Linux配置svn+apache+ssl+radius身份认证

时间:2022-02-18 14:26:26

环境:Centos6.4 X86_64 minimum,iptables,selinux已关闭,所需软件包采取yum安装方式

SVN客户端软件:TortoiseSVN

一、不得不说的svn客户端的4种访问方式

先说说apache+svn,安装subversion包之后能用客户端访问了,但是不能从网页访问,于是考虑到集成apache和svn,提供更亲和的网页访问方式,但是配置完网页访问后傻眼了,一个简陋的版本库页面,只能浏览和下载不能上传,看来客户端访问还是主流

但是转念一想客户端也有版本库浏览器,同时还能上传下载,那要apache+svn干什么,直到我看到同事误把我写的服务器使用说明文档里的网页访问地址http://serverIP/svn/test粘贴到TortoiseSVN客户端的url里,居然也访问成功了,我才意识到apache+svn和单独的subversion是两种完全不同的访问方式

原来以为apache+svn必须在subversion启动的条件下同时启动apache,并且保持subversion和apache配置完全一致才行,弄明白了之后才发现完全不是这么回事

实际上apache+svn是通过http协议80端口访问版本库,subversion是通过svn协议的3690端口访问版本库,这两种方式互不干涉,可以只启动80,不启动3690,也可以只启3690,不启80,还可以同时启动80和3690,甚至这两种方式的版本库根目录都可以不同的,用户名和密码也可以不同,apache+svn用的是htpasswd的用户名和密码,subversion用的是svnserve.conf指定的passwd文件里的用户名和密码,说白了apache+svn和单独的svn服务是两种完全不同svn服务类型

 

OK,做个总结:

实际上TortoiseSVN支持总共4种访问方式

①svn也就是独立的subversion服务,通过3690端口访问

②http也就是apache+svn,通过80端口访问

③https也就是apache+svn+ssl,通过443端口访问

④svn+ssh也就是ssh+svn,这种稍微特殊,借用ssh隧道访问svn版本库,通过22端口访问,本文不涉及这种访问方式,有兴趣的话大家可以自己去查相关资料

 

【注】windows有个visualsvn好像是直接集成的apache和svn,不知道visualsvn是否有网页上传功能呢。因为一般在linux上部署svn性能更好,安全稳定性更高,所以就没研究windows的svn,大家有兴趣的话可以自己安装个visualsvn试试

二、配置svn服务

1.安装

1.<strong>yuminstallsubversion</strong>

 

2.创建版本库:

1.<strong>mkdir-pv/svn/svnrepos2.svnadmincreate/svn/svnrepos/test1#命令格式:svnadmincreate[repopath]</strong>

 

3.配置文件

查看test1下的conf目录,会发现有三个配置文件:

 

svnserve.conf:此版本库的总配置文件

passwd:库用户名密码文件

authz:库权限配置文件

多库共用同一个passwd和authz文件,便于管理。于是在库根目录下建立etc文件夹存放公共配置文件:

1.<strong>mkdir-pv/svn/svnrepos/etc2.cp/svn/svnrepos/test1/conf/{passwd,authz}/svn/svnrepos/etc/</strong>

 

a).svnserve.conf配置项

1.<strong><strong>[general]2.anon-access=none#匿名用户无任何权限,如果想匿名用户可读,设置为read即可,默认read3.auth-access=write#认证通过的用户可读可写4.password-db=/svn/svnrepos/etc/passwd#用户名密码文件存放位置5.authz-db=/svn/svnrepos/etc/authz#库权限配置文件存放位置6.realm=test#认证域名,相同认证域名的库的密码缓存可以在多个版本库之间共享</strong></strong>

【注】默认每个库都有一个的svnserve.conf,如想所有库共用一个svnserve.conf,可以在启动svn服务的时候添加--config-file=filename参数,svn服务启动的时候就不会再去读取任何一个库的配置文件,而会读参数指定的svnserve.conf

这个方法优点是方便,缺点是缺乏灵活性,如果你有一个库想用一套独立的passwd和authz,用这方法就行不通了。通常是每个库单独配置自己的svnserve.conf,大部分库用同一个passwd和authz,有特殊的库用自己独立的passwd和authz文件

 

b).passwd配置项

1.<strong><strong>[users]2.harry=harryssecret#定义库的用户和密码,格式为username=passwd3.sally=sallyssecret4.tom=tomssecret</strong></strong>

 

c).authz配置项

1.<strong><strong>[groups]#定义组和成员2.devteam=harry,sally#格式为groupname=member1,member23.[test1:/]#定义test1库根目录的访问权限4.*=r#所有用户可读5.@devteam=rw#开发组成员读写,注意组名前面要加@6.[test1:/tomproject]#定义test1下tomproject文件夹的权限7.tom=rw#tom读写</strong></strong>

【注】版本库中,子目录继承父目录的权限

 

4.启停svn服务

a).启动:

1.<strong><strong>svnserve-d-r/svn/svnrepos2.#-d以守护进程的方式运行svn服务3.#-r指定版本库根目录4.#--listen-port指定监听端口,默认端口3690</strong></strong>

 

b).停止:

1.<strong><strong>kill`psaux|grepsvn|grep-v'grep'|awk'{print$2}'`</strong></strong>

 

c).重启脚本:

01.<strong><strong>#!/bin/bash02.kill`psaux|grepsvn|grep-v'grep'|awk'{print$2}'`03.if[$?=0]04.then05.echo"StopSvnservesuccessful!"06.fi07.sleep108.svnserve-d-r/svn/svnrepos09.if[$?=0]10.then11.echo"StartSvnservesuccessful!"12.fi</strong></strong>

5.访问

客户端访问:启动后就可以用TortoiseSVN访问了,在url栏中输入svn://serverIP:[port]/test1即可访问版本库test1了,默认不用加端口,如果修改过svn端口号,就需要在服务器地址后面加上端口

 

【注】同时运行多个库是和svn服务启动的时候的版本库根目录(-r参数)有直接关系的,在版本库根目录底下建多个库,启动的时候就可以把这些库一并启动起来,登录的时候只需要指定不同的库名即可

看网上还有文章讨论说只运行一个库,这个库底下放着三个项目的文件夹,然后用不同用户组和权限去限制访问,这样有以下几个问题:

①每个项目文件有变动的时候,版本号都会增加,分不清楚是哪个项目增加的

②备份的时候效率很低,必须得三个项目一起备份,没法单独备份其中一个项目

③随着版本号的增加,版本库的冗余会越来越大,所占空间也会很多

但其好处是可以一次备份多个项目

选择什么方式运行见仁见智,适合实际环境的方式就是最好的,大家自己选择吧

6.删除版本库

删除整库是没有svnadmin remove这种命令的,直接rm -rf删除整个库文件夹即可

三、配置apache+svn

1.安装apache和apache的mod_dav_svn模块

01.<strong><strong><strong>yuminstallhttpdmod_dav_svn#安装apache和apache的svn模块02.apachectl-t-DDUMP_MODULES#查看apache是否已经加载了dav_svn_module和authz_svn_module03. 04.一般yum安装的apache模块都会在启动时自动加载,如果尚未加载,在http.conf文件中添加如下内容后重启httpd服务即可05.#vim/etc/httpd/conf/httpd.conf06. 07.LoadModuledav_svn_modulemodules/mod_dav_svn.so08.LoadModuleauthz_svn_modulemodules/mod_authz_svn.so09. 10.此外,鉴于svn需要列出文件夹内容,建议把apache的默认列目录功能关闭,防止svn以外的目录被列出结构,提升安全性11. 12.sed-i'/OptionsIndexes/s/Indexes/-Indexes/'/etc/httpd/conf/httpd.conf13.#其中"-"表示不允许列目录</strong></strong></strong>

2.配置httpd.conf

01.<strong><strong><strong>#vim/etc/httpd/conf/httpd.conf02.&lt;Location/svn&gt;03.DAVsvn#使用svn模块04.SVNParentPath/svn/svnrepos#svn版本库根目录05.AuthTypeBasic#认证类型:基本身份认证06.AuthName"SVN"#认证名称07.AuthUserFile/svn/svnrepos/etc/.htpasswd#指定用户名密码文件路径08.AuthzSVNAccessFile/svn/svnrepos/etc/authz#指定authz文件路径09.Requirevalid-user#有效用户可以访问10.&lt;/Location&gt;</strong></strong></strong>

【注】<location>和<directiony>的区别,<location>是虚拟目录,用<location>可以隐藏真实路径,而<directory>是直接使用真实路径

3.创建.htpasswd文件并修改权限

1.<strong><strong><strong>htpasswd-bc/svn/svnrepos/etc/.htpasswda1232.htpasswd-b/svn/svnrepos/etc/.htpasswdb1233.htpasswd-b/svn/svnrepos/etc/.htpasswdc1234.chmod600/svn/svnrepos/etc/.htpasswd#修改权限提升安全性5.chown-Rapache.apache/svn#最后别忘了修改版本库目录权限6.servicehttpdrestart#重启服务7.chmod-R700/svn#权限</strong></strong></strong>

4.访问

客户端访问:启动后就可以用TortoiseSVN访问了,在url栏中输入http://serverIP/svn/test1即可访问版本库test1了,注意路径要与配置文件中配置的虚拟目录名一致即可

浏览器访问:同时我们也可以在浏览器地址栏中,输入http://serverIP/svn/test1,用网页访问版本库,页面稍显简陋,只能查看和下载版本库文件,不能上传

5.Selinux导致认证总是通不过

部署完成如需要开启selinux,可能会出现原本可用的认证不可用,提示permission deny,满足以下两种条件会出现这种情况:

①开启selinux并处于enforcing状态

②svn版本库根目录不在/var/www下

于是由于库文件上下文不符被selinux拒绝访问,解决方法:修改selinux context变成http可发布的context

1.<strong><strong><strong>chcon-Rsystem_u:object_r:httpd_sys_content_t:s0/svn#问题解决</strong></strong></strong>

 

四、配置apache+svn+ssl

配置好svn后又出现了新的需求,最近单位需要一个新库去存放一些比较重要资料和文件,要求安全性比较高

通过http访问svn版本库虽然方便,但是http协议均采用明文传输,随便在网络上抓包用户名和密码就可能被泄露了,所以考虑采用https传输,也就是apache+svn+ssl

1.安装apache的mod_ssl模块

1.<strong><strong><strong>yuminstallmod_ssl2.apachectl-t-DDUMP_MODULES#查看apache是否已经加载了ssl_module</strong></strong></strong>

 

2.配置https

a).生成密钥和证书

1.<strong><strong><strong>opensslgenrsa-des3-outserver.key10242.#生成服务器私钥,会提示要输入一个密码保护私钥,输入自定义密码即可,这个密码在ssl服务启动的时候也需要输入3.opensslreq-new-key/etc/ssl/certs/svn.key-out/etc/ssl/certs/svn.csr4.#生成证书请求文件,会要求输入服务器相关信息,最后会提示输入Achallengepass<a href="http://www.it165.net/edu/ebg/" target="_blank" class="keylink">word</a>[]:输入随机字符串即可,配合.csr文件的生成5.opensslx509-in/etc/ssl/certs/svn.csr-out/etc/ssl/certs/svn.crt-req-signkey/etc/ssl/certs/svn.key-days36506.#自签名,生成数字证书文件,因为本机就是CA,所以直接用CA私钥加密证书请求文件,访问的时候会提示证书问题</strong></strong></strong>

b).配置ssl.conf

1.<strong><strong><strong>#vim/etc/httpd/conf.d/ssl.conf2.SSLCertificateFile/etc/ssl/certs/svn.crt3.SSLCertificateKeyFile/etc/ssl/certs/svn.key</strong></strong></strong>

c).重启apache

1.<strong><strong><strong>servicehttpdrestart#会提示输入svn.key的密码,输入后即可成功启动2.netstat-ntpl|grep443#查看https是否启动成功</strong></strong></strong>

d).配置启动https时不用手动输入密码

配置https后,每次启动apache服务的时候都需要手动输入私钥密码,非常麻烦,而且开机启动服务自启动的时候是没法手输密码的,于是考虑配置https免交互输入密码启动

1.<strong><strong><strong>vim/etc/httpd/conf.d/ssl.conf2.SSLPassPhraseDialogexec:/var/www/cgi-bin/ssl_pass.sh#修改输入密码的交互方式3.cat&lt;&lt;EOF&gt;/var/www/cgi-bin/ssl_pass.sh#编写输入密码脚本,就一行echo就行了4.#!/bin/sh5.echo"pass<a href="http://www.it165.net/edu/ebg/" target="_blank" class="keylink">word</a>"6.EOF7.chmod+x/var/www/cgi-bin/ssl_pass.sh8.servicehttpdrestart#不用手动输入密码就可以启动了</strong></strong></strong>

【注】部署完成如需要开启selinux,会在重启apache系统试图运行密码脚本时被selinux拒绝,排错发现需要开启一个sebool值才能在selinux启动状况下成功运行自动输入密码脚本:

1.<strong><strong><strong>setsebool-Phttpd_enable_cgion#问题解决</strong></strong></strong>

3.配置加密版本库

因为对版本库安全性要求高,于是考虑采用独立的根目录、passwd文件和authz文件,与普通的版本库区分开

1.<strong><strong><strong>mkdir-pv/svn/securerepos#新建安全版本库独立的根目录2.svnadmincreate/svn/securerepos/securetest1#新建版本库3.htpasswd-bc/svn/securerepos/securetest1/conf/.htpasswdabc123#新建版本库密码文件</strong></strong></strong>

a).配置svnserve.conf

01.<strong><strong><strong>修改此版本库的svnserve.conf文件,使用独立authz文件02.#vim/svn/securerepos/securetest1/conf/svnserve.conf03. 04.[general]05.anon-access=none#匿名用户无任何权限06.auth-access=write#认证通过的用户可读可写07.password-db=passwd#https和http都用不到passwd文件,用.htpasswd存储用户名和密码,所以此配置项实际上不生效08.authz-db=authz#使用独立的authz文件09.realm=securetest</strong></strong></strong>

b).配置httpd.conf

01.<strong><strong><strong>#vim/etc/httpd/conf/httpd.conf02.&lt;Location/securesvn&gt;03.DAVsvn04.SSLRequireSSL#必须使用https才能访问本虚拟目录05.SVNParentPath/svn/securerepos#版本库根目录06.AuthTypeBasic07.AuthName"SECURESVN"08.AuthUserFile/svn/securerepos/securetest1/conf/.htpasswd#指定用户名密码文件路径09.AuthzSVNAccessFile/svn/securerepos/securetest1/conf/authz#指定authz文件路径10.Requirevalid-user11.&lt;/Location&gt;12.chownapache.apache/svn#修改用户和组13.servicehttpdrestart</strong></strong></strong>

4.访问

客户端访问:启动后就可以用TortoiseSVN访问了,在url栏中输入https://serverIP/securesvn/securetest1即可访问版本库test1了,注意路径要与配置文件中配置的虚拟目录名一致即可

浏览器访问:同时我们也可以在浏览器地址栏中,输入https://serverIP/securesvn/securetest1,用网页访问版本库,页面稍显简陋,只能查看和下载版本库文件,不能上传

五、配置apache+svn+ssl+radius

接上节,配置完https虽然传输安全性得到了保证,但是用htpasswd文件管理用户名密码,管理不是很方便,安全性也算不上是很好,于是考虑到把https的版本库用户集成到单位统一的认证服务器上去,用户也就能更好的和人一一对应

一般情况下各个单位认证用AD+ldap协议比较多,我们这用的是radius协议,于是就需要进行radius对接

从上文配置可以看出来,svn+apache的方式认证其实是通过apache来完成的,所以想要进行radius对接需要找到相应的apache radius认证模块,原本还担心radius这种认证方式在网页认证方式中不算很常用,会不会没有相关模块,不过在网上找了找,还真找到了

下载地址:http://www.outoforder.cc/downloads/mod_auth_xradius/mod_auth_xradius-0.4.6.tar.bz2

1.安装apache的mod_auth_xradius模块

01.<strong><strong><strong>wgethttp://www.outoforder.cc/downloads/mod_auth_xradius/mod_auth_xradius-0.4.6.tar.bz202.yuminstallgccgcc-c++makehttpd-devel#安装gcc编译器以及apache开发包,用于编译安装模块03.tarxfmod_auth_xradius-0.4.6.tar04.cdmod_auth_xradius-0.4.605../configure--with-apxs=/usr/sbin/apxs&&make&&makeinstall06.#vim/etc/httpd/conf/httpd.conf07.#编译安装的模块不会自动在启动时加载,需要在配置文件中增加读取模块语句08.LoadModuleauth_xradius_modulemodules/mod_auth_xradius.so09.apachectl-t-DDUMP_MODULES|grepxradius#查看是否已经加载了xradius模块10.servicehttpdrestart</strong></strong></strong>

2.修改httpd.conf里设置的认证方式

01.<strong><strong><strong>#vim/etc/httpd/conf/httpd.conf#再次修改配置文件改变身份认证的方式为radius02.&lt;Location/securesvn&gt;03.DAVsvn04.SSLRequireSSL05.SVNParentPath/svn/securerepos06.AuthTypeBasic07.AuthBasicProviderxradius#通过xradius模块进行身份认证08.AuthName"SECURESVNRadius"09.AuthXRadiusAddServer"1.1.1.1""passwd"10.#配置radius服务器地址,以及与radius服务器认证时所需密码11.AuthXRadiusTimeout4#超时等待时间,单位s12.AuthXRadiusRetries2#失败重试次数13.#AuthUserFile/svn/securerepos/securetest1/conf/.htpasswd14.已经采用xradius认证,就不需要htpasswd文件了,#注释掉15.AuthzSVNAccessFile/svn/securerepos/securetest1/conf/authz16.#注意给radius用户赋予权限17.Requirevalid-user18.&lt;/Location&gt;19.servicehttpdrestart</strong></strong></strong>

3.访问

和apache+svn方式一样,同时支持网页和客户端的访问方式,只不过是在访问版本库的时候用户名密码改用radius的用户名和密码

 

【注】需要注意的是,配置完radius认证之后,authz就需要使用radius服务器的用户名分配权限了。另外,如果radius配置了带域名的身份认证,那域名也要加上,此时,authz中配置的用户名应该形如radius_username@domain_name

六、总结

整体思路是这样的,如果对于版本库类型有多种需求,可以根据svn客户端提供的丰富的访问方式,结合svn版本库目录结构和库配置文件,将一台svn服务器配置成多种不同类型版本库并行的模式:

安全性要求不高的库,采用svn+http方式传输

安全性要求的高的库,采用svn+https方式传输,并使用radius身份认证,此外还要关注最近出现的https的"心脏出血"漏洞,及时升级openssl版本修复漏洞

当然安全是一个系统的工程,需要从网络,系统,数据库,应用多层次确保安全,不仅仅是应用上配置了https就万无一失了。不过至少从服务器层面,合理配置iptables,开启selinux提供防护,定期更新软件包,能为整个应用系统提供多一层保护

至此apache+svn+ssl+radius就全部配置完成了,后续还会有网页版svn管理工具svnmanager的配置以及解决版本库中文目录分配权限乱码问题的相关文章,敬请关注!