क्या आप ssh के माध्यम से केवल git कमांड के एक्सेस को प्रतिबंधित करने के लिए .ssh / अधिकृत_keys में git-shell निर्दिष्ट कर सकते हैं?

मैं प्रमाणीकरण के लिए एक ssh कुंजी का उपयोग करने में सक्षम होना चाहता हूं, लेकिन अभी भी ssh सुरंग पर निष्पादित की जा सकने वाली कमांड को प्रतिबंधित कर सकता है।

तोड़फोड़ के साथ, मैंने .ssh / अधिकृत_keys फ़ाइल का उपयोग करके इसे प्राप्त किया है:

command="/usr/local/bin/svnserve -t --tunnel-user matt -r /path/to/repository",no-port-forwarding,no-agent-forwarding,no-X11-forwarding,no-pty ssh-rsa AAAAB3NzaC1yc2EAAAABIetc...

मैंने इसके लिए कमांड में "/ usr / bin / git-shell" के साथ कोशिश की है, लेकिन मुझे अभी फंकी पुरानी fatal: What do you think I am? A shell?त्रुटि संदेश मिला है।

निम्नलिखित मेरे लिए काम करता है।

इन ~/.ssh/authorized_keys:

command="./gitserve",no-port-forwarding,no-agent-forwarding,no-X11-forwarding,no-pty ssh-dss AAAAB…

में ~/gitserveस्क्रिप्ट:

#!/bin/sh
exec git-shell -c "$SSH_ORIGINAL_COMMAND"

ध्यान दें कि यदि आप gitserveघर की निर्देशिका के अलावा कहीं और रखते हैं, तो आपको command="./gitserve"पैरामीटर को समायोजित करना होगा authorized_keys।

मैं एक अतिरिक्त स्क्रिप्ट का उपयोग किए बिना सीधे अधिकृतके फ़ाइल में गिट-शेल का सफलतापूर्वक उपयोग कर सकता हूं।

कुंजी को \"env चर के चारों ओर जोड़ना है ।

Rhel6 ओपनश-सर्वर-5.3p1-70.el6.x86_64 में परीक्षण किया गया:

no-port-forwarding,no-agent-forwarding,command="git-shell -c \"$SSH_ORIGINAL_COMMAND\"" ssh-dss AAAA...

Grawity 's समाधान को लाइन में बदलकर काम करने के लिए आसानी से संशोधित किया जा सकता है

        exec $SSH_ORIGINAL_COMMAND

रेखा के साथ

        git-shell -c "$SSH_ORIGINAL_COMMAND"

उद्धरण ऊपर बताए गए मुद्दों का ध्यान रखते हैं, और गिट-शेल के साथ निष्पादन को प्रतिस्थापित करना थोड़ा अधिक सुरक्षित लगता है।

git-shellको एक लॉगिन शेल के रूप में उपयोग करने के लिए डिज़ाइन किया गया है, ताकि इसे -c "originalcommand"तर्क के रूप में प्राप्त किया जा सके। ओपनएसएसएच में "मजबूर कमांड" के साथ ऐसा नहीं होता है; इसके बजाय, मजबूर कमांड को कॉन्फ़िगर शेल में पास किया गया है।

आप जो भी कर सकते हैं वह एक स्क्रिप्ट लिखता है जो $SSH_ORIGINAL_COMMANDइसे जांचता है और निष्पादित करता है। बाश में उदाहरण :

#!/bin/bash

SSH_ORIGINAL_COMMAND=${SSH_ORIGINAL_COMMAND/#git /git-}

case $SSH_ORIGINAL_COMMAND in
    "git-receive-pack"*|"git-upload-pack"*|"git-upload-archive"*)
        eval exec $SSH_ORIGINAL_COMMAND
        ;;
    *)
        echo "Go away." >&2
        exit 1
        ;;
esac

मुझे उसी कारण से काम करने के लिए ग्रेविटी का समाधान नहीं मिल सका है, जो नील मेव्यू द्वारा रिपोर्ट किया गया था (यानी, गिट क्लाइंट द्वारा भेजे गए एकल उद्धरण एक अवैध कारण है $SSH_ORIGINAL_COMMAND- मैं उपयोग कर रहा हूं git v1.7.x)

हालाँकि, @moocode द्वारा लागू किया गया निम्न समाधान सिर्फ काम करता है:

https://moocode.com/posts/6-code-your-own-multi-user-private-git-server-in-5-minutes

रूबी FTW! :-)

पूर्णता के लिए, और चूंकि मूल प्रश्न में यह निर्दिष्ट नहीं किया गया था कि एक ही खाते को गैर-जीआईटी चीजों के लिए उपयोग git-shellकरने योग्य होना था , इसलिए इसका उपयोग करने के लिए डिज़ाइन किए गए के रूप में स्पष्ट उत्तर का उपयोग करना है: इसे लॉगिन शेल (यानी usermod, के साथ सेट करें ) में /etc/passwd) है कि ssh उपयोगकर्ता के लिए।

यदि आपके पास एक एकल उपयोगकर्ता खाता है जिसे आप दो तरीकों से उपयोग करना चाहते हैं:

• कुंजी प्रमाणीकरण के साथ कनेक्ट करते समय, केवल गिट के लिए उपयोग करें
• पासवर्ड प्रमाणीकरण के साथ कनेक्ट होने पर, या एक अलग निजी कुंजी का उपयोग करके, एक पूर्ण शेल प्रदान करें

... तो इस सूत्र में अन्य उत्तर लागू होते हैं। लेकिन अगर आप एक अलग उपयोगकर्ता को गिट करने के लिए आवंटित करने का जोखिम उठा सकते हैं, तो इसका खोल सेट git-shellकरना इसे प्रतिबंधित करने का सबसे सरल तरीका है, और थोड़ा अधिक सुरक्षित है क्योंकि इसके लिए अतिरिक्त शेल स्क्रिप्ट की आवश्यकता नहीं है।