Gitlab 利用Server端Hook来锁定文件不被修改

最新推荐文章于 2024-05-16 16:51:34 发布
最新推荐文章于 2024-05-16 16:51:34 发布
阅读量3.4k 收藏 6
点赞数
分类专栏: 工具 文章标签: gitlab git git hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ygdlx521/article/details/115751703
版权

1、背景

研发gitlab CI/CD时,需要编辑一个整个代码仓库统一的CI/CD流程,用于流程与权限的控制。众所周知,Gitlab的CI/CD流程是通过.gitlab-ci.yml文件配置的。通常,如果用户拉出自己的开发分支,那么该yaml文件也会被用户修改,也就是说用户可以完全不用当前的CI/CD流程而重新自定义自己的流程,越权部署代码,存在极大的安全风险。

2、适用场景

需要利用Gitlab的CI/CD功能,保护.gitlab-ci.yml不被普通用户修改;保护其他CI/CD调用到的相关文件不被用户修改。或推广到保护代码仓库中任意文件。

3、方法论

Gitlab目前并没有直接提供锁定或者保护文件相关的功能,经过充分思考与研究后,采用通过配置服务端钩子(Hook onServer),来检查特定文件是否被修改,如有发生,就拒绝接受用户推到远端的代码以保护文件。

4、开发与实践

  • 代码仓库位置
    可能位置1:/home/git/repositories//.git
    可能位置2:/var/opt/gitlab/git-data/repositories//.git
    注意: 代码仓库名称与路径可能被哈希处理了,例如当前测试的gitlab机器上就是这种情况,需要进入@hashed目录,
sh-4.2$ pwd
/var/opt/gitlab/git-data/repositories
sh-4.2$ ls
+gitaly  @hashed
sh-4.2$ cd \@hashed/
sh-4.2$ tree
`-- d4
    `-- 73
        |-- d4735e3a265e16eee03f59718b9b5d03019c07d8b6c51f90da3a666eec13ab35.git
        |   |-- branches
        |   |-- config
        |   |-- custom_hooks
        |   |   `-- pre-receive
        |   |-- description
        |   |-- HEAD
        |   |-- hooks
        |   |   |-- applypatch-msg.sample
        |   |   |-- commit-msg.sample
        |   |   |-- fsmonitor-watchman.sample
        |   |   |-- post-update.sample
        |   |   |-- pre-applypatch.sample
        |   |   |-- pre-commit.sample
        |   |   |-- pre-merge-commit.sample
        |   |   |-- prepare-commit-msg.sample
        |   |   |-- pre-push.sample
        |   |   |-- pre-rebase.sample
        |   |   |-- pre-receive.sample
        |   |   `-- update.sample
        |   |-- info
        |   |   |-- exclude
        |   |   `-- refs
        |   |-- language-stats.cache
        |   |-- objects
        |   |   |-- 47
        |   |   |   `-- 81462ff2e83f3130effecea404514a8ef7382
        |   |   |-- info
        |   |   |   `-- packs
        |   |   `-- pack
        |   |       |-- pack-00634d576da38a59c654603dbb72a9e12d647124.bitmap
        |   |       |-- pack-00634d576da38a59c654603dbb72a9e12d647124.idx
        |   |       |-- pack-00634d576da38a59c654603dbb72a9e12d647124.pac
        |   |-- packed-refs
        |   `-- refs
        |       |-- heads
        |       |   `-- daliang_test_branch
        |       |-- keep-around
        |       |   `-- f37f13e889088502c18715e974299e3aafe0ff7a
        |       |-- merge-requests
        |       `-- pipelines

