Est-il possible d'avoir un personnalisé .gitignore? L'accès en lecture seule?

1. Mettre votre privé ignorer les règles en .git/info/exclude. Voir gitignore(5).
2. Pour un accès en lecture seule, utilisez git-daemon, un serveur web, ou Gitosis, ou Gitolite.

Pour le ssh, vous devriez envisager d'utiliser Gitolite (un remplaçant pour gitosis).

Vous pouvez être intéressé par un mise à jour de crochet que Junio a écrit et que Carl améliorée. Placez le code ci-dessous dans $GIT_DIR/hooks/update et n'oubliez pas de l'activer avec chmod +x.

#!/bin/bash

umask 002

# If you are having trouble with this access control hook script
# you can try setting this to true.  It will tell you exactly
# why a user is being allowed/denied access.

verbose=false

# Default shell globbing messes things up downstream
GLOBIGNORE=*

function grant {
  $verbose && echo >&2 "-Grant-     $1"
  echo grant
  exit 0
}

function deny {
  $verbose && echo >&2 "-Deny-      $1"
  echo deny
  exit 1
}

function info {
  $verbose && echo >&2 "-Info-      $1"
}

# Implement generic branch and tag policies.
# - Tags should not be updated once created.
# - Branches should only be fast-forwarded unless their pattern starts with '+'
case "$1" in
  refs/tags/*)
    git rev-parse --verify -q "$1" &&
    deny >/dev/null "You can't overwrite an existing tag"
    ;;
  refs/heads/*)
    # No rebasing or rewinding
    if expr "$2" : '0*$' >/dev/null; then
      info "The branch '$1' is new..."
    else
      # updating -- make sure it is a fast-forward
      mb=$(git-merge-base "$2" "$3")
      case "$mb,$2" in
        "$2,$mb") info "Update is fast-forward" ;;
    *)    noff=y; info "This is not a fast-forward update.";;
      esac
    fi
    ;;
  *)
    deny >/dev/null \
    "Branch is not under refs/heads or refs/tags.  What are you trying to do?"
    ;;
esac

# Implement per-branch controls based on username
allowed_users_file=$GIT_DIR/info/allowed-users
username=$(id -u -n)
info "The user is: '$username'"

if test -f "$allowed_users_file"
then
  rc=$(cat $allowed_users_file | grep -v '^#' | grep -v '^$' |
    while read heads user_patterns
    do
      # does this rule apply to us?
      head_pattern=${heads#+}
      matchlen=$(expr "$1" : "${head_pattern#+}")
      test "$matchlen" = ${#1} || continue

      # if non-ff, $heads must be with the '+' prefix
      test -n "$noff" &&
      test "$head_pattern" = "$heads" && continue

      info "Found matching head pattern: '$head_pattern'"
      for user_pattern in $user_patterns; do
    info "Checking user: '$username' against pattern: '$user_pattern'"
    matchlen=$(expr "$username" : "$user_pattern")
    if test "$matchlen" = "${#username}"
    then
      grant "Allowing user: '$username' with pattern: '$user_pattern'"
    fi
      done
      deny "The user is not in the access list for this branch"
    done
  )
  case "$rc" in
    grant) grant >/dev/null "Granting access based on $allowed_users_file" ;;
    deny)  deny  >/dev/null "Denying  access based on $allowed_users_file" ;;
    *) ;;
  esac
fi

allowed_groups_file=$GIT_DIR/info/allowed-groups
groups=$(id -G -n)
info "The user belongs to the following groups:"
info "'$groups'"

if test -f "$allowed_groups_file"
then
  rc=$(cat $allowed_groups_file | grep -v '^#' | grep -v '^$' |
    while read heads group_patterns
    do
      # does this rule apply to us?
      head_pattern=${heads#+}
      matchlen=$(expr "$1" : "${head_pattern#+}")
      test "$matchlen" = ${#1} || continue

