安全cvs

最新推荐文章于 2024-09-11 22:03:32 发布
最新推荐文章于 2024-09-11 22:03:32 发布
阅读量2.6k 收藏
点赞数
分类专栏: 源码管理 文章标签: cvs unix import properties shell branch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/capboy/article/details/290685
版权

初始化步骤:
1.建立仓库目录,锁目录
2.建立仓库
3.修改CVSROOT/config中Lockdir为新建立的锁目录
4.建立cvsadm用户以及组
5.建立cvsdevel用户以及组,最后不需要.ssh/authorized_keys2文件,也不允许远程/本地登陆
6.所有cvs用户均无本地登陆权限,仅能够使用cvs命令(ssh通道),通过修改/etc/passwd的shell段实现
  所有cvs用户都应该是cvsdevel组成员
7.修改仓库目录,CVSROOT,锁目录,CVSROOT/history,val-tags的权限
  a.参考“基本知识”10设置权限
    chown -R cvs-adm.cvs-devel <BASE>
    chmod 750 <BASE>
    chmod 750 <BASE>/CVSROOT
    chmod 640 <BASE>/CVSROOT/*
    chmod 770 <BASE>/CVSROOT/Emptydir
    chmod 660 <BASE>/CVSROOT/{history,val-tags}
    chown -R cvs-adm.cvs-devel /cvs-locks
    chmod -R 770 /cvs-locks
  b.项目(模块)目录有管理员建立
  c.注意给项目(模块)目录,锁目录添加sgid标志,chmod g+s xxx,这样任何用户建立的目录/文件均属于该组,才能实现项目组策略
8.添加新用户
9.根据项目设置权限
  a.添加新的项目对应unix组
  b.添加用户到该组,添加用户到cvsdevel组
  c.项目目录属于cvsadm.新的组
  d.修改项目目录属性为770, chmod 770 项目目录
  d.注意给目录添加sgid标志,chmod g+s xxx,这样任何用户建立的目录/文件均属于该组,才能实现项目组策略
10.goto 8


新用户步骤:
1.添加用户adduser
2.产生key
3.上传key到server,注意修改key的格式(putty->openssh)
4.$HOME/.ssh目录权限以及authorized_keys2文件权限
  chmod 700 .ssh
  chmod 600 authorized_keys2
  否则ssh的key认证登陆不成功(??不知道原因)
5.设置用户的umask,0022->0007,这样该用户建立的文件/目录对组用户有写权限,结合目录的sgid实现项目组策略
6.验证ssh的key认证登陆
6.修改/etc/passwd文件,用户shell为cvsonly脚本

要求:
  权限分配不能影响正常的cvs操作(add,import,checkout,update,tag,branch,del对应的项目代码)
  cvsadm对CVSROOT有读写权限,对其他所有项目有读权限
  cvsdevel对CVSROOT仅有读权限,对其他所有项目没有任何权限
  项目成员对CVSROOT仅有读权限,对本项目有读写权限,对其他所有项目没有任何权限
项目组策略:
  项目目录仅对对应项目unix组用户开放读写权限,其他用户无任何权限,项目权限仅控制到组,不控制单独用户



基本知识:
1.保护cvs管理文件,只有管理员/管理员组才能有修改权限(CVSROOT)
2.保护模块/子模块有正确的用户访问
3.cvs的单独仓库文件(.v)不能单独的设置权限,使用unix的groups权限控制目录权限
4.使用LoclDir选项(CVSROOT/config文件中)设置特别的lockdir,避免所以用户有CVSROOT修改权限,
  这个目录一定不要放在CVS的仓库root目录下,避免被cvs当做一个模块了!
  通过local协议修改CVSROOT/config文件中行如下:LockDir=/cvs-locks
5.建立一个administrative的group(例如cvs-adm),只有这个组的成员才有权限写CVSROOT目录中的文件内容
  同时注意,如果有多个cvs仓库/projects,,每个仓库/projects都建立唯一一个管理员组
Note: The description we make here works under OpenBSD. On other Unix flavours (for instance on GNU/Linux with ext2fs), it may be necessary to use the setgid bit on the directories, since directories are created with the group of the running process instead of the one of the parent directory. But pay attention to the fact that different Unices handle setgid bits differently. On GNU/Linux, we have had to set the setgid bit on every directory of the repository, to force the creation of sub-directories with the same group as their parent directory. In case of doubt, one should test that the properties described here are indeed present on a particular Unix flavour.
6.建立一个标准开发人员组(cvs-devel),每个其他组的开发人员也必须是这个组的成员,该组对lockdir和
  CVSROOT/history,CVSROOT/val-tags文件有写权限,对大部分的仓库资源有读权限,并且仅这个组的成员
  才有CVS root目录的读权利
7.为了控制每个仓库模块的写权限,应该建立其他的组以及联系组相关成员,并给组写权限
8.unix系统中other权限位永远没有写权限
9.unix系统中owner权限位总是有写权限
10.设置权限例子:
chown -R cvs-adm.cvs-devel <BASE>
chmod 750 <BASE>
chmod 750 <BASE>/CVSROOT
chmod 640 <BASE>/CVSROOT/*
chmod 770 <BASE>/CVSROOT/Emptydir
chmod 660 <BASE>/CVSROOT/{history,val-tags}
chown -R cvs-adm.cvs-devel /cvs-locks
chmod -R 770 /cvs-locks
11.建立新模块的问题
  由于仅有cvs-adm有cvs的root目录的写权限,其他用户无法import新的"top-level"模块,需要管理员组成员
  帮助建立该modules目录,并设置好相应的组权限允许用于check-in文件,这样以后该组用户就可以正常的使
  用add,import命令了
12.ssh的public key访问方式
  由于其他用户不能运行任何shell命令(仅cvs server命令),需要管理员帮助上传起public key文件到服务器
  的用户HOME/.ssh目录下
13. .ssh目录权限
  .ssh 700
  authorized_keys2 600