找到要配置的代码仓库,上图同时也展示仓库的目录与文件结构。

  • 配置服务端钩子

服务器端的钩子主要为:
pre-receive:
在有人用git push向仓库推送代码时被执行
post-receive:
post-receive钩子在成功推送后被调用,适合用于发送通知。对很多工作流来说,这是一个比post-commit更好的发送通知的地方,因为这些更改在公共的服务器而不是用户的本地机器上。给其他开发者发送邮件或者触发一个持续集成系统都是post-receive常用的操作。这个脚本没有参数,但和pre-receive一样通过标准输入读取
update:
update钩子在pre-receive之后被调用,用法也差不多。它也是在实际更新前被调用的,但它可以分别被每个推送上来的引用分别调用。也就是说如果用户尝试推送到4个分支,update会被执行4次。和pre-receive不一样,这个钩子不需要读取标准输入。
事实上,它接受三个参数:
更新的引用名称
引用中存放的旧的对象名称
引用中存放的新的对象名称

因此,我们这里用pre-receive。

sh-4.2$ cd \@hashed/d4/73/d4735e3a265e16eee03f59718b9b5d03019c07d8b6c51f90da3a666eec13ab35.git/
sh-4.2$ mkdir custom_hooks
vim pre-receive

该文件为:

#!/bin/bash
echo "I'm a hooked file on server"
z40=0000000000000000000000000000000000000000
echo $GL_USERNAME
while read oldrev newrev refname; do

