Éviter d'avoir à la subversion de modifier les permissions de fichiers sous Linux.

L'ensemble de mon code de base est stockée dans un dépôt subversion, que je disperser parmi mes équilibrage de charge des serveurs web Apache, le rendant facile à vérifier le code, exécuter des mises à jour de façon transparente et obtenir mon code en développement sur la production.

L'un des inconvénients que je suis sûr qu'il est un facile à contourner (autres que l'exécution d'un script sur chaque caisse), est d'obtenir les permissions Linux set (retour) sur les fichiers qui sont mis à jour ou extrait avec subversion. Notre équipe de sécurité a défini que le Owner et Group situé dans le httpd.conf les fichiers et tous les répertoires à l'intérieur de la documentRoot reçoivent des autorisations de 700, tous les fichiers non exécutables (par exemple *.php, *.smarty, *.png) recevoir Linux autorisations de 600, tous les fichiers exécutables recevoir 700 (par exemple *.sh, *.pl, *.py). Tous les fichiers doivent avoir le propriétaire et le groupe ensemble pour apache:apache afin d'être lus par le service httpd car seul le propriétaire du fichier est réglé pour avoir accès via les autorisations.

Chaque fois que je lance un svn update, ou svn co, même si les fichiers ne peuvent pas être créés (c'est à dire svn update), je trouve que le propriétaire des fichiers est configuré le compte qui exécute les commandes svn, et la plupart du temps, les autorisations de fichier sont prêts à autre chose que ce qu'ils étaient à l'origine (c'est à dire une .fichier htm avant une mise à jour est à 600, mais après et svn update, il obtient mis à 755, ou même 777).

Quelle est la façon la plus simple de contourner la subversion tentatives de mise à jour du fichier des autorisations et la propriété? Est-il quelque chose qui peut être fait dans le svn client ou sur le serveur Linux pour conserver le fichier d'origine autorisations? Je suis en cours d'exécution RHEL5 (et maintenant 6 sur un nombre restreint de cas).

InformationsquelleAutor Scott | 2011-05-10
  1. 16

    le propriétaire des fichiers seront mis à l'utilisateur qui exécute la commande svn en raison de la façon dont il met en œuvre le sous-jacent en hausse de commande, il supprime et remplace les fichiers sont mis à jour, qui sera la cause de la propriété de changer pour l'utilisateur concerné. La seule façon d'éviter cela est de la performance de l'svn up que l'utilisateur que les fichiers sont censés être possédé. Si vous voulez vous assurer qu'ils sont détenus par un utilisateur particulier, puis d'exécuter la commande en tant qu'utilisateur.

    En ce qui concerne les autorisations, svn est seulement obéir à l'umask paramètres du compte - c'est probablement quelque chose comme 066 - afin de s'assurer que le fichier est inaccessible pour le groupe et d'autres comptes, vous devez envoyer un 'umask 077' avant de faire le svn up, cela garantit que les fichiers ne sont accessibles que pour le compte de l'utilisateur exécutant la commande.

    Je prêter attention à la question de la sécurité de déploiement de la subversion des données dans le serveur web, à moins que l' .svn répertoires sont garantis.

    • +1 pour appeler l'attention sur les conséquences potentielles pour .svn. Bon appel.
    • Je suis dans le même problème. Avant j'utiliser le svnkit (java svn), où n'ont pas ce comportement, il en mesure de garder le propriétaire du fichier... mais elle est très lente... de quoi me faire changer d'original version svn. Je manque beaucoup cette "fonctionnalité" .
    • Ce n'est pas précis. Vous pouvez utiliser setgid sur les répertoires d'appliquer un groupe en tant que propriétaire. J'ai répondu avec plus de détails ici: stackoverflow.com/a/42800354/2578286
    InformationsquelleAutor Petesh
  2. 9

    Vous pouvez stocker des propriétés sur un fichier dans la Subversion (voir http://svnbook.red-bean.com/en/1.0/ch07s02.html). Vous êtes particulièrement intéressé dans le svn:exécutable propriété, assurez-vous que le fichier exécutable de l'autorisation est stocké.

    Il n'y a pas de façon de le faire pour toutes les autorisations, si. Subversion ne pas stocker la propriété soit - il suppose que, si vous regardez quelque chose, vous en êtes propriétaire.

