Linux配置svn+apache+ssl+radius身份认证

    单位最近要上个新项目,要给项目组弄个SVN服务器,原来没弄过,那就边研究边摸索着来吧,废话不多说,下面直接开始

    【环境】Centos6.4 X86_64 minimum,iptables,selinux已关闭,所需软件包采取yum安装方式

    【SVN客户端软件】TortoiseSVN

一、不得不说的svn客户端的4种访问方式

    先说说apache+svn,安装subversion包之后能用客户端访问了,但是不能从网页访问,于是考虑到集成apache和svn,提供更亲和的网页访问方式,但是配置完网页访问后傻眼了,一个简陋的版本库页面,只能浏览和下载不能上传,看来客户端访问还是主流

    但是转念一想客户端也有版本库浏览器,同时还能上传下载,那要apache+svn干什么,直到我看到同事误把我写的服务器使用说明文档里的网页访问地址http://serverIP/svn/test粘贴到TortoiseSVN客户端的url里,居然也访问成功了,我才意识到apache+svn和单独的subversion是两种完全不同的访问方式

    原来以为apache+svn必须在subversion启动的条件下同时启动apache,并且保持subversion和apache配置完全一致才行,弄明白了之后才发现完全不是这么回事

    实际上apache+svn是通过http协议80端口访问版本库,subversion是通过svn协议的3690端口访问版本库,这两种方式互不干涉,可以只启动80,不启动3690,也可以只启3690,不启80,还可以同时启动80和3690,甚至这两种方式的版本库根目录都可以不同的,用户名和密码也可以不同,apache+svn用的是htpasswd的用户名和密码,subversion用的是svnserve.conf指定的passwd文件里的用户名和密码,说白了apache+svn和单独的svn服务是两种完全不同svn服务类型


OK,做个总结:

实际上TortoiseSVN支持总共4种访问方式

①svn也就是独立的subversion服务,通过3690端口访问

②http也就是apache+svn,通过80端口访问

③https也就是apache+svn+ssl,通过443端口访问

④svn+ssh也就是ssh+svn,这种稍微特殊,借用ssh隧道访问svn版本库,通过22端口访问,本文不涉及这种访问方式,有兴趣的话大家可以自己去查相关资料


    【注】windows有个visualsvn好像是直接集成的apache和svn,不知道visualsvn是否有网页上传功能呢。因为一般在linux上部署svn性能更好,安全稳定性更高,所以就没研究windows的svn,大家有兴趣的话可以自己安装个visualsvn试试


二、配置svn服务

1.安装

yum install subversion

2.创建版本库

mkdir -pv /svn/svnrepos
svnadmin create /svn/svnrepos/test1    #命令格式:svnadmin create [repopath]

3.配置文件

查看test1下的conf目录,会发现有三个配置文件:

svnserve.conf:此版本库的总配置文件

passwd:库用户名密码文件

authz:库权限配置文件

多库共用同一个passwd和authz文件,便于管理。于是在库根目录下建立etc文件夹存放公共配置文件:

mkdir -pv /svn/svnrepos/etc
cp /svn/svnrepos/test1/conf/{passwd,authz} /svn/svnrepos/etc/

 a).svnserve.conf配置项

[general]
anon-access = none     #匿名用户无任何权限,如果想匿名用户可读,设置为read即可,默认read
auth-access = write    #认证通过的用户可读可写
password-db = /svn/svnrepos/etc/passwd    #用户名密码文件存放位置
authz-db = /svn/svnrepos/etc/authz        #库权限配置文件存放位置
realm = test           #认证域名,相同认证域名的库的密码缓存可以在多个版本库之间共享

    【注】默认每个库都有一个的svnserve.conf,如想所有库共用一个svnserve.conf,可以在启动svn服务的时候添加--config-file=filename参数,svn服务启动的时候就不会再去读取任何一个库的配置文件,而会读参数指定的svnserve.conf

    这个方法优点是方便,缺点是缺乏灵活性,如果你有一个库想用一套独立的passwd和authz,用这方法就行不通了。通常是每个库单独配置自己的svnserve.conf,大部分库用同一个passwd和authz,有特殊的库用自己独立的passwd和authz文件

 b).passwd配置项

[users]
harry = harryssecret         #定义库的用户和密码,格式为username = passwd
sally = sallyssecret
tom = tomssecret

 c).authz配置项

[groups]                     #定义组和成员
devteam = harry,sally        #格式为groupname = member1,member2
[test1:/]                    #定义test1库根目录的访问权限
* = r                        #所有用户可读
@devteam = rw                #开发组成员读写,注意组名前面要加@
[test1:/tomproject]          #定义test1下tomproject文件夹的权限
tom = rw                     #tom读写

