Из под какого пользователя должен быть запущен git-daemon?

0

1

В /etc/conf.d/git-daemon сказано, что:

# To run an anonymous git safely, the following user should be able to only
# read your Git repositories. It should not be able to write to anywhere on
# your system, esp. not the repositories.
GIT_USER="nobody"
GIT_GROUP="nobody"

Т.е. git-daemon не должен работать от пользователя, который имеет права на запись в системе, особенно если это запись в репозитории. Т.е. это не должен быть пользователь git!

Понятно, что как правило git-daemon читает из репозиториев gitolite /var/lib/gitolite. Репозитории gitolite по умолчанию создаются с правами 700, git:git. Что, впрочем, может быть переопределено в /path/to/gitolite/repo с помощью UMASK.

Вопрос: в чем вообще состоит проблема с запуском git-daemon из под git:git, если параметры:

GITDAEMON_OPTS="--syslog --base-path=/path/to/gitolite/repo/"
GIT_USER="git"
GIT_GROUP="git"

Ссылка

←	Fail2ban Nginx SQL Injection

Нужна помощь специалистов.

→

Возможно из общих соображений безопасности, так как git-daemon не выполняет аутентификацию и торчит портом наружу, а разработчики не настолько уверены в безопасности кода. С помощью acl можно выполнить их требование без использования nobody.

xaizek ★★★★★
(13.11.16 17:59:40 MSK)

Ответ на: комментарий от xaizek 13.11.16 17:59:40 MSK

А если добавить nobody в группу git, и права на репозитории вместо 700 поставить 770? Это лучше или хуже?

Deleted
(13.11.16 21:45:29 MSK)
Последнее исправление: Deleted 13.11.16 21:46:15 MSK (всего исправлений: 2)

Ответ на: комментарий от Deleted 13.11.16 21:45:29 MSK

Если 770, то без разницы. Можно поставить права 705 (или 755, чего уж git-группу ограничивать) и никуда не добавлять nobody. Читать репозиторий всё равно всем можно извне, толку его скрывать от кого-то локального.

xaizek ★★★★★
(13.11.16 22:02:01 MSK)