    InformationsquelleAutor thomson_matt
  3. 1

    Une chose que vous pouvez envisager de le faire est d'installer l' svn binaires en dehors de votre chemin, et de mettre un script de changement (et /usr/bin/svn, ou quoi que ce soit) dans le chemin d'accès. Le script devrait ressembler à quelque chose comme ceci:

    #!/bin/sh

# set umask, whatever else you need to do before svn commands

/opt/svn/svn $* # pass all arguments to the actual svn binary, stored outside the PATH

# run chmod, whatever else you need to do after svn commands

    Un certain inconvénient est que vous aurez probablement à faire une certaine quantité de l'analyse des arguments passés à svn, c'est à dire si vous pouvez passer le même chemin d'accès à votre chmod, pas de chmod pour la plupart des commandes svn, etc.

    Il y a aussi probablement des considérations de sécurité ici. Je ne sais pas ce que votre environnement de déploiement, c'est comme, mais vous devriez étudier un peu plus loin.

    InformationsquelleAutor ACK_stoverflow
  4. 1

    J'ai écrit un petit script qui stocke des autorisations et de la propriétaire, exécute votre commande SVN et restaure les autorisations et le propriétaire.
    C'est n'est probablement pas hackerproof mais pour un usage privé, il fait le travail.

    svnupdate.sh:

    #!/usr/bin/env bash
if [ $# -eq 0 ]; then
    echo "Syntax: $0 <filename>"
    exit
fi

IGNORENEXT=0
COMMANDS=''
FILES='';
for FILENAME in "$@"
do
    if [[ $IGNORENEXT > 0 ]]; then
        IGNORENEXT=0
    else
        case $FILENAME in
            # global, shift argument if needed
            --username|--password|--config-dir|--config-option)
            IGNORENEXT=1
            ;;
            --no-auth-cache|--non-interactive|--trust-server-cert)
            ;;
            # update arguments, shift argument if needed
            -r|--revision|--depth|--set-depth|--diff3-cmd|--changelist|--editor-cmd|--accept)
            IGNORENEXT=1
            ;;
            -N|--non-recursive|-q|--quiet|--force|--ignore-externals)
            ;;
            *)
            if [ -f $FILENAME ]; then
                FILES="$FILES $FILENAME"
                OLDPERM=$(stat -c%a $FILENAME)
                OLDOWNER=$(stat -c%U $FILENAME)
                OLDGROUP=$(stat -c%G $FILENAME)
                FILECOMMANDS="chmod $OLDPERM $FILENAME; chown $OLDOWNER.$OLDGROUP $FILENAME;"
                COMMANDS="$COMMANDS $FILECOMMANDS"
                echo "COMMANDS: $FILECOMMANDS"
            else
                echo "File not found: $FILENAME"
            fi
            ;;
        esac
    fi
done
OUTPUT=$(svn update "$@")
echo "$OUTPUT"
if [[ ( $? -eq 0 ) && ( $OUTPUT != Skipped* ) && ( $OUTPUT != "At revision"* ) ]]; then
    bash -c "$COMMANDS"
    ls -l $FILES
fi
    InformationsquelleAutor Gerben Versluis
  5. 1

    Vous pouvez résoudre ce. Utilisation setgid.

    1. Vous avez apache:apache exécutant le serveur

    2. Ensemble autorisation de groupe sur tous les fichiers et répertoires. Le serveur va lire les fichiers par groupe

    3. Ensemble setgid sur tous les répertoires uniquement sur les répertoires: réglage de ce paramètre sur des fichiers a une fonction différente

      Exemple ('2' setgid):

      chmod 2750

    4. Faire apache le groupe de tous les répertoires

    Ce qui se passe est

    • De nouveaux fichiers et répertoires créés par tout compte seront détenus par la apache groupe

    • De nouveaux répertoires héritera de la setgid et, ainsi, de préserver la structure, sans aucun effort

    Voir https://en.wikipedia.org/wiki/Setuid#setuid_and_setgid_on_directories

    InformationsquelleAutor Bell
  6. 0

    J'ai également eu un problème similaire.
    J'ai trouvé un super script: asvn (Archive SVN).

    Vous pouvez le télécharger ici:
    https://svn.apache.org/repos/asf/subversion/trunk/contrib/client-side/asvn

    Description:
Archive SVN (asvn) will allow the recording of file types not
normally handled by svn. Currently this includes devices,
symlinks and file ownership/permissions.

Every file and directory has a 'file:permissions' property set and
every directory has a 'dir:devices' and 'dir:symlinks' for
recording the extra information.

Run this script instead of svn with the normal svn arguments.

    Cette entrée de blog (qui m'aide à trouver le script) http://jon.netdork.net/2010/06/28/configuration-management-part-ii-setting-up-svn/ montre une utilisation simple.

    InformationsquelleAutor Ilya Bystrov