capboy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为云主机,数据安全的保障
SeeK的云技术博客
04-19 1020
华为云功能强大 首先,云主机有丰富的镜像供您选择,丰富的公共镜像与市场镜像,满足您的各类业务需求;还有自定义镜像功能,用于创建云主机,快速复制云主机的操作系统环境;针对系统安全问题可以对云主机系统盘创建备份,用于快速恢复数据状态;更可以最大挂载22块云硬盘,让客户可以根据需求选择多种性能配比;最重要的是云主机还具有VPC虚拟私有云可以实现安全隔离。 华为云主机应用场景广 既可以作为用户的业务服务器单独使用,也可以与移动云的存储、网络等资源(如云存储、CDN、流媒体处理)结合使用为用户提供丰富完善的业务解
cvs 创建用户
cgboy88的专栏
11-27 634
cvs 创建用户cvs版本 cvsnt-2.5.03.2382 1) 安装cvsnt 2) 创建cvs Repository   cvspropertiy 3) win+R 进入 dos界面 3) 在命令行  set cvsroot=:pserver:administrator@127.0.0.1:/cvs4) 在命令行  cvs login 5) 输入administrator用户的密码 6
CVS使用手册
07-06 1275
版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本声明http://www.chedong.com/tech/cvs_card.html 关键词:CVS CVSWeb CVSTrac WinCVS CVSROOT 内容摘要: CVS是一个C/S系统,多个开发人员通过一个中心版本控制系统来记录文件版本,从而达到保证文件同步的目的。工作模式如下: CVS服务器(文件
CVS(Concurrent Version System)版本控制系统
coovig的专栏
12-26 2999
转自百度百科CVS CVS是一个C/S系统,多个开发人员通过一个中心版本控制系统来记录文件版本,从而达到保证文件同步的目的。工作模式如下: CVS服务器(文件版本库) / | / (版 本 同 步) / | / 开发者1 开发者2 开发者3CVS(Concurrent Version System)版
新版本的CVS问题
JavaBOY
10-28 937
客户端登陆时候一直提示“no such repository”,可是明明我的repository已经建立。可是还不成功。一直以为是系统问题,今天无意之间修改了设置,那里知道竟然可以登陆,创建模块和check out。仔细看了一下原来是设置有一个问题,最新的cvsnt可能采用unix的设置访问方式,即使你是cvsnt也不需要些盘符。 原来设置: -------------------------
csv
textboy的专栏
01-13 826
分隔符银行标准:\033
cvs-linux-rpm.tar.gz_cvs r_cvs r_cvs rpm_cvs rpm linux_linux rp
09-19
4. **权限与安全**:设置好用户和组,确保只有授权的用户可以访问CVS仓库。可以通过修改`cvsrootd.conf`中的`auth`和`access`选项来实现。 5. **启动服务**:安装完成后,启动Cvsnt服务: ``` sudo systemctl ...
批量清空CVS文件
10-22
为了确保安全,建议在执行批量删除前先备份重要数据。此外,如果你的项目中包含其他版本控制系统(如Git、SVN等),则需根据各自的文件结构编写相应的删除规则,以免误删重要信息。 在清理CVS文件后,你可能会考虑...
PHP My CVS-开源
07-04
4. **安全机制**:内置了基本的身份验证和授权机制,保护了 CVS 仓库免受未经授权的访问和修改。 **安装与配置** 1. **环境准备**:确保服务器上已安装 PHP 和 MySQL,并配置好相应的环境变量。 2. **数据库设置**...
Windows环境下I源码管理工具cvs client使用入门.pdf
03-28
- 安全性是版本控制的重要方面,CVS服务器管理员需要定期检查权限设置,确保代码库的安全。 6. 解决冲突: - 当两个用户同时修改同一个文件时,可能发生冲突。 - CVS会标记出冲突,并允许用户手动解决。 - 解决...
windows 平台的cvs服务器配置
VooleBoy的专栏
06-10 158
