1 votos

SVN de configuración de acceso a

He heredado un Fedora 17 de servidor que se utiliza para alojar repositorios de Subversion.

Pensé que estaba configurado con un acceso muy limitado, pero algunas pruebas de hoy revelan que no hay ningún control de acceso en absoluto, universal RW, oops.

Aquí hay alguna información en el sistema:

uname-a

Linux 3.9.10-100.fc17.x86_64 #1 SMP Dom Jul 14 01:31:27 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux

httpd -v

La versión del servidor: Apache/2.2.23 (Unix) Servidor de construcción: 29 de enero de 2013 12:37:17

Aquí es un fragmento de la parte de los archivos de configuración HTTPD

<Location /svn/proj>
    DAV                             svn
    SVNParentPath                   /data/subversion/repos/proj
    SVNAutoversioning               On
    SSLRequireSSL
    SVNIndexXSLT                    "/repostyle-proj/view/repos.xsl"
    AuthType                        Basic
    AuthName                        "Project Authorization"
    PerlAuthenHandler               Apache::AuthPOP3
    PerlSetVar                      MailHost 127.0.0.1
    AuthBasicAuthoritative          On
    AuthzSVNAccessFile              /data/subversion/conf/perms_proj
    Require valid-user
    SVNAdvertiseV2Protocol Off

</Location>

Aquí es un fragmento de la SVN permisos de archivo

[groups]
admins=admin-user
dummy-proj=<list of users>

[/]
@admins=rw

[dummy-proj:/]
@dummy-proj=rw

Cuando se ejecuta

svn co https://FQDN/svn/proj/dummy-proj/

Puedo conseguir el pleno acceso al repositorio a pesar de que yo soy la autenticación de un usuario que no es el "usuario-admin', o un usuario en la lista de usuarios.

Lo tengo configurado de forma incorrecta?

Más info - añadió en 4/18/17 11:00 AM

Parece que los archivos especificados en la 'AuthzSVNAccessFile" líneas no se leen, o que están siendo completamente ignorado.

Para probar, me cambió el nombre del archivo, a continuación, acceder al repositorio sin problemas. También he eliminado esa línea desde el archivo de configuración y todavía era capaz de acceder al repositorio.

¿Cómo puedo obtener algunos de depuración de AuthzSVN? Quiero ver el nombre de usuario es la validación contra, y confirme que el archivo está siendo leído.

Gracias por la ayuda

0voto

allquixotic Puntos24238

He aprendido de aquí que los permisos en SVN son diferentes entre el svn:// protocolo y el http(s):// protocolo. Precioso.

Su SVN HTTP permisos probablemente provienen de su servidor web, que puede ser Apache, Lighttpd, nginx, etc. Ver aquí: http://svnbook.red-bean.com/nightly/en/svn.serverconfig.httpd.html

Básicamente, usted necesita:

  • Averiguar de servidor web que se está utilizando para alojar el http(s) de extremo para SVN
  • Determinar qué mecanismo de autenticación está siendo utilizado por el servidor web, si cualquier
  • De bloqueo hacia abajo, si no de autenticación, mediante la implementación de, por ejemplo, Windows/LDAP auth, PAM auth Basic auth, o Digerir auth, a continuación, establecer un servidor web específico de permisos por usuario/grupo
  • Sólo para garantizar la máxima confusión, compruebe que (probablemente) no tienen esos " R/W derechos de acceso a la si svn co svn:// (utilizando el SVN protocolo nativo en lugar de HTTP).

Por CIERTO, esto no está relacionado con tu pregunta, pero Fedora 17 no ha sido apoyado por la seguridad o actualizaciones de corrección de errores en alrededor de 4 años, por lo que debe realmente la actualización a un sistema operativo compatible. RHEL/CentOS 7.x está basado en Fedora 19 (con un montón de nuevos parches y backports para mejorar el soporte de hardware y estabilidad), por lo que debido a la similitud entre Fedora 17 y CentOS/RHEL 7.x, sería relativamente poco esfuerzo para guardar los archivos de configuración y de datos desde el servidor y vuelva a instalar el sistema operativo CentOS/RHEL 7.x. Y entonces quieres empezar a recibir un flujo constante de actualizaciones de seguridad de nuevo por un número de años (en unos 2023).

Si se encuentra con problemas que se asemejan a los errores o roto funcionalidad en Fedora 17, casi nadie va a estar en todos motivados para ayudarle en cualquier capacidad, de modo que otro motivador razón para actualizar. Si usted encuentra algo roto en CentOS 7.x, y puede escribir un buen informe de errores, se los podría conseguir fijo por Red Hat o un colaborador de la comunidad, y se podía descargar el parche como una actualización estable. Hay una gran diferencia entre ejecutar un apoyo y un sistema operativo sin soporte, especialmente si usted tiene una empresa que dependa de la correcta funcionalidad de este servidor. Estás jugando con fuego si usted tiene gente importante labor que realiza en base a este servidor.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: