥，会提示要输入一个密码保护私钥，输入自定义密码即可，这个密码在ssl服务启动的时候也需要输入
openssl req -new -key /etc/ssl/certs/svn.key -out /etc/ssl/certs/svn.csr
#生成证书请求文件，会要求输入服务器相关信息，最后会提示输入A challenge password []:输入随机字符串即可,配合.csr文件的生成
openssl x509 -in /etc/ssl/certs/svn.csr -out /etc/ssl/certs/svn.crt -req -signkey /etc/ssl/certs/svn.key -days 3650
#自签名,生成数字证书文件,因为本机就是CA,所以直接用CA私钥加密证书请求文件,访问的时候会提示证书问题

b).配置ssl.conf

#vim /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/ssl/certs/svn.crt
SSLCertificateKeyFile /etc/ssl/certs/svn.key

c).重启apache

service httpd restart        #会提示输入svn.key的密码，输入后即可成功启动
netstat -ntpl|grep 443       #查看https是否启动成功

d).配置启动https时不用手动输入密码 配置https后，每次启动apache服务的时候都需要手动输入私钥密码，非常麻烦，而且开机启动服务自启动的时候是没法手输密码的，于是考虑配置https免交互输入密码启动

vim /etc/httpd/conf.d/ssl.conf
SSLPassPhraseDialog  exec:/var/www/cgi-bin/ssl_pass.sh    #修改输入密码的交互方式
cat << EOF > /var/www/cgi-bin/ssl_pass.sh                 #编写输入密码脚本，就一行echo就行了
#!/bin/sh
echo "password"
EOF
chmod +x /var/www/cgi-bin/ssl_pass.sh
service httpd restart                                     #不用手动输入密码就可以启动了

【注】部署完成如需要开启selinux，会在重启apache系统试图运行密码脚本时被selinux拒绝，排错发现需要开启一个sebool值才能在selinux启动状况下成功运行自动输入密码脚本:

setsebool -P httpd_enable_cgi on                          #问题解决

3.配置加密版本库
因为对版本库安全性要求高，于是考虑采用独立的根目录、passwd文件和authz文件，与普通的版本库区分开

mkdir -pv /svn/securerepos                                          #新建安全版本库独立的根目录
svnadmin create /svn/securerepos/securetest1                        #新建版本库
htpasswd -bc /svn/securerepos/securetest1/conf/.htpasswd abc 123    #新建版本库密码文件

a).配置svnserve.conf

修改此版本库的svnserve.conf文件，使用独立authz文件

#vim /svn/securerepos/securetest1/conf/svnserve.conf
[general]
anon-access = none        #匿名用户无任何权限
auth-access = write       #认证通过的用户可读可写
password-db = passwd      #https和http都用不到passwd文件，用.htpasswd存储用户名和密码，所以此配置项实际上不生效
authz-db = authz          #使用独立的authz文件
realm = securetest

b).配置httpd.conf

#vim /etc/httpd/conf/httpd.conf
<Location /securesvn>
DAV svn
SSLRequireSSL                     #必须使用https才能访问本虚拟目录
SVNParentPath /svn/securerepos    #版本库根目录
AuthType Basic
AuthName "SECURESVN"
AuthUserFile /svn/securerepos/securetest1/conf/.htpasswd      #指定用户名密码文件路径
AuthzSVNAccessFile /svn/securerepos/securetest1/conf/authz    #指定authz文件路径
Require valid-user
</Location>
chown apache.apache /svn          #修改用户和组
service httpd restart

4.访问
客户端访问：启动后就可以用TortoiseSVN访问了，在url栏中输入https://serverIP/securesvn/securetest1即可访问版本库test1了,注意路径要与配置文件中配置的虚拟目录名一致即可 浏览器访问：同时我们也可以在浏览器地址栏中，输入https://serverIP/securesvn/securetest1，用网页访问版本库，页面稍显简陋，只能查看和下载版本库文件，不能上传
五、配置apache+svn+ssl+radius

