单位最近要上个新项目,要给项目组弄个SVN服务器,原来没弄过,那就边研究边摸索着来吧,废话不多说,下面直接开始
【环境】Centos6.4 X86_64 minimum,iptables,selinux已关闭,所需软件包采取yum安装方式
【SVN客户端软件】TortoiseSVN
一、不得不说的svn客户端的4种访问方式
先说说apache+svn,安装subversion包之后能用客户端访问了,但是不能从网页访问,于是考虑到集成apache和svn,提供更亲和的网页访问方式,但是配置完网页访问后傻眼了,一个简陋的版本库页面,只能浏览和下载不能上传,看来客户端访问还是主流
但是转念一想客户端也有版本库浏览器,同时还能上传下载,那要apache+svn干什么,直到我看到同事误把我写的服务器使用说明文档里的网页访问地址http://serverIP/svn/test粘贴到TortoiseSVN客户端的url里,居然也访问成功了,我才意识到apache+svn和单独的subversion是两种完全不同的访问方式
原来以为apache+svn必须在subversion启动的条件下同时启动apache,并且保持subversion和apache配置完全一致才行,弄明白了之后才发现完全不是这么回事
实际上apache+svn是通过http协议80端口访问版本库,subversion是通过svn协议的3690端口访问版本库,这两种方式互不干涉,可以只启动80,不启动3690,也可以只启3690,不启80,还可以同时启动80和3690,甚至这两种方式的版本库根目录都可以不同的,用户名和密码也可以不同,apache+svn用的是htpasswd的用户名和密码,subversion用的是svnserve.conf指定的passwd文件里的用户名和密码,说白了apache+svn和单独的svn服务是两种完全不同svn服务类型
OK,做个总结:
实际上TortoiseSVN支持总共4种访问方式
①svn也就是独立的subversion服务,通过3690端口访问
②http也就是apache+svn,通过80端口访问
③https也就是apache+svn+ssl,通过443端口访问
④svn+ssh也就是ssh+svn,这种稍微特殊,借用ssh隧道访问svn版本库,通过22端口访问,本文不涉及这种访问方式,有兴趣的话大家可以自己去查相关资料
【注】windows有个visualsvn好像是直接集成的apache和svn,不知道visualsvn是否有网页上传功能呢。因为一般在linux上部署svn性能更好,安全稳定性更高,所以就没研究windows的svn,大家有兴趣的话可以自己安装个visualsvn试试
二、配置svn服务
1.安装
yum install subversion
2.创建版本库
mkdir -pv /svn/svnrepos svnadmin create /svn/svnrepos/test1 #命令格式:svnadmin create [repopath]
3.配置文件
查看test1下的conf目录,会发现有三个配置文件:
svnserve.conf:此版本库的总配置文件
passwd:库用户名密码文件
authz:库权限配置文件
多库共用同一个passwd和authz文件,便于管理。于是在库根目录下建立etc文件夹存放公共配置文件:
mkdir -pv /svn/svnrepos/etc cp /svn/svnrepos/test1/conf/{passwd,authz} /svn/svnrepos/etc/
a).svnserve.conf配置项
[general] anon-access = none #匿名用户无任何权限,如果想匿名用户可读,设置为read即可,默认read auth-access = write #认证通过的用户可读可写 password-db = /svn/svnrepos/etc/passwd #用户名密码文件存放位置 authz-db = /svn/svnrepos/etc/authz #库权限配置文件存放位置 realm = test #认证域名,相同认证域名的库的密码缓存可以在多个版本库之间共享
【注】默认每个库都有一个的svnserve.conf,如想所有库共用一个svnserve.conf,可以在启动svn服务的时候添加--config-file=filename参数,svn服务启动的时候就不会再去读取任何一个库的配置文件,而会读参数指定的svnserve.conf
这个方法优点是方便,缺点是缺乏灵活性,如果你有一个库想用一套独立的passwd和authz,用这方法就行不通了。通常是每个库单独配置自己的svnserve.conf,大部分库用同一个passwd和authz,有特殊的库用自己独立的passwd和authz文件
b).passwd配置项
[users] harry = harryssecret #定义库的用户和密码,格式为username = passwd sally = sallyssecret tom = tomssecret
c).authz配置项
[groups] #定义组和成员 devteam = harry,sally #格式为groupname = member1,member2 [test1:/] #定义test1库根目录的访问权限 * = r #所有用户可读 @devteam = rw #开发组成员读写,注意组名前面要加@ [test1:/tomproject] #定义test1下tomproject文件夹的权限 tom = rw #tom读写
【注】版本库中,子目录继承父目录的权限
4.启停svn服务
a).启动
