本文以一家中小型的軟件開發(fā)公司為例,來介紹如何在Internet上架設(shè)一個(gè)安全的CVS服務(wù)器,以供分布在各地的員工通過Internet來訪問它。
架設(shè)安全的CVS服務(wù)器
日期:2004-08-01 來源:天極操作系統(tǒng)專區(qū) 作者:Terry Yu
CVS是一個(gè)的版本控制工具,無論是對(duì)個(gè)別程序員還是一個(gè)開發(fā)團(tuán)隊(duì)來說,CVS都是非常有用的版本控制工具,而且它是免費(fèi)的。CVS的功能也很強(qiáng) 大,總體上它是一個(gè)C/S結(jié)構(gòu)的軟件,使用者首先要架設(shè)一個(gè)CVS服務(wù)器,在CVS服務(wù)器上導(dǎo)入項(xiàng)目實(shí)例、設(shè)置CVS項(xiàng)目訪問控制等。而客戶通過客戶端來 訪問CVS服務(wù)器,客戶可以取得項(xiàng)目新代碼副本、提交自己修改的代碼等,而客戶可以從Internet、LAN、甚至本機(jī)來訪問CVS服務(wù)器。
事實(shí)上,許多從事軟件開發(fā)的個(gè)人或且組織都在使用這個(gè)免費(fèi)的軟件來幫助進(jìn)行軟件開發(fā)。但用戶一方面在使用CVS的諸多功能進(jìn)行版本控制的時(shí)候,卻忽視了 安全方面的設(shè)定,于是問題也因此而產(chǎn)生了。我們都知道軟件作一種特殊的產(chǎn)品,它是有價(jià)值的。對(duì)于一個(gè)軟件公司來說,軟件的源代碼是企業(yè)寶貴的資源,如 果泄漏出去,可能會(huì)給企業(yè)帶到重大的損失,甚至?xí)绊懙狡髽I(yè)的生存。許多公司為了讓在家或是出差在外的同事也可以進(jìn)行工作,通常會(huì)把CVS服務(wù)器放在 Internet上,而放在Internet上的CVS服務(wù)器是一個(gè)可以泄漏源代碼的重要途徑,所以也更要認(rèn)真考慮其安全性的問題。
本文以一家中小型的軟件開發(fā)公司為例,來介紹如何在Internet上架設(shè)一個(gè)安全的CVS服務(wù)器,以供分布在各地的員工通過Internet來訪問它。
在這個(gè)假設(shè)的例子當(dāng)中,這家軟件公司采用10M的ADSL專線接入Internet,并擁有一組固定IP。為了達(dá)到較高級(jí)別的安全,公司逐級(jí)采用了以下的策略和方法:
第一層保護(hù):在網(wǎng)關(guān)使用防火墻
在接口網(wǎng)關(guān)處安裝了防火墻,并劃分了DMZ、內(nèi)網(wǎng)、外網(wǎng)三個(gè)區(qū)域。CVS服務(wù)器和公司其它的對(duì)外服務(wù)器都放置在DMZ區(qū)域中,防火墻對(duì)DMZ區(qū)域?qū)嵤┎煌瑑?nèi)網(wǎng)、外網(wǎng)的專門安全策略,對(duì)于CVS服務(wù)器也實(shí)施專門安全策略。
第二層保護(hù):對(duì)安裝CVS服務(wù)的機(jī)器進(jìn)行操作系統(tǒng)加固
公司使用的是Red Hat Linux,初安裝的Linux中缺乏嚴(yán)格的安全設(shè)定,需要進(jìn)行操作系統(tǒng)加固才能達(dá)到更高的安全。
第三層保護(hù):利用CVS自身的安全特性
這一部分,筆者將會(huì)在后文詳細(xì)講解CVS服務(wù)器的安裝配置等
第四層保護(hù):人員培訓(xùn)和制度
對(duì)于使用CVS的員工進(jìn)行CVS的使用培訓(xùn),介紹如何安全的從外部連入CVS服務(wù)器,以及如何保護(hù)個(gè)人的CVS賬號(hào)等信息。由于開發(fā)人員可能從公司內(nèi)網(wǎng) 中來訪問DMZ中的CVS服務(wù)器,也可能通過Internet從公司以外的地方來訪問DMZ中的CVS服務(wù)器。所要要針對(duì)這兩種情況制定相應(yīng)的CVS訪問 制度,同時(shí)要求員工保護(hù)好自己的用戶名和密碼。
在以上四層保護(hù)中,本文重點(diǎn)要介紹的是第三層保護(hù)。
首先是CVS基本的安裝:
1.下載源碼
通過摸索引擎可以找到CVS的源代碼包,也可從CVS的官方網(wǎng)站cvshome.org上開始尋找,由于CVS歷史上也出現(xiàn)過一些安全漏洞,所以建議要 定期去其官方網(wǎng)站看看有沒有新版本推出。目前新的是2003年12月18日推出的1.12.5版本,大家嘗試從以下鏈接下載:
http://ccvs.cvshome.org/servlets/ProjectDownloadList?action=download&dlID=351
2. 編譯安裝
[root@terry src]# tar -xjpvf cvs-1.12.5.tar.bz2
[root@terry src]# cd cvs-1.12.5
[root@terry cvs-1.12.5]# ./configure --prefix=/usr/local/terry_yu/cvs
--disable-server-flow-control
[root@terry cvs-1.12.5]# make
[root@terry cvs-1.12.5]# make install
以上指令將CVS安裝到/usr/local/terry_yu/cvs這個(gè)目錄上。
注:除了使用源碼包進(jìn)行安裝之外,還可以使用RPM包來安裝。