    【注】版本库中,子目录继承父目录的权限

4.启停svn服务

 a).启动

svnserve -d -r /svn/svnrepos
#    -d               以守护进程的方式运行svn服务
#    -r               指定版本库根目录
#    --listen-port    指定监听端口,默认端口3690

 b).停止

kill `ps aux|grep svn|grep -v 'grep'|awk '{print $2}'`

 c).重启脚本

#!/bin/bash
kill `ps aux|grep svn|grep -v 'grep'|awk '{print $2}'`
if [ $? = 0 ]
then
echo "Stop Svnserve successful!"
fi
sleep 1
svnserve -d -r /svn/svnrepos
if [ $? = 0 ]
then
    echo "Start Svnserve successful!"
fi

5.访问

    客户端访问:启动后就可以用TortoiseSVN访问了,在url栏中输入svn://serverIP:[port]/test1即可访问版本库test1了,默认不用加端口,如果修改过svn端口号,就需要在服务器地址后面加上端口


    【注】同时运行多个库是和svn服务启动的时候的版本库根目录(-r参数)有直接关系的,在版本库根目录底下建多个库,启动的时候就可以把这些库一并启动起来,登录的时候只需要指定不同的库名即可

    看网上还有文章讨论说只运行一个库,这个库底下放着三个项目的文件夹,然后用不同用户组和权限去限制访问,这样有以下几个问题:

    ①每个项目文件有变动的时候,版本号都会增加,分不清楚是哪个项目增加的

    ②备份的时候效率很低,必须得三个项目一起备份,没法单独备份其中一个项目

    ③随着版本号的增加,版本库的冗余会越来越大,所占空间也会很多

    但其好处是可以一次备份多个项目

    选择什么方式运行见仁见智,适合实际环境的方式就是最好的,大家自己选择吧

6.删除版本库

删除整库是没有svnadmin remove这种命令的,直接rm -rf删除整个库文件夹即可


三、配置apache+svn

1.安装apache和apache的mod_dav_svn模块

yum install httpd mod_dav_svn               #安装apache和apache的svn模块
apachectl -t -D DUMP_MODULES|grep svn       #查看apache是否已经加载了dav_svn_module和authz_svn_module

一般yum安装的apache模块都会在启动时自动加载,如果尚未加载,在http.conf文件中添加如下内容后重启httpd服务即可

#vim /etc/httpd/conf/httpd.conf
LoadModule dav_svn_module modules/mod_dav_svn.so
LoadModule authz_svn_module modules/mod_authz_svn.so

此外,鉴于svn需要列出文件夹内容,建议把apache的默认列目录功能关闭,防止svn以外的目录被列出结构,提升安全性

sed -i '/Options Indexes/s/Indexes/-Indexes/' /etc/httpd/conf/httpd.conf
#其中"-"表示不允许列目录

2.配置httpd.conf

#vim /etc/httpd/conf/httpd.conf
<Location /svn>
    DAV svn                        #使用svn模块
    SVNParentPath /svn/svnrepos    #svn版本库根目录
    AuthType Basic                 #认证类型:基本身份认证
    AuthName "SVN"                 #认证名称
    AuthUserFile /svn/svnrepos/etc/.htpasswd        #指定用户名密码文件路径
    AuthzSVNAccessFile /svn/svnrepos/etc/authz      #指定authz文件路径
    Require valid-user             #有效用户可以访问
</Location>

    【注】<location>和<directiony>的区别,<location>是虚拟目录,用<location>可以隐藏真实路径,而<directory>是直接使用真实路径

3.创建.htpasswd文件并修改权限

htpasswd -bc /svn/svnrepos/etc/.htpasswd a 123
htpasswd -b /svn/svnrepos/etc/.htpasswd b 123
htpasswd -b /svn/svnrepos/etc/.htpasswd c 123
chmod 600 /svn/svnrepos/etc/.htpasswd        #修改权限提升安全性
chown -R apache.apache /svn                  #最后别忘了修改版本库目录权限
service httpd restart                        #重启服务
chmod -R 700 /svn                            #权限

4.访问

    客户端访问:启动后就可以用TortoiseSVN访问了,在url栏中输入http://serverIP/svn/test1即可访问版本库test1了,注意路径要与配置文件中配置的虚拟目录名一致即可

    浏览器访问:同时我们也可以在浏览器地址栏中,输入http://serverIP/svn/test1,用网页访问版本库,页面稍显简陋,只能查看和下载版本库文件,不能上传