 if [ $oldrev == $z40 ]; then
   # Commit being pushed is for a new branch
   oldrev=4b825dc642cb6eb9a060e54bf8d69288fbee4904
 fi
 yaml_file_name=".gitlab-ci.yml"
 approval_user="root"
 file_name=$(git diff --name-only $oldrev $newrev)
 if [ "$yaml_file_name" == "$file_name" ] && [ $GL_USERNAME != "$approval_user" ]; then
         echo "No permission to modify ${yaml_file_name}"
         exit 1
 fi
done
echo "I'm a hooked file on server"
  • 测试结果
    当时用户修改.gitlab-ci.yml之后push,会被服务端拒绝,从而保护了该文件及CI/CD流程不被篡改。
17:41:54.577: [b2c-airflow-poc] git -c credential.helper= -c core.quotepath=false -c log.showSignature=false push --progress --porcelain origin refs/heads/daliang_test_branch:daliang_test_branch
Authenticated to 3.86.51.69 ([3.86.51.69]:22).
Enumerating objects: 5, done.
Delta compression using up to 12 threads
Total 3 (delta 2), reused 0 (delta 0)
remote: I'm a hooked file on server        
remote: No permission to modify .gitlab-ci.yml        
Transferred: sent 3368, received 3948 bytes, in 1.2 seconds
Bytes per second: sent 2789.3, received 3269.7
error: failed to push some refs to 'git@3.86.51.69:root/b2c-airflow-poc.git'
To 3.86.51.69:root/b2c-airflow-poc.git
!	refs/heads/daliang_test_branch:refs/heads/daliang_test_branch	[remote rejected] (pre-receive hook declined)
勇敢的俍心
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
gitlab上使用server_hooks -实例级和项目级
最美dee时光的博客
11-30 1849
当我们初始化一个项目之后,.git 目录下有一个 hooks 目录,可以看到上图左侧有很多执行任务,比如 pre-commit,代表在运行这些命令之后或之前,会进行一些校验和检测来执行相应任务。与许多其他版本控制系统一样,Git 有一种方法可以在发生某些重要操作时,触发自定义脚本,即 Git HookGit 钩子)。对于配置单个仓库的server hooks也是需要开启全局的配置,否则会导致脚本在某个repo的相对路径下不会生效。该脚本的作用是规范gitlab提交的信息。
【分享】git stash 防止干扰别人或者新分支工作的git命令
qq_41287158的博客
05-06 294
背景: 在工作中我们常常会有这样一个工作场景,正在新任务开发中突然你的leader过来,某某你去把x.x.x版本的bug给修复一下,需要马上处理。然而手里正在开发的新功能写到一半又不想提交。那么该怎么办呢? 肯定有这种情况:因为当前有文件更改了,需要提交commit保持工作区干净才能切分支。由于情况紧急,只有急忙 commit 上去,commit 信息也随便写了个“暂存代码”或是“…”,于是该分支提交记录就留了一条黑历史。 使用git stash命令解决 stash在英文意思是隐藏。git stash 的
gitlab用户被冻结,用户添加的ssh key失效,导致git客户拉取代码异常
最新发布
天草二十六
05-16 548
可能有人会问,为什么要额外新增一对ssh密钥对?可不可以直接使用原先的密钥对?其实是可以,但是由于被冻结用户已添加了旧的ssh密钥对,所以gitlab并不允许你重复添加。被冻结的用户不能被解冻,否则可以进入gitlab,把旧的ssh公钥删除。不能把旧的ssh公钥删除,又不允许别的正常用户添加该ssh公钥。这就意味着,旧的ssh密钥对无法使用了。所以,我们才选择新增一对ssh密钥对。
GitLab-Protector:一个git pre-receive钩子,用于在自托管GitLab实例上的git存储库中添加对具有用户组管理功能的文件保护的支持
02-06
GitLab保护器 一个,用于在自托管GitLab实例上的git存储库中添加对用户/组管理的文件保护支持。 如果已向试图推送新更改的用户授予许可,则GitLab Protector仅允许对某些文件进行修改,从而有助于保护git存储库。 要求 自托管的GitLab实例(CE或EE) 可能是root访问权限,才能安装钩子 这个怎么运作 您将为每个git存储库定义规则,并定义一个仅由GitLab Protector知道和使用的组(全局)列表。 每个规则都是一个正则表达式,该正则表达式指定应保护哪些文件(和/或包含文件的目录)以防止在存储库中进行修改。 受保护的文件意味着从现在开始,仅允许特定的
GitLab 8.9增加了文件锁和硬件U2F支持
cpongo5
06-30 375
GitLab 8.9版已经发布,更新了UI,并实现了基于硬件的双重认证。在最新的版本中,开发者可以锁住一个二进制文件,之后就只有加锁的人才能修改被锁的对象。这个功能对于游戏或图像文件这种难以解决冲突的场景非常有用。使用企业版的用户可以付费使用这个功能,Hacker News的用户sdesol说这对于需要它的人来说是一个福利:\\\ 企业最关心的就是降低风险,因为搞砸一次就可能毁掉整个公司。所以如...
gitlab服务器hook最全详解
qq_44945678的博客
02-14 4060
