linux - 安全、プライベート、ローカルの貴重な

linux security git ubuntu gitorious

ローカルネットワークの外部からはアクセスできず、できるだけ安全でプライベートなローカルGitoriousインストールが必要です。リポジトリには、ハッキングや盗難の場合に備えて秘密にしておく必要があるコードが保持されます。

私はLinuxの専門家ではありませんし、git / gitoriousの専門家でもないので、以下で説明するインストールを改善するためのヒントは最も役に立ちます。

私が持っています:


暗号化されたLVMとともに、Ubuntu Server 11.04 64ビットを実行しているローカルマシンにGitoriousをインストールしました。
this guideを使用して、好奇心旺盛なインストールを行います。
ホスト名としてローカルIPをサポートするようにGitoriousを変更しました。
gitorious.ymlで:

ホストフィールドはローカルIP(例:192.168.xxx.xxx)
public_mode:false
only_site_admins_can_create_profiles:true
hide_http_clone_urls:true

git-daemonはインストールされましたが、現在は削除されています。
インターネットに面したルーターからマシンに転送されるポートはありません。


git://ベースのリクエストとhttp://ベースのリクエストの両方で、通常はリポジトリのオープンクローニングが可能になります。 git-daemonを削除し、hide_http_clone_urlsをfalseに設定すると、両方が無効になったようです。クローンを作成しようとすると、どちらもエラーを表示します。

暗号化されたLVMを使用すると、物理的な盗難に備えてマシンが安全になります。また、他のマシン上のすべての複製されたリポジトリは、暗号化されたドライブにも保持されます。暗号化されたLVMでカスタムスクリプトを使用して、試行が失敗しすぎた場合にハードドライブをポルノでいっぱいにしました。

私の現在の懸念:


git://とhttp://によるリポジトリへのアクセスは完全に無効になっていますか?
リポジトリアクセスのすべての手段はsshの背後で保護されていますか?
ルーターが怒って復讐を図った場合に備えて、ローカルネットワーク内から発信されていないマシンへのすべての要求をブロックする方法はありますか?
何か問題が発生した場合に備えて、リポジトリを暗号化または保護するためにできることはありますか?
gitoriousのデータをバックアップするにはどうすればよいですか? MySQLデータベースとリポジトリのディレクトリをバックアップするだけですか?


ありがとうございました。
答え
git-daemonが実行されていない場合、git://アクセスはできません。
hide_http_clone_urlsはhttpを無効にせず、リンクを表示しないだけです。不正アクセスから保護するには、apache / nginxでgit.yourdomain.comへのすべてのアクセスをブロックする必要があります。

デフォルトの設定が多く、インターネットで入手できるドキュメントよりも優れている、私のdebianパッケージをご覧ください。

https://gitorious.org/gitorious-for-debian/gitorious/

ベースフォルダーは、Apacheの構成などのすべての構成が格納される場所です。デフォルトのユーザーやその他のものを作成するシェルスクリプトもあります。ソースツリーを探索するだけです。

Apache構成についてより具体的には、ここを見てください:https://gitorious.org/gitorious-for-debian/gitorious/blobs/master/base/debian/etc/apache2/sites-available/gitorious

たとえば、git.yourserver.comエイリアスを追加しない場合、httpからgit cloneを実行することはできません。

また、計画されているprivate repositories featureを監視してサポートすることもできます。これにより、誰が何を参照できるかを実際に安全に制御できます。

また、sshについての質問については、確かに安全であり、公開鍵があなたの巨大なインストールに登録されている人にのみアクセスを許可します。

リクエストの質問については、次のようなものを作成できるapache allow, deny rulesをご覧ください。

Deny from All
Allow from 192.168.0


バックアップの場合は、リポジトリフォルダーとmysqlデータベースをバックアップする必要があります。
関連記事

linux - EC2 Linuxインスタンスの起動時にプログラムを開始する

linux - Linux Tomcat + Windows Auth

android - posix setuid別のプロセス

java - Mavenビルド後に「ライブ」ディレクトリ構造を構築する正しい方法は?

c - 保存されたコンテキストからのスレッドの再開

linux - ディレクトリ内のファイルが追加されたときに、inotify-toolsを使用してメールを送信するにはどうすればよいですか?

ruby-on-rails - ruby1.9.2のインストールに関する問題

php - LinuxへのCakePHPのインストールに関する問題

linux - vimのフィルターコマンドからの入力後にカーソルを次の行に移動

c - データグラムソケットでのユニキャスト送信元アドレスフィルタリング