5.Selinux导致认证总是通不过

    部署完成如需要开启selinux,可能会出现原本可用的认证不可用,提示permission deny,满足以下两种条件会出现这种情况:

    ①开启selinux并处于enforcing状态

    ②svn版本库根目录不在/var/www下

    于是由于库文件上下文不符被selinux拒绝访问,解决方法:修改selinux context变成http可发布的context

chcon -R system_u:object_r:httpd_sys_content_t:s0 /svn    #问题解决

四、配置apache+svn+ssl    

    配置好svn后又出现了新的需求,最近单位需要一个新库去存放一些比较重要资料和文件,要求安全性比较高

    通过http访问svn版本库虽然方便,但是http协议均采用明文传输,随便在网络上抓包用户名和密码就可能被泄露了,所以考虑采用https传输,也就是apache+svn+ssl

1.安装apache的mod_ssl模块

yum install mod_ssl
apachectl -t -D DUMP_MODULES|grep ssl        #查看apache是否已经加载了ssl_module

2.配置https

  a).生成密钥和证书

openssl genrsa -des3 -out server.key 1024
#生成服务器密钥,会提示要输入一个密码保护私钥,输入自定义密码即可,这个密码在ssl服务启动的时候也需要输入
openssl req -new -key /etc/ssl/certs/svn.key -out /etc/ssl/certs/svn.csr
#生成证书请求文件,会要求输入服务器相关信息,最后会提示输入A challenge password []:输入随机字符串即可,配合.csr文件的生成
openssl x509 -in /etc/ssl/certs/svn.csr -out /etc/ssl/certs/svn.crt -req -signkey /etc/ssl/certs/svn.key -days 3650
#自签名,生成数字证书文件,因为本机就是CA,所以直接用CA私钥加密证书请求文件,访问的时候会提示证书问题

  b).配置ssl.conf

#vim /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/ssl/certs/svn.crt
SSLCertificateKeyFile /etc/ssl/certs/svn.key

  c).重启apache

service httpd restart        #会提示输入svn.key的密码,输入后即可成功启动
netstat -ntpl|grep 443       #查看https是否启动成功

  d).配置启动https时不用手动输入密码

    配置https后,每次启动apache服务的时候都需要手动输入私钥密码,非常麻烦,而且开机启动服务自启动的时候是没法手输密码的,于是考虑配置https免交互输入密码启动

vim /etc/httpd/conf.d/ssl.conf
SSLPassPhraseDialog  exec:/var/www/cgi-bin/ssl_pass.sh    #修改输入密码的交互方式
cat << EOF > /var/www/cgi-bin/ssl_pass.sh                 #编写输入密码脚本,就一行echo就行了
#!/bin/sh
echo "password"
EOF
chmod +x /var/www/cgi-bin/ssl_pass.sh
service httpd restart                                     #不用手动输入密码就可以启动了

    【注】部署完成如需要开启selinux,会在重启apache系统试图运行密码脚本时被selinux拒绝,排错发现需要开启一个sebool值才能在selinux启动状况下成功运行自动输入密码脚本:

setsebool -P httpd_enable_cgi on                          #问题解决

3.配置加密版本库

    因为对版本库安全性要求高,于是考虑采用独立的根目录、passwd文件和authz文件,与普通的版本库区分开

mkdir -pv /svn/securerepos                                          #新建安全版本库独立的根目录
svnadmin create /svn/securerepos/securetest1                        #新建版本库
htpasswd -bc /svn/securerepos/securetest1/conf/.htpasswd abc 123    #新建版本库密码文件

 a).配置svnserve.conf

修改此版本库的svnserve.conf文件,使用独立authz文件

#vim /svn/securerepos/securetest1/conf/svnserve.conf
[general]
anon-access = none        #匿名用户无任何权限
auth-access = write       #认证通过的用户可读可写
password-db = passwd      #https和http都用不到passwd文件,用.htpasswd存储用户名和密码,所以此配置项实际上不生效
authz-db = authz          #使用独立的authz文件
realm = securetest

 b).配置httpd.conf

#vim /etc/httpd/conf/httpd.conf
<Location /securesvn>
DAV svn
SSLRequireSSL                     #必须使用https才能访问本虚拟目录
SVNParentPath /svn/securerepos    #版本库根目录
AuthType Basic
AuthName "SECURESVN"
AuthUserFile /svn/securerepos/securetest1/conf/.htpasswd      #指定用户名密码文件路径
AuthzSVNAccessFile /svn/securerepos/securetest1/conf/authz    #指定authz文件路径
Require valid-user
</Location>
chown apache.apache /svn          #修改用户和组
service httpd restart