3. 設(shè)置啟動(dòng)CVS服務(wù)
在Linux上CVS服務(wù)可以通過inetd、xinetd或tcpwrapper等來啟動(dòng),其中inetd由于安全理由在許多場合已經(jīng)被xinetd所取代了。這里我們使用xinetd來啟動(dòng)CVS服務(wù)。
在/etc/xinetd.d目錄下為CVS服務(wù)創(chuàng)建一個(gè)配置文件,比如:/etc/xinetd.d/cvspserver,編輯/etc/xinetd.d/cvspserver,輸入如下內(nèi)容:
service cvspserver
{
disable = no
socket_type = stream
wait = no
user = root
env = HOME=
server = /usr/bin/cvs
server_args = -f --allow-root=/home/cvsroot pserver
}
注:
1)pserver表示是口令認(rèn)證的訪問方式,這是常用的方式,其他還有g(shù)server,kserver,ext,如果想要更高的安全性可以使用ssh來加密口令和數(shù)據(jù)流,不過這里為了用戶使用的方便,仍然選的是pserver
2)--allow-root是指定Repository的目錄,可以建立多個(gè)Repository
然后重新啟動(dòng)xinetd:
[root@terry bin]# /etc/rc.d/init.d/xinetd restart
Stopping xinetd: [ OK ]
Starting xinetd: [ OK ]
重新啟動(dòng)xinetd服務(wù)后,CVS服務(wù)也開始工作了:
4.在CVS服務(wù)器端建立Repository
首先要?jiǎng)?chuàng)建一個(gè)名為cvs的組和一個(gè)名為cvsroot的用戶,以后要訪問CVS服務(wù)的用戶加入cvs這個(gè)組:
[root@terry root]# groupadd cvs
[root@terry root]# useradd -g cvs -s /sbin/nologin cvsroot
[root@terry root]# chown -R cvsroot /home/cvsroot
接下來進(jìn)行初始化:
[root@terry root]# cvs -d /home/cvsroot init
這樣在/home/cvsroot目錄中產(chǎn)生了CVSROOT目錄,其中存放了一些配置文件,如config等,然后設(shè)置權(quán)限:
[root@terry root]# chown -R cvsroot.cvs /home/cvsroot
[root@terry root]# chmod -R ug+rwx /home/cvsroot
[root@terry root]# chmod 644 /home/cvsroot/CVSROOT/config
為了CVS系統(tǒng)的安全,我們要修改/home/cvsroot/CVSROOT/config文件,將"#SystemAuth =no"的前而的注釋號(hào)#去掉,即改為“SystemAuth =no”,然后給開發(fā)者們逐一建立賬號(hào),新建的不要分配用戶目錄,因?yàn)樗鼘⒆鳛橐粋(gè)虛擬用戶帳號(hào)來使用,具體命令如:
[root@terry root]# useradd -g cvs -M bogus
[root@terry root]# passwd bogus
上面的命令創(chuàng)建了一個(gè)并沒有Home目錄的用戶bogus,接著將系統(tǒng)的shadow文件復(fù)制到CVSROOT, 并重命名為passwd:
[root@terry root]# cp /etc/shadow /home/cvsroot/CVSROOT/passwd
[root@terry root]# chmod 0644 /home/cvsroot/CVSROOT/passwd
然后修改passwd文件,將除剛才設(shè)定的可使用CVS的用戶bogus之外的所有行刪除,然后去掉每行第二個(gè)冒號(hào)以后的所有內(nèi)容,并添上字符串cvsroot, 改為如下格式:
bogus:ND5$J8N9BW5DKV.nPdxfdsh:cvsroot
然后,刪除掉剛剛在系統(tǒng)中添加的那個(gè)用戶bogus:
[root@terry root]# userdel -f bogus
好了,做到這里,CVS的服務(wù)器端已經(jīng)安裝設(shè)置好了,這樣你的CVS用戶只能用passwd中規(guī)定的用戶來登陸你的CVS服務(wù)器了,要注意的是:本 文介紹的添加用戶的方法適用于小數(shù)量的用戶,如果是有大規(guī)模的開發(fā)人員,推薦采用連接LDAP或者數(shù)據(jù)庫來進(jìn)行用戶的認(rèn)證服務(wù)。通過這四層保護(hù),相信可以 使用你放心的使用CVS服務(wù)了,不過本文只是作了簡單的介紹,希望可以給大家起參考的作用。另外,想要得到CVS的新信息,可以訪問CVS的主頁: http://www.cvshome.org/,還有Pascal Molli的CVS網(wǎng)站:http://www.loria.fr/~molli/cvs-index.html