svnserve -d -r /svn/svnrepos # -d 以守护进程的方式运行svn服务 # -r 指定版本库根目录 # --listen-port 指定监听端口,默认端口3690
b).停止
kill `ps aux|grep svn|grep -v 'grep'|awk '{print $2}'`
c).重启脚本
#!/bin/bash kill `ps aux|grep svn|grep -v 'grep'|awk '{print $2}'` if [ $? = 0 ] then echo "Stop Svnserve successful!" fi sleep 1 svnserve -d -r /svn/svnrepos if [ $? = 0 ] then echo "Start Svnserve successful!" fi
5.访问
客户端访问:启动后就可以用TortoiseSVN访问了,在url栏中输入svn://serverIP:[port]/test1即可访问版本库test1了,默认不用加端口,如果修改过svn端口号,就需要在服务器地址后面加上端口
【注】同时运行多个库是和svn服务启动的时候的版本库根目录(-r参数)有直接关系的,在版本库根目录底下建多个库,启动的时候就可以把这些库一并启动起来,登录的时候只需要指定不同的库名即可
看网上还有文章讨论说只运行一个库,这个库底下放着三个项目的文件夹,然后用不同用户组和权限去限制访问,这样有以下几个问题:
①每个项目文件有变动的时候,版本号都会增加,分不清楚是哪个项目增加的
②备份的时候效率很低,必须得三个项目一起备份,没法单独备份其中一个项目
③随着版本号的增加,版本库的冗余会越来越大,所占空间也会很多
但其好处是可以一次备份多个项目
选择什么方式运行见仁见智,适合实际环境的方式就是最好的,大家自己选择吧
6.删除版本库
删除整库是没有svnadmin remove这种命令的,直接rm -rf删除整个库文件夹即可
三、配置apache+svn
1.安装apache和apache的mod_dav_svn模块
yum install httpd mod_dav_svn #安装apache和apache的svn模块 apachectl -t -D DUMP_MODULES|grep svn #查看apache是否已经加载了dav_svn_module和authz_svn_module 一般yum安装的apache模块都会在启动时自动加载,如果尚未加载,在http.conf文件中添加如下内容后重启httpd服务即可 #vim /etc/httpd/conf/httpd.conf LoadModule dav_svn_module modules/mod_dav_svn.so LoadModule authz_svn_module modules/mod_authz_svn.so 此外,鉴于svn需要列出文件夹内容,建议把apache的默认列目录功能关闭,防止svn以外的目录被列出结构,提升安全性 sed -i '/Options Indexes/s/Indexes/-Indexes/' /etc/httpd/conf/httpd.conf #其中"-"表示不允许列目录
2.配置httpd.conf
#vim /etc/httpd/conf/httpd.conf <Location /svn> DAV svn #使用svn模块 SVNParentPath /svn/svnrepos #svn版本库根目录 AuthType Basic #认证类型:基本身份认证 AuthName "SVN" #认证名称 AuthUserFile /svn/svnrepos/etc/.htpasswd #指定用户名密码文件路径 AuthzSVNAccessFile /svn/svnrepos/etc/authz #指定authz文件路径 Require valid-user #有效用户可以访问 </Location>
【注】<location>和<directiony>的区别,<location>是虚拟目录,用<location>可以隐藏真实路径,而<directory>是直接使用真实路径
3.创建.htpasswd文件并修改权限
htpasswd -bc /svn/svnrepos/etc/.htpasswd a 123 htpasswd -b /svn/svnrepos/etc/.htpasswd b 123 htpasswd -b /svn/svnrepos/etc/.htpasswd c 123 chmod 600 /svn/svnrepos/etc/.htpasswd #修改权限提升安全性 chown -R apache.apache /svn #最后别忘了修改版本库目录权限 service httpd restart #重启服务 chmod -R 700 /svn #权限
4.访问
客户端访问:启动后就可以用TortoiseSVN访问了,在url栏中输入http://serverIP/svn/test1即可访问版本库test1了,注意路径要与配置文件中配置的虚拟目录名一致即可
浏览器访问:同时我们也可以在浏览器地址栏中,输入http://serverIP/svn/test1,用网页访问版本库,页面稍显简陋,只能查看和下载版本库文件,不能上传
5.Selinux导致认证总是通不过
部署完成如需要开启selinux,可能会出现原本可用的认证不可用,提示permission deny,满足以下两种条件会出现这种情况:
①开启selinux并处于enforcing状态
②svn版本库根目录不在/var/www下
于是由于库文件上下文不符被selinux拒绝访问,解决方法:修改selinux context变成http可发布的context