4.访问

    客户端访问:启动后就可以用TortoiseSVN访问了,在url栏中输入https://serverIP/securesvn/securetest1即可访问版本库test1了,注意路径要与配置文件中配置的虚拟目录名一致即可

    浏览器访问:同时我们也可以在浏览器地址栏中,输入https://serverIP/securesvn/securetest1,用网页访问版本库,页面稍显简陋,只能查看和下载版本库文件,不能上传


五、配置apache+svn+ssl+radius

    接上节,配置完https虽然传输安全性得到了保证,但是用htpasswd文件管理用户名密码,管理不是很方便,安全性也算不上是很好,于是考虑到把https的版本库用户集成到单位统一的认证服务器上去,用户也就能更好的和人一一对应

    一般情况下各个单位认证用AD+ldap协议比较多,我们这用的是radius协议,于是就需要进行radius对接

    从上文配置可以看出来,svn+apache的方式认证其实是通过apache来完成的,所以想要进行radius对接需要找到相应的apache radius认证模块,原本还担心radius这种认证方式在网页认证方式中不算很常用,会不会没有相关模块,不过在网上找了找,还真找到了

下载地址:http://www.outoforder.cc/downloads/mod_auth_xradius/mod_auth_xradius-0.4.6.tar.bz2

1.安装apache的mod_auth_xradius模块

wget http://www.outoforder.cc/downloads/mod_auth_xradius/mod_auth_xradius-0.4.6.tar.bz2
yum install gcc gcc-c++ make httpd-devel    #安装gcc编译器以及apache开发包,用于编译安装模块
tar xf mod_auth_xradius-0.4.6.tar
cd mod_auth_xradius-0.4.6
./configure --with-apxs=/usr/sbin/apxs && make && make install

编译安装的模块不会自动在启动时加载,需要在配置文件中增加读取模块语句

#vim /etc/httpd/conf/httpd.conf
LoadModule auth_xradius_module modules/mod_auth_xradius.so

service httpd restart
apachectl -t -D DUMP_MODULES|grep xradius    #查看是否已经加载了xradius模块

2.修改httpd.conf里设置的认证方式

#vim /etc/httpd/conf/httpd.conf        #再次修改配置文件改变身份认证的方式为radius
<Location /securesvn>
    DAV svn
    SSLRequireSSL
    SVNParentPath /svn/securerepos
    AuthType Basic
    AuthBasicProvider xradius          #通过xradius模块进行身份认证
    AuthName "SECURESVN Radius"
    AuthXRadiusAddServer "1.1.1.1" "passwd"
    #配置radius服务器地址,以及与radius服务器认证时所需密码
    AuthXRadiusTimeout 4               #超时等待时间,单位s
    AuthXRadiusRetries 2               #失败重试次数
    #AuthUserFile /svn/securerepos/securetest1/conf/.htpasswd
    #已经采用xradius认证,就不需要htpasswd文件了,注释AuthUserFile配置项
    AuthzSVNAccessFile /svn/securerepos/securetest1/conf/authz    #注意给radius用户赋予权限
    Require valid-user
</Location>
service httpd restart

3.访问

    和apache+svn方式一样,同时支持网页和客户端的访问方式,只不过是在访问版本库的时候用户名密码改用radius的用户名和密码


    【注】需要注意的是,配置完radius认证之后,authz就需要使用radius服务器的用户名分配权限了。另外,如果radius配置了带域名的身份认证,那域名也要加上,此时,authz中配置的用户名应该形如radius_username@domain_name


六、总结

    整体思路是这样的,如果对于版本库类型有多种需求,可以根据svn客户端提供的丰富的访问方式,结合svn版本库目录结构和库配置文件,将一台svn服务器配置成多种不同类型版本库并行的模式:

    安全性要求不高的库,采用svn+http方式传输

    安全性要求的高的库,采用svn+https方式传输,并使用radius身份认证,此外还要关注最近出现的https的"心脏出血"漏洞,及时升级openssl版本修复漏洞

    当然安全是一个系统的工程,需要从网络,系统,数据库,应用多层次确保安全,不仅仅是应用上配置了https就万无一失了。不过至少从服务器层面,合理配置iptables,开启selinux提供防护,定期更新软件包,能为整个应用系统提供多一层保护

    至此apache+svn+ssl+radius就全部配置完成了,后续还会有网页版svn管理工具svnmanager的配置以及解决版本库中文目录分配权限乱码问题的相关文章,敬请关注。

    文章中如有问题,欢迎各路高手大神积极拍砖指出,互相学习,共同进步!


本文出自 “Release_My_Soul” 博客,转载请与作者联系!

你可能感兴趣的:(apache,SVN,操作系统)