Похоже, ваши настройки безопасны. Хотя хакеры всегда найдут способ, если у них будет достаточно времени. ...Не предъявляйте мне иск, если вас взломают. Это может подойти для небольшой установки. Для большой команды в крупном бизнесе это может быть менее подходящим (см. раздел «Социальная инженерия» ниже ).
В нем есть несколько хороших моментов, а также несколько моментов, над которыми стоит подумать, чтобы сделать его лучше.
Хранение закрытых ключей в -зашифрованном виде не является совершенным, хотя и распространенным явлением. Как вы говорите, вы должны хранить их где-то. Однако это может быть проблемой при резервном копировании или серверах, которые не защищены физически. Есть варианты, которые требуют, чтобы вы вручную расшифровывали свои закрытые ключи при перезагрузке сервера. Пожалуй, самым простым из них является ssh-агент и вручную добавить к нему свой зашифрованный ключ при перезагрузке.
Помните, что Gitolite работает на сервере OpenSSH. Есть ряд вещей, которые вы можете сделать, чтобы повысить безопасность самого ssh-сервера .
Вы даже можете запустить Gitolite в среде chroot .Существует множество руководств по настройке chroot
с помощью OpenSSH. Помните, что для результата потребуется доступ к таким программам, как python
, так что это сделает его более сложным с технической точки зрения, чем вы могли бы подумать во многих учебниках.
Каждый системный администратор ищет технические способы проникновения хакера, но так много реальных взломов совершаются людьми .
Возможно, самым слабым местом вашего решения является управление ключами ssh. Это считается проблемой безопасности во многих компаниях . Gitolite возлагает все администрирование SSH-ключей на администратора. Это имеет некоторые важные последствия :
.
Вы не удаляете файлы, вы удаляете их запись из каталога. Для этого вам необходимо разрешение на запись в каталог. (это разрешение существует в вашем примере ).
Вы можете посмотреть на липкий кусочек. Примените его к каталогу, т.е. chmod +t …/logs/d
. Это сделает так, что только владелец (и пользователь с полномочиями CAP_DAC_OVERRIDE
, например.root
)может удалить файл из каталога.
Если в файле нет записей каталога и -он больше не открыт каким-либо процессом, он будет удален.
Группа ro
имеет полные права доступа к этому каталогу, что означает, что любой из ее членов может удалять или изменять файлы или каталоги внутри, независимо от того, принадлежат они им или нет, и независимо от прав доступа к файлам.
Если вы хотите, чтобы только члены группы могли читать файлы внутри, измените группу на john
или удалите права записи для группы. Выполните одно из этих действий из каталога, содержащего каталог logs
.
chown :john logs
chmod 755 logs
Я рекомендую вторую команду, чтобы просто удалить права на запись.