第一步,找到要配置仓库在 gitlab 中存储的路径,但因 gitlab 的仓库自某个版本开始采用 hash 存储,我们想要知道仓库对应的物理路径,可以通过管理员账号拿到对应的物理路径。对于全局的hook,配置脚本后gitlab系统上所有仓库都受影响,开关在配置文件gitlab.rb中(默认安装路径/etc/gitlab/gitlab.rb),找到下面这条。第二步,进入路径下新建目录 custom_hooks/pre-receive.d,进入目录后再创建脚本文件 (推送前),同时修改 脚本文件的权限。
git文件锁定不更新和忽略
qq_36106226的博客
08-12 1770
git文件锁定不更新和忽略 git文件的忽略 新建未提交的文件直接添加.gitignore 提交之后的文件已被git追踪 这时需要清除git缓存 忽略文件 git rm --cached ./src/main/resources/velocity.properties 忽略文件git rm --cached -r **/res/js 再次添加文件gitignore 生效 提交会删除 git 上的文件 不更新指定文件 执行命令之前需要保持该文件为已同步状态 否则执行失败 git update-ind
webserver 与 webhook机制
09-05 346
什么是 webserver(像一个webapi接口,但又不仅仅是web接口) 1,你要从别的网站或服务器上获取资源或信息,别人肯定不会把数据库共享给你,只能给你提供一个他们写好的方法来获取数据,你引用他提供的接口就能使用他写好的方法,从而达到数据共享的目的。 2, python 开发一台软件,java开发另一台软件,如何让java获取python的信息呢? 我们可以让pyth...
服务器上搭建git仓库与钩子hook的配置
naruto227的博客
12-19 6573
目录服务器上搭建git仓库与钩子hook的配置目录 服务器上搭建git仓库与钩子hook的配置 服务器上的git目录下文件配置 钩子hook web目录下文件配置 本地clone远程项目服务器上的git目录下文件配置 本服务器是基于阿里云上的服务器,服务器上的web服务在/wwwroot/www目录下 ssh root/用户名@服务器地址,进入服务器 cd /home/git/ #进入git目录
gitlabhook设置
ITerated的博客
11-09 2917
连接到gitlab服务器 gitlab仓库一般位于为:/var/opt/gitlab/git-data/repositories; repositories该目录下的文件夹对应gitlab的组; 组文件夹下的对应的是gitlab上相应的代码库; 进入xxxx.git目录,目录结构大致如下: ...
[GitLab]GitLab Hooks你需要了解的知识
hujyhfwfh2的博客
10-15 9064
1;了解GitHook机制 GitLab hooks大体上分为两类:客户钩子和服务器钩子,如下 先从一张图了解一下Hooks的阶段 1.1: 客户钩子 pre-commit 钩子在键入提交信息前运行。 它用于检查即将提交的快照,例如,检查是否有所遗漏,确保测试运行,以及核查代码。 如果该钩子以非零值退出,Git 将放弃此次提交,不过你可以用 git commit --no-verify 来绕过这个环节。 你可以利用该钩子,来检查代码风格是否一致(运行类似 lint 的程序)、尾随空白字符是否存
Git 小技巧:忽略某些文件的更改
2301_76403635的博客
03-09 3461
作为一枚合格的代码贡献者,时常需要跟踪自己或者团队代码的变更,那么就很有必要了解并掌握一些软件代码版本管理工具或者系统,比如 Git、SVN、CVS、VSS等。
Gitlab上如何给指定人员在指定项目里设置指定权限,给项目设置保护
热门推荐
lhcxwjh的专栏
03-04 13万+
一、在Gitlab页面里,点击Project,找到指定的Project里; 二、点击Members,可以添加人员,并给指定的人员设置权限。 三、点击Protected Branches,可以给Project的分支设置是否受保护,如果受保护,除了master权限的人员,其余人都不可以push、delete等操作。
git锁住如何解决GitLab: Your account has been blocked.
dongdouzin的博客
05-25 4万+
今天用gitpush和pull的时候出现了一个问题,报了一个错误:GitLab: Your account has been blocked.然后我怀疑是账号错误然后发现账号密码对后来发现是两个git账号同时占用了一个目录强制删除目录下的 .git文件然后重新建立目录ok...
git仓库被锁了怎么办
08-20 6936
git.exe rm -f --cache [...] fatal: Unable to create 'D:/go-base/.git/index.lock': File exists. Another git process seems to be running in this repository, e.g. an editor opened by 'git commit'. Plea...
GitLab设置受保护的分支
halo1416的博客
09-09 1万+
前言:在实际的团队开发中,针对项目的分支管理需要设置一些权限(特别是针对master分支),那种这种受保护的分支(Protected Branches)具体怎么设置呢? 1. 打开项目 2. 点击Settings -> Repository标签 3. 找到页面底部的Protected Branches 解释:Wildcards such as *-stable or production/* are supported 设置要保护的分支是,可以使用通配符。两个不同的通配符可能匹配同一个分支。 例
【学习GitLabhook
许振坪的专栏
09-07 2649
文章目录1 前言2 GitLab hook2.1 web hooks2.2 custom hooks2.2.1 单仓库钩子2.2.2 全局钩子2.2.3 环境变量 1 前言 最近在学习 GitLab,将学习成果做个简要总结。 官网地址:https://about.gitlab.com/ 在线文档:https://docs.gitlab.com/ce/README.html 本地文档:用户登录后,点击右上角 Help 菜单 我的版本:GitLab Community Edition 13.3.4 2 Gi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值