Git : SSH 协议服务器

时间:2022-08-03 14:18:09

SSH 协议用于为 Git 提供远程读写操作,是远程写操作的标准服务。

SSH协议语法格式

对于拥有 shell 登录权限的用户账号,可以用下面的语法访问 Git 版本库:

语法 1 : ssh://[<username>@]<server>[:<port>]/home/xxx/repo1.git
语法 2 : [<username>@]<server>:/home/xxx/repo1.git

注意 :
SSH 协议地址格式可以使用两种不同的写法,第一种是使用 ssh:// 开头的标准的 SSH 协议 URL 写法,第二种是 SCP 格式的写法。SSH 协议标准的 URL 写法稍嫌复杂,但是对于非标准 SSH 端口(非 22)可以直接在 URL 中给出端口号。
<username> 是服务器 <server> 上的用户账号,如果省略用户名,则会使用当前登录用户的用户名(配置和使用了主机别名的除外)。
<port> 为SSH 协议端口,默认为 22。当使用了非默认端口时,最好使用语法1。当然使用语法2也可以实现,但是要通过 ~/.ssh/config 配置文件设置主机别名。
路径 /home/xxx/repo1.git 是服务器中版本库的绝对路径。若用相对路径则是相对于 username 用户的家目录。
如果采用口令 认证,必须在每次连接时输入口令。
如果采用公钥认证,则不用输入口令。

服务器架设方式比较

SSH 协议有两种方式来实现 Git 服务。第一种是用标准的 SSH 账号访问版本库。即用户账号可以直接登录到服务器获得 shell。对于这种使用标准 SSH 账号的方式,直接使用标准的 SSH 服务就可以了。
第二种实现方式是所有用户都使用同一个专用的 SSH 账号访问版本库,访问时通过公钥认证的方式。虽然所有用户用同一个账号访问,但可以通过在建立连接时所用的不同公钥来区分不同的用户身份。Gitolite 就是实现该方式的服务器软件。
标准 SSH 账号和专用 SSH 账号这两种实现方式的区别:

  标准 SSH Gitolite
账号 每个用户一个账号 所有用户公用同一个账号
认证方式 口令或公钥认证 公钥认证
登录到 shell
安全性
管理员需要 shell
版本库路径 相对路径或绝对路径 相对路径
授权方式 操作系统中用户组和目录权限 通过配置文件授权
分支写授权 Gitolite
路径写授权 Gitolite
假设难易度 简单 复杂

实际上,标准 SSH 也可以用公钥认证的方式实现使用用户公用同一个账号,不过这类似于把一个公共账号的登录口令同时告诉给多个人。具体操作如下:
1.    在服务器端创建一个公共账号,例如 sparker。
2.    管理员收集需要访问git服务的用户公钥。如 user1.pub,user2.pub。
3.    使用 ssh-copy-id 命令将各个 git 用户的公钥远程加入服务器的公钥认证列表中。
       3.1.     远程操作,可以使用 ssh-copy-id 命令。
                 $ ssh-copy-id -i user1.pub sparker@server
                 $ ssh-copy-id -i user2.pub sparker@server
       3.2.     如果直接在服务器上操作,则直接将文件追加到 authorized_keys文件中。
                 $ cat user1.pub >> ~sparker/.ssh/authorized_keys
                 $ cat user2.pub >> ~sparker/.ssh/authorized_keys
4.    在服务器端的 sparker 用户主目录下建立 git 库,就可以实现多个用户利用同一个系统账号(sparker)访问 git 服务了。

这样做除了不必逐一设置账号,以及用户无须口令认证之外,标准 SSH 部署 git 服务的缺点一个也不少,而且因为无法区分用户,也就无法针对用户进行授权。

SSH公钥认证

为实现公钥认证,作为认证的客户端一方需要拥有两个文件,即公钥/私钥对。一般情况下,公钥/私钥对文件创建在用户家目录下的 .ssh 目录中。如果用户家目录中不存在 .ssh 目录,说明 SSH 公钥/私钥对尚未创建。可以用下面的命令创建:

$ ssh-keygen

该命令会在用户家目录下创建 .ssh 目录,并在其中创建两个文件:
1.    id_rsa
私钥文件,它是基于 RSA 算法创建的,一定要妥善保管不要泄露。
2.    id_rsa.pub
公钥文件,和 id_rsa 文件是一对儿,该文件作为公钥文件可以公开。
创建了自己的公钥/私钥对以后,就可以使用下面的命令,实现无口令登录远程服务器 (即用公钥认证取代口令认证)。

$ ssh-copy-id -i .ssh/id_rsa.pub <user>@<server>

注意:
该命令会提示用户输入 user 在 server 上的 SSH 登录口令。
此命令执行成功后,再以 user 用户用 ssh 命令登录 server 远程主机时,不必输入口令即可直接登录。
该命令实际上是将 .ssh/id_rsa.pub 公钥文件追加到远程主机 serve r的 user 家目录下的 .ssh/authorized_keys 文件中。
检查公钥认证是否生效,通过 ssh 命令连接远程主机,正常的话应该直接登录成功。如果要求输入口令则表明公钥认证配置存在问题。如果 SSH 登录存在问题,可以通过查看服务器端的 /var/log/auth.log 文件进行诊断。

SSH主机别名

在实际使用中,有时需要使用多套公钥/私钥对,例如:
1.    使用默认的公钥访问服务器的 git 账号,可以执行 git 命令,但不能进行 shell 登录。
2.    使用特别创建的公钥访问服务器的 git 账号,能够获取 shell,登录后可以对 Git 服务器软件进行升级、维护等操作。
3.    访问 Github 使用其他公钥(非默认公钥)。

从上面的说明可以看出,用户可能拥有不止一套公钥/私钥对。为了创建不同的公钥/私钥对,在使用 ssh-keygen 命令时就需要通过-f参数指定不同的私钥名称。具体用法如下:

$ ssh-keygen -f ~/.ssh/<filename>

请将 <filename> 替换为有意义的名称。命令执行完毕后,会在 ~/.ssh 目录下创建指定的公钥/私钥对:文件 <filename> 是私钥,文件 <filename>.pub 是公钥。

将新生成的公钥添加到远程主机登录用户家目录下的 .ssh/authorized_keys 文件中,就可以使用新创建的公钥建立到远程主机 <server> 的 <user> 账户的无口令登录。操作如下:

$ ssh-copy-id -i .ssh/<filename>.pub <user>@<server>

现在用户存在多个公钥/私钥对,那么当执行下面的 ssh 登录命令时,用到的是哪个公钥呢?

$ ssh <user>@<server>

当然是默认公钥 ~/.ssh/id_rsa.pub。那么如何用新建的公钥连接 server 呢?
SSH 的客户端配置文件 ~/.ssh/config可以通过创建主机别名,在连接主机时选择使用特定的公钥。例如 ~/.ssh/config 文件中的下列配置:

host abc
     user git
     hostname abc.xxx.com
     port 22
     Identityfile ~/.ssh/abc

注意,hostname 也可以写成 IP。

然后执行下面的 SSH 登录命令:

$ ssh abc

或者执行 git 命令:

$ git clone abc:/home/abc/repo1.git

虽然这两条命令各不相同,但是都使用了 SSH 协议,以及相同的主机别名:abc。参考上面在 ~/.ssh/config 文件中建立的主机别名,可以做出如下判断:
1.    登录的SSH主机名为 abc.xxx.com。
2.    登录时使用的用户名为 git。
3.    认证时使用的公钥文件为 ~/.ssh/abc.pub。