ФорумРазработкаУстановка и администрирование ПОРазное ПО → git: ограничить доступ при единственном ssh-акке

git: ограничить доступ при единственном ssh-акке

  • vasa_c

    Сообщения: 3131 Репутация: N Группа: в ухо

    Spritz 19 марта 2013 г. 16:33

    Есть виртуальный хостинг, есть доступ по SSH к своей рабочей папке.
    Соответственно, ssh-акк только один, ничего в системе установить нельзя, никакие порты слушать нельзя.

    В своей папке собран git и доступ, соответственно, по ssh://login@hostname:/home/me/git/

    Есть какие-нибудь варианты по тому, как дать стороннему человеку доступ к отдельной репе и не дать ему при этом полный ssh-доступ?
  • master

    Сообщения: 3244 Репутация: N Группа: Джедаи

    Spritz 19 марта 2013 г. 20:22, спустя 3 часа 49 минут 12 секунд

    > Есть какие-нибудь варианты по тому, как дать стороннему человеку доступ к отдельной репе и не дать ему при этом полный ssh-доступ?

    так работают gitosis, gitolite и т.д., то есть перехватывают шелл и производят собственную авторизацию по ssh-ключам. то есть нужен всего один аккаунт, но отдельный.
    ssh://git@server/repo1 - к этому репозиторию имеют доступ выборочные пользователи
    ssh://git@server/repo2 - к этому репозиторию имеют доступ другие выборочные пользователи
    как на гитхабе
    при этом просто зайти ssh под логином git не получится

    я не пробовал, но наверное можно попробовать поднять второй ssh на отдельном порту
    не всё полезно, что в swap полезло
  • adw0rd

    Сообщения: 22959 Репутация: N Группа: в ухо

    Spritz 19 марта 2013 г. 22:09, спустя 1 час 46 минут 22 секунды

    http://adw0rd.com/2012/3/22/freebsd-debian-gitolite/
    http://adw0rd.com/2012/3/21/freebsd-debian-gitosis/
    Спустя 87 сек.
    Если нельзя изменить говнохостинг, то посмотри реализацию gitolite/gitosis
    Первый лучше
    https://smappi.org/ - платформа по созданию API на все случаи жизни
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 19 марта 2013 г. 23:21, спустя 1 час 12 минут 41 секунду

    да, гитолайт тру.

    Сапожник без сапог
  • AlexB

    Сообщения: 4306 Репутация: N Группа: в ухо

    Spritz 19 марта 2013 г. 23:27, спустя 5 минут 43 секунды

    А по https нельзя всех сторонних пускать в репозиторий?
  • vasa_c

    Сообщения: 3131 Репутация: N Группа: в ухо

    Spritz 20 марта 2013 г. 13:08, спустя 13 часов 41 минуту 11 секунд

    master, adw0rd, гитолайты и гитозисы можно завести без отдельного ssh-акка и без прослушки портов?

    А по https нельзя всех сторонних пускать в репозиторий?

    как? не давая доступ к единственному ssh?
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 20 марта 2013 г. 13:09, спустя 39 секунд

    master, adw0rd, гитолайты и гитозисы можно завести без отдельного ssh-акка и без прослушки портов?

    новые версии да
    Сапожник без сапог
  • AlexB

    Сообщения: 4306 Репутация: N Группа: в ухо

    Spritz 20 марта 2013 г. 13:36, спустя 26 минут 49 секунд


    А по https нельзя всех сторонних пускать в репозиторий?

    как? не давая доступ к единственному ssh?
    Ну вебсервер поднять и настроить придется … или это тоже там нельзя?
  • master

    Сообщения: 3244 Репутация: N Группа: Джедаи

    Spritz 20 марта 2013 г. 14:17, спустя 41 минуту 29 секунд

    без отдельного ssh-акка и без прослушки портов?

    не в курсе
    вообще чем обусловлены эти сложности? почему б не перенести репозиторий на какой-нибудь битбакет?
    не всё полезно, что в swap полезло
  • vasa_c

    Сообщения: 3131 Репутация: N Группа: в ухо

    Spritz 20 марта 2013 г. 15:36, спустя 1 час 18 минут 45 секунд

    тем, что на том хостинге рабочий сайт лежит.

    я вобщем забил и дал полный доступ, но чисто для саморазвития, может кто-то ещё вариант знает?
    Спустя 109 сек.
    есть конечно вариант на своём нормальном сервере доступ настроить и по хуку посылать запрос на тот сервер, чтобы там делался git pull.
    но как-нибудь без подобных извращений хотелось бы.
  • indeego

    Сообщения: 125 Репутация: N Группа: Кто попало

    Spritz 20 марта 2013 г. 16:26, спустя 50 минут 41 секунду

    Можно накатить Гитлаб, а там любому члену команды можно выставить соответсвующие права. Давно пользуюсь. Плюс очевидный - только лид может выполнять критически важные операции.
    Спустя 47 сек.
    А бля, я затупил. Невнимательно прочитал первое сообщение. Но все равно Гитлаб - хорошая штука
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 20 марта 2013 г. 16:33, спустя 6 минут 5 секунд

    может кто-то ещё вариант знает?

    gitolite/gitosis могут использовать ssh initial commands при работе с ключем пользователя.

    так последние его версии в общем то и работают.

    а больше ты никак не ограничишь доступ к ссш аккаунту)
    Сапожник без сапог
  • vasa_c

    Сообщения: 3131 Репутация: N Группа: в ухо

    Spritz 20 марта 2013 г. 18:18, спустя 1 час 45 минут 25 секунд

    Ладно, забил на это, всем спасибо.

Пожалуйста, авторизуйтесь, чтобы написать комментарий!