linux - 安全、私密、本地

Question

我想要一个本地Gitorious无法在我的本地网络之外访问的安装，并且尽可能安全和私密。存储库将保存我需要保密和安全的代码，以防黑客攻击或盗窃。

我不是 Linux 专家，当然也不是 git/gitorious 专家，所以下面描述的任何改进我的安装的提示都会很有帮助!

我有:

• 在运行 Ubuntu Server 11.04 64 位且带有加密 LVM 的本地计算机上安装 Gitorious。
• 用过this guide对于 Gitorious 安装，如果有人好奇的话。
• 修改 Gitorious 以支持本地 IP 作为主机名。
• 在 gitorious.yml 中:
  • 主机字段是本地 IP(例如 192.168.xxx.xxx)
  • 公共(public)模式:假
  • only_site_admins_can_create_profiles:true
  • hide_http_clone_urls:真
• 安装了 git-daemon，但现在已删除。
• 面向互联网的路由器没有将端口转发到机器。

基于 git://和基于 http://的请求通常都允许开放克隆 repos。删除 git-daemon 并将 hide_http_clone_urls 设置为 false 似乎同时禁用了两者。当我尝试克隆时，它们现在都出现错误。

使用加密的 LVM，机器在发生物理盗窃时是安全的。此外，其他机器上的所有克隆存储库也都保存在加密驱动器上。我在加密的 LVM 上使用了一个自定义脚本，该脚本会在尝试失败次数过多的情况下用色情内容填充硬盘驱动器。

我目前的担忧:

• 是否已完全禁用通过 git://和 http://访问 repo？
• 现在是否所有通过 ssh 进行 repo 访问的途径都受到保护？
• 有没有办法阻止所有不是来自本地网络的对机器的请求，以防我的路由器生气并寻求报复我？
• 如果出现问题，我还能做些什么来加密或保护存储库？
• 如何备份 gitorious 的数据？只备份MySQL数据库和repos目录？

谢谢。

Answer 1

如果您的 git-daemon 没有运行，则没有 git://访问权限。hide_http_clone_urls 不会禁用 http，它只是不显示链接。为了防止未经授权的访问，您可能希望在 apache/nginx 上阻止对 git.yourdomain.com 的所有访问。

你可以看看我的 debian 包，它有很多默认配置，比网上的文档更好:

https://gitorious.org/gitorious-for-debian/gitorious/

基本文件夹是存储所有配置的地方，如 apache configs 和其他，还有设置默认用户和其他东西的 shell 脚本，只需浏览源代码树即可。

关于 apache 配置的更具体信息，请看这里:https://gitorious.org/gitorious-for-debian/gitorious/blobs/master/base/debian/etc/apache2/sites-available/gitorious

例如，如果您不添加 git.yourserver.com 别名，那么没有人应该能够从 http 进行 git 克隆。

您可能还想观看并支持 private repositories feature计划好的内容，这将提供对谁可以看到什么的真实、安全的控制。

还有关于 ssh 的问题，我可以说，是的，它是安全的，并且只允许在您的 gitorious 安装上注册了公钥的人访问。

关于请求的问题，你可以看看apache allow, deny rules ，您可以在其中创建类似以下内容的内容:

Deny from All
Allow from 192.168.0

对于备份，您必须备份您的存储库文件夹和 mysql 数据库。