1: 大家做开发的时候就是都会用到cvs版本控制,那么怎样制作自己的cvs版本控制器呢? 2: 在Windows下安装cvs服务器 , 我自己已经安装过了,大家在安装时就按照提示 一步一步就可以了, 安装后要重新启动计算机就可以了! 3:配置cvs服务器 4:在eclipse中连接自己的cvs服务器 ok [flash=650,560]ht...
关于VSS系统权限设置
capboy的专栏
11-22 6989
关于VSS系统权限设置由于VSS基于共享目录形式做服务器,安全性能不好.这里设置了一个相对安全的权限设置方案,由于先天缺陷,最好还是使用cvs等.一些预先说明:服务器有一个组vsstest服务器有多个用户vsstest1,vsstest2,vsstest3,他们仅属于vsstest组1.服务器设置共享目录share$    加"$"符号,这样普通共享看不到    srcsafe.ini配置文件里面
转换CVS到subversion
capboy的专栏
04-22 3280
安装和配置就没有什么好说的了。说一些自己的看法和一些注意事项比起CVS来说确实简洁多了,加上copy/move的功能,比较符合使用习惯。对于中文的支持也非常好,而且服务器能通过SSH协议操作,安全,方便。客户端有TortoiseSVN和TortoiseCVS几乎一样,没有过渡时期的痛苦。所以打算把原来的CVS项目给转过来。使用工具:cvs2svn这个工具是使用python写的,需要安装py
非常好的bug跟踪系统CVSTracNT
capboy的专栏
07-15 2294
由于开发环境是window,找到cvsTrac的中文window的版本CVSTracNT,非常好用。安装非常简单,到www.cnvcl.org下载,setup.exe安装就好了。里面还有使用手册和管理员手册。配置:主要就是想设置一下email通知,其他的就非常简单,基本不需要特殊配置。需要注意的是必须在“邮件列表”写入小组的email.使用中碰到的问题:cvsTracNT查
如何把VSS仓库转换到CVS
capboy的专栏
10-26 1435
VSSExtractor的使用 该工具可以把VSS的工程转化为CVS的工程 转换需要两个程序,一个是VSS端的VSSExtractor.exe,基于window的平台, 一个是CVS端的cserver,基于linux.版本: 我使用的是0.7.2版本的,本来他的cserver程序需要做cvs的补丁才可以的,这个版本已经直接patch过了, 而且带了他要求的cvs1.11.1p1,省 去了自己下载c
CVS配置ssh问题
capboy的专栏
07-15 1432
一.问题:一般情况大家到是linux做服务器,比较多的文章说过了,我是需要在window下面做服务器,linux访问,因为开发机器是window:-),我测试过window版本的openssh不好用,不知道是不会配置还是什么,没有成功.二.过程:1.window安装cygwin    注意选择Admin->cygrunsrv用做启动服务功能,openssh服务需要2.安装ssh安装net->ope
提供cvs only的ssh服务
capboy的专栏
07-24 1117
 摘抄自http://www.akeysoft.com今天配置了通过ssh提供的cvs服务:安装了sshd后,创建使用cvs的帐户。不过这些帐户的开通使得cvs的用户可以通过ssh登录到cvs服务器上执行命令。为了限制cvs用户只能通过ssh使用cvs功能,我用Google找到了两个方法。方法一:关闭ssh的密码认证功能,让ssh服务必须通过密钥(证书)认证,并在服务器上的认证证书文件
linux与unix
最新发布
m0_74233882的博客
09-11 98
此外unix并不兼容,主流的unix系统有三种AIX,HP-UX,Solaris运行在各自的服务器,但非常稳定,并行度非常高,是PC机无法比拟的。linux既可以进行命令行操作,也可以进行图形化的操作。linux具有很好的跨平台性,可以运行在多种硬件平台。linux是开源的,unix是闭源的。unix大多需要与指定硬件配套使用。linux要求较低,unix要求高。unix只是命令行下的操作。
CVS版本控制系统全面指南
4. **CVS的用户认证**:可以通过SSH实现远程用户认证,提供安全连接。管理员需要关注如何配置和管理用户认证方式。 5. **CVSWEB**:CVSWEB是CVS的Web访问界面,可提高代码版本比较的效率,便于非CVS用户查看项目...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值