      # if non-ff, $heads must be with the '+' prefix
      test -n "$noff" &&
      test "$head_pattern" = "$heads" && continue

      info "Found matching head pattern: '$head_pattern'"
      for group_pattern in $group_patterns; do
    for groupname in $groups; do
      info "Checking group: '$groupname' against pattern: '$group_pattern'"
      matchlen=$(expr "$groupname" : "$group_pattern")
      if test "$matchlen" = "${#groupname}"
      then
        grant "Allowing group: '$groupname' with pattern: '$group_pattern'"
      fi
        done
      done
      deny "None of the user's groups are in the access list for this branch"
    done
  )
  case "$rc" in
    grant) grant >/dev/null "Granting access based on $allowed_groups_file" ;;
    deny)  deny  >/dev/null "Denying  access based on $allowed_groups_file" ;;
    *) ;;
  esac
fi

deny >/dev/null "There are no more rules to check.  Denying access"

Avec ce crochet en place, vous devez ensuite donner à certains utilisateurs ou groupes pour faire des modifications dans le référentiel. Quelqu'un d'autre qui peut voir qu'il a un accès en lecture seule.

Il utilise deux fichiers, $GIT_DIR/info/allowed-users et allowed-groups, pour décrire les chefs peut être poussé dans par qui. Le format de chaque fichier devrait ressembler à ceci:

refs/heads/master  junio
+refs/heads/pu     junio
refs/heads/cogito$ pasky
refs/heads/bw/.*   linus
refs/heads/tmp/.*  .*
refs/tags/v[0-9].* junio

Avec cela, Linus peut pousser, ou de créer bw/penguin ou bw/zebra ou bw/panda branches, Pasky ne peut faire que cogito, et JC pouvez faire master et pu branches et de faire de version tags. Et n'importe qui peut faire tmp/blah branches. Le signe " + " à la pu enregistrement signifie que JC peut rendre non-fast-forward pousse.

Si cette personne n'a pas déjà ont accès à l'hôte sur lequel votre référentiel de vies, peut-être que personne ne devrait avoir qu' git-shell accès plutôt que d'un accès illimité. Créer un objectif spécifique et les utilisateurs de git et dans ~git/.ssh/authorized_keys, ajouter l'outsider de la clé SSH dans le formulaire ci-dessous. Notez que la clé doit être sur une ligne longue, mais j'ai regroupé ci-dessous à l'aide de la présentation.

pas-agent-forwarding,no-port-forwarding,no-pty,no-X11-forwarding, 
command="env myorg_git_user=joeuser /usr/local/bin/git-shell -c 
\"${SSH_ORIGINAL_COMMAND:- }\"" ssh-rsa AAAAB3...2iQ== [email protected]

En fonction de votre configuration, vous devrez peut-être ajuster le chemin d'accès à git-shell. Rappelez-vous que sshd est très paranoïaque sur les autorisations de la .ssh répertoire, c'est donc au tour de son groupe-écrire bits et tous les fichiers en-dessous d'elle.

De rediriger tout le monde par les utilisateurs de git signifie que vous devez être en mesure de dire aux gens à part, et c'est le but de la myorg_git_user variable d'environnement. Au lieu de compter sur une inconditionnelle de la username=$(id -u -n), modifier votre jour de crochet pour l'utiliser:

# Implement per-branch controls based on username
allowed_users_file=$GIT_DIR/info/allowed-users
if [ -z "$myorg_git_user" ]; then
  username=$(id -u -n)
else
  username=$myorg_git_user
fi
info "The user is: '$username'"

Avec cette configuration, votre ami avec un accès en lecture seule permet de cloner avec une commande ressemblant à celui ci-dessous. Le chemin d'accès particulier dépendra de votre configuration. Pour faire le beau travail sur la voie, soit de déplacer votre référentiel git répertoire home de l'utilisateur ou créer un lien symbolique qui pointe vers elle.

$ git clone [email protected]:coolproject.git

mais ne sera pas en mesure de faire des mises à jour.

$ git push origin mybranch 
Total 0 (delta 0), réutilisé 0 (delta 0) 
distance: erreur: crochet a refusé de mise à jour refs/heads/mybranch 
Pour [email protected]:coolproject.git 
! [remote rejeté] mybranch -> mybranch (crochet diminué) 
erreur: impossible de pousser des refs à '[email protected]:coolproject.git'

Vous avez dit que vous travaillez dans un environnement d'équipe, donc je suppose que votre référentiel central a été créé avec le --shared option. (Voir core.sharedRepository dans le git config de la documentation et --shared dans le git init de la documentation.) Assurez-vous que les nouveaux utilisateurs de git est un membre du groupe système qui nous permet à tous, vous avez accès à votre référentiel central.