chcon -R system_u:object_r:httpd_sys_content_t:s0 /svn #问题解决
四、配置apache+svn+ssl
配置好svn后又出现了新的需求,最近单位需要一个新库去存放一些比较重要资料和文件,要求安全性比较高
通过http访问svn版本库虽然方便,但是http协议均采用明文传输,随便在网络上抓包用户名和密码就可能被泄露了,所以考虑采用https传输,也就是apache+svn+ssl
1.安装apache的mod_ssl模块
yum install mod_ssl apachectl -t -D DUMP_MODULES|grep ssl #查看apache是否已经加载了ssl_module
2.配置https
a).生成密钥和证书
openssl genrsa -des3 -out server.key 1024 #生成服务器密钥,会提示要输入一个密码保护私钥,输入自定义密码即可,这个密码在ssl服务启动的时候也需要输入 openssl req -new -key /etc/ssl/certs/svn.key -out /etc/ssl/certs/svn.csr #生成证书请求文件,会要求输入服务器相关信息,最后会提示输入A challenge password []:输入随机字符串即可,配合.csr文件的生成 openssl x509 -in /etc/ssl/certs/svn.csr -out /etc/ssl/certs/svn.crt -req -signkey /etc/ssl/certs/svn.key -days 3650 #自签名,生成数字证书文件,因为本机就是CA,所以直接用CA私钥加密证书请求文件,访问的时候会提示证书问题
b).配置ssl.conf
#vim /etc/httpd/conf.d/ssl.conf SSLCertificateFile /etc/ssl/certs/svn.crt SSLCertificateKeyFile /etc/ssl/certs/svn.key
c).重启apache
service httpd restart #会提示输入svn.key的密码,输入后即可成功启动 netstat -ntpl|grep 443 #查看https是否启动成功
d).配置启动https时不用手动输入密码
配置https后,每次启动apache服务的时候都需要手动输入私钥密码,非常麻烦,而且开机启动服务自启动的时候是没法手输密码的,于是考虑配置https免交互输入密码启动
vim /etc/httpd/conf.d/ssl.conf SSLPassPhraseDialog exec:/var/www/cgi-bin/ssl_pass.sh #修改输入密码的交互方式 cat << EOF > /var/www/cgi-bin/ssl_pass.sh #编写输入密码脚本,就一行echo就行了 #!/bin/sh echo "password" EOF chmod +x /var/www/cgi-bin/ssl_pass.sh service httpd restart #不用手动输入密码就可以启动了
【注】部署完成如需要开启selinux,会在重启apache系统试图运行密码脚本时被selinux拒绝,排错发现需要开启一个sebool值才能在selinux启动状况下成功运行自动输入密码脚本:
setsebool -P httpd_enable_cgi on #问题解决
3.配置加密版本库
因为对版本库安全性要求高,于是考虑采用独立的根目录、passwd文件和authz文件,与普通的版本库区分开
mkdir -pv /svn/securerepos #新建安全版本库独立的根目录 svnadmin create /svn/securerepos/securetest1 #新建版本库 htpasswd -bc /svn/securerepos/securetest1/conf/.htpasswd abc 123 #新建版本库密码文件
a).配置svnserve.conf
修改此版本库的svnserve.conf文件,使用独立authz文件 #vim /svn/securerepos/securetest1/conf/svnserve.conf [general] anon-access = none #匿名用户无任何权限 auth-access = write #认证通过的用户可读可写 password-db = passwd #https和http都用不到passwd文件,用.htpasswd存储用户名和密码,所以此配置项实际上不生效 authz-db = authz #使用独立的authz文件 realm = securetest
b).配置httpd.conf
#vim /etc/httpd/conf/httpd.conf <Location /securesvn> DAV svn SSLRequireSSL #必须使用https才能访问本虚拟目录 SVNParentPath /svn/securerepos #版本库根目录 AuthType Basic AuthName "SECURESVN" AuthUserFile /svn/securerepos/securetest1/conf/.htpasswd #指定用户名密码文件路径 AuthzSVNAccessFile /svn/securerepos/securetest1/conf/authz #指定authz文件路径 Require valid-user </Location> chown apache.apache /svn #修改用户和组 service httpd restart