接上节，配置完https虽然传输安全性得到了保证，但是用htpasswd文件管理用户名密码，管理不是很方便，安全性也算不上是很好，于是考虑到把https的版本库用户集成到单位统一的认证服务器上去，用户也就能更好的和人一一对应 一般情况下各个单位认证用AD+ldap协议比较多，我们这用的是radius协议，于是就需要进行radius对接 从上文配置可以看出来，svn+apache的方式认证其实是通过apache来完成的，所以想要进行radius对接需要找到相应的apache radius认证模块，原本还担心radius这种认证方式在网页认证方式中不算很常用，会不会没有相关模块，不过在网上找了找，还真找到了下载地址：http://www.outoforder.cc/downloads/mod_auth_xradius/mod_auth_xradius-0.4.6.tar.bz21.安装apache的mod_auth_xradius模块

wget http://www.outoforder.cc/downloads/mod_auth_xradius/mod_auth_xradius-0.4.6.tar.bz2 yum install gcc gcc-c++ make httpd-devel    #安装gcc编译器以及apache开发包，用于编译安装模块
tar xf mod_auth_xradius-0.4.6.tar
cd mod_auth_xradius-0.4.6
./configure --with-apxs=/usr/sbin/apxs && make && make install

编译安装的模块不会自动在启动时加载，需要在配置文件中增加读取模块语句

#vim /etc/httpd/conf/httpd.conf
LoadModule auth_xradius_module modules/mod_auth_xradius.so

service httpd restart
apachectl -t -D DUMP_MODULES|grep xradius    #查看是否已经加载了xradius模块

2.修改httpd.conf里设置的认证方式

#vim /etc/httpd/conf/httpd.conf        #再次修改配置文件改变身份认证的方式为radius
<Location /securesvn>
DAV svn
SSLRequireSSL
SVNParentPath /svn/securerepos
AuthType Basic
AuthBasicProvider xradius          #通过xradius模块进行身份认证
AuthName "SECURESVN Radius"
AuthXRadiusAddServer "1.1.1.1" "passwd"
#配置radius服务器地址，以及与radius服务器认证时所需密码
AuthXRadiusTimeout 4               #超时等待时间，单位s
AuthXRadiusRetries 2               #失败重试次数
#AuthUserFile /svn/securerepos/securetest1/conf/.htpasswd
#已经采用xradius认证，就不需要htpasswd文件了，注释AuthUserFile配置项
AuthzSVNAccessFile /svn/securerepos/securetest1/conf/authz    #注意给radius用户赋予权限
Require valid-user
</Location>
service httpd restart

3.访问
和apache+svn方式一样，同时支持网页和客户端的访问方式，只不过是在访问版本库的时候用户名密码改用radius的用户名和密码

【注】需要注意的是，配置完radius认证之后，authz就需要使用radius服务器的用户名分配权限了。另外，如果radius配置了带域名的身份认证，那域名也要加上，此时，authz中配置的用户名应该形如radius_username@domain_name
六、总结

整体思路是这样的，如果对于版本库类型有多种需求，可以根据svn客户端提供的丰富的访问方式，结合svn版本库目录结构和库配置文件，将一台svn服务器配置成多种不同类型版本库并行的模式： 安全性要求不高的库，采用svn+http方式传输 安全性要求的高的库，采用svn+https方式传输，并使用radius身份认证，此外还要关注最近出现的https的"心脏出血"漏洞，及时升级openssl版本修复漏洞 当然安全是一个系统的工程，需要从网络，系统，数据库，应用多层次确保安全，不仅仅是应用上配置了https就万无一失了。不过至少从服务器层面，合理配置iptables，开启selinux提供防护，定期更新软件包，能为整个应用系统提供多一层保护 至此apache+svn+ssl+radius就全部配置完成了，后续还会有网页版svn管理工具svnmanager的配置以及解决版本库中文目录分配权限乱码问题的相关文章，敬请关注。 文章中如有问题，欢迎各路高手大神积极拍砖指出，互相学习，共同进步!

本文出自 “Release_My_Soul” 博客，转载请与作者联系！