4.访问
客户端访问:启动后就可以用TortoiseSVN访问了,在url栏中输入https://serverIP/securesvn/securetest1即可访问版本库test1了,注意路径要与配置文件中配置的虚拟目录名一致即可
浏览器访问:同时我们也可以在浏览器地址栏中,输入https://serverIP/securesvn/securetest1,用网页访问版本库,页面稍显简陋,只能查看和下载版本库文件,不能上传
五、配置apache+svn+ssl+radius
接上节,配置完https虽然传输安全性得到了保证,但是用htpasswd文件管理用户名密码,管理不是很方便,安全性也算不上是很好,于是考虑到把https的版本库用户集成到单位统一的认证服务器上去,用户也就能更好的和人一一对应
一般情况下各个单位认证用AD+ldap协议比较多,我们这用的是radius协议,于是就需要进行radius对接
从上文配置可以看出来,svn+apache的方式认证其实是通过apache来完成的,所以想要进行radius对接需要找到相应的apache radius认证模块,原本还担心radius这种认证方式在网页认证方式中不算很常用,会不会没有相关模块,不过在网上找了找,还真找到了
下载地址:http://www.outoforder.cc/downloads/mod_auth_xradius/mod_auth_xradius-0.4.6.tar.bz2
1.安装apache的mod_auth_xradius模块
wget http://www.outoforder.cc/downloads/mod_auth_xradius/mod_auth_xradius-0.4.6.tar.bz2 yum install gcc gcc-c++ make httpd-devel #安装gcc编译器以及apache开发包,用于编译安装模块 tar xf mod_auth_xradius-0.4.6.tar cd mod_auth_xradius-0.4.6 ./configure --with-apxs=/usr/sbin/apxs && make && make install 编译安装的模块不会自动在启动时加载,需要在配置文件中增加读取模块语句 #vim /etc/httpd/conf/httpd.conf LoadModule auth_xradius_module modules/mod_auth_xradius.so service httpd restart apachectl -t -D DUMP_MODULES|grep xradius #查看是否已经加载了xradius模块
2.修改httpd.conf里设置的认证方式
#vim /etc/httpd/conf/httpd.conf #再次修改配置文件改变身份认证的方式为radius <Location /securesvn> DAV svn SSLRequireSSL SVNParentPath /svn/securerepos AuthType Basic AuthBasicProvider xradius #通过xradius模块进行身份认证 AuthName "SECURESVN Radius" AuthXRadiusAddServer "1.1.1.1" "passwd" #配置radius服务器地址,以及与radius服务器认证时所需密码 AuthXRadiusTimeout 4 #超时等待时间,单位s AuthXRadiusRetries 2 #失败重试次数 #AuthUserFile /svn/securerepos/securetest1/conf/.htpasswd #已经采用xradius认证,就不需要htpasswd文件了,注释AuthUserFile配置项 AuthzSVNAccessFile /svn/securerepos/securetest1/conf/authz #注意给radius用户赋予权限 Require valid-user </Location> service httpd restart
3.访问
和apache+svn方式一样,同时支持网页和客户端的访问方式,只不过是在访问版本库的时候用户名密码改用radius的用户名和密码
【注】需要注意的是,配置完radius认证之后,authz就需要使用radius服务器的用户名分配权限了。另外,如果radius配置了带域名的身份认证,那域名也要加上,此时,authz中配置的用户名应该形如radius_username@domain_name
六、总结
整体思路是这样的,如果对于版本库类型有多种需求,可以根据svn客户端提供的丰富的访问方式,结合svn版本库目录结构和库配置文件,将一台svn服务器配置成多种不同类型版本库并行的模式:
安全性要求不高的库,采用svn+http方式传输
安全性要求的高的库,采用svn+https方式传输,并使用radius身份认证,此外还要关注最近出现的https的"心脏出血"漏洞,及时升级openssl版本修复漏洞
当然安全是一个系统的工程,需要从网络,系统,数据库,应用多层次确保安全,不仅仅是应用上配置了https就万无一失了。不过至少从服务器层面,合理配置iptables,开启selinux提供防护,定期更新软件包,能为整个应用系统提供多一层保护
至此apache+svn+ssl+radius就全部配置完成了,后续还会有网页版svn管理工具svnmanager的配置以及解决版本库中文目录分配权限乱码问题的相关文章,敬请关注。
文章中如有问题,欢迎各路高手大神积极拍砖指出,互相学习,共同进步!
本文出自 “Release_My_Soul” 博客,转载请与作者联系!