Linux配置svn+apache+ssl+radius身份认证

环境：Centos6.4 X86_64 minimum，iptables,selinux已关闭，所需软件包采取yum安装方式

SVN客户端软件：TortoiseSVN

一、不得不说的svn客户端的4种访问方式

先说说apache+svn，安装subversion包之后能用客户端访问了，但是不能从网页访问，于是考虑到集成apache和svn，提供更亲和的网页访问方式，但是配置完网页访问后傻眼了，一个简陋的版本库页面，只能浏览和下载不能上传，看来客户端访问还是主流

但是转念一想客户端也有版本库浏览器，同时还能上传下载，那要apache+svn干什么，直到我看到同事误把我写的服务器使用说明文档里的网页访问地址http://serverIP/svn/test粘贴到TortoiseSVN客户端的url里，居然也访问成功了，我才意识到apache+svn和单独的subversion是两种完全不同的访问方式

原来以为apache+svn必须在subversion启动的条件下同时启动apache，并且保持subversion和apache配置完全一致才行，弄明白了之后才发现完全不是这么回事

实际上apache+svn是通过http协议80端口访问版本库，subversion是通过svn协议的3690端口访问版本库，这两种方式互不干涉，可以只启动80，不启动3690，也可以只启3690，不启80，还可以同时启动80和3690，甚至这两种方式的版本库根目录都可以不同的，用户名和密码也可以不同，apache+svn用的是htpasswd的用户名和密码，subversion用的是svnserve.conf指定的passwd文件里的用户名和密码，说白了apache+svn和单独的svn服务是两种完全不同svn服务类型

OK，做个总结：

实际上TortoiseSVN支持总共4种访问方式

①svn也就是独立的subversion服务，通过3690端口访问

②http也就是apache+svn，通过80端口访问

③https也就是apache+svn+ssl，通过443端口访问

④svn+ssh也就是ssh+svn，这种稍微特殊，借用ssh隧道访问svn版本库，通过22端口访问，本文不涉及这种访问方式，有兴趣的话大家可以自己去查相关资料

【注】windows有个visualsvn好像是直接集成的apache和svn，不知道visualsvn是否有网页上传功能呢。因为一般在linux上部署svn性能更好，安全稳定性更高，所以就没研究windows的svn，大家有兴趣的话可以自己安装个visualsvn试试

二、配置svn服务

1.安装

1.yuminstallsubversion

2.创建版本库：

1.mkdir-pv/svn/svnrepos2.svnadmincreate/svn/svnrepos/test1#命令格式：svnadmincreate[repopath]

3.配置文件

查看test1下的conf目录，会发现有三个配置文件：

svnserve.conf：此版本库的总配置文件

passwd：库用户名密码文件

authz：库权限配置文件

多库共用同一个passwd和authz文件，便于管理。于是在库根目录下建立etc文件夹存放公共配置文件：

1.mkdir-pv/svn/svnrepos/etc2.cp/svn/svnrepos/test1/conf/{passwd,authz}/svn/svnrepos/etc/

a).svnserve.conf配置项

1.[general]2.anon-access=none#匿名用户无任何权限，如果想匿名用户可读，设置为read即可，默认read3.auth-access=write#认证通过的用户可读可写4.password-db=/svn/svnrepos/etc/passwd#用户名密码文件存放位置5.authz-db=/svn/svnrepos/etc/authz#库权限配置文件存放位置6.realm=test#认证域名，相同认证域名的库的密码缓存可以在多个版本库之间共享

【注】默认每个库都有一个的svnserve.conf，如想所有库共用一个svnserve.conf，可以在启动svn服务的时候添加--config-file=filename参数，svn服务启动的时候就不会再去读取任何一个库的配置文件，而会读参数指定的svnserve.conf

这个方法优点是方便，缺点是缺乏灵活性，如果你有一个库想用一套独立的passwd和authz，用这方法就行不通了。通常是每个库单独配置自己的svnserve.conf，大部分库用同一个passwd和authz，有特殊的库用自己独立的passwd和authz文件

b）.passwd配置项

1.[users]2.harry=harryssecret#定义库的用户和密码，格式为username=passwd3.sally=sallyssecret4.tom=tomssecret

c).authz配置项

1.[groups]#定义组和成员2.devteam=harry,sally#格式为groupname=member1,member23.[test1:/]#定义test1库根目录的访问权限4.*=r#所有用户可读5.@devteam=rw#开发组成员读写，注意组名前面要加@6.[test1:/tomproject]#定义test1下tomproject文件夹的权限7.tom=rw#tom读写

【注】版本库中，子目录继承父目录的权限

4.启停svn服务

a).启动：

1.svnserve-d-r/svn/svnrepos2.#-d以守护进程的方式运行svn服务3.#-r指定版本库根目录4.#--listen-port指定监听端口，默认端口3690

b）.停止：

1.kill`psaux|grepsvn|grep-v'grep'|awk'{print$2}'`

c).重启脚本：

01.#!/bin/bash02.kill`psaux|grepsvn|grep-v'grep'|awk'{print$2}'`03.if[$?=0]04.then05.echo"StopSvnservesuccessful!"06.fi07.sleep108.svnserve-d-r/svn/svnrepos09.if[$?=0]10.then11.echo"StartSvnservesuccessful!"12.fi

5.访问

客户端访问：启动后就可以用TortoiseSVN访问了，在url栏中输入svn://serverIP:[port]/test1即可访问版本库test1了，默认不用加端口，如果修改过svn端口号，就需要在服务器地址后面加上端口

【注】同时运行多个库是和svn服务启动的时候的版本库根目录(-r参数)有直接关系的，在版本库根目录底下建多个库，启动的时候就可以把这些库一并启动起来，登录的时候只需要指定不同的库名即可

看网上还有文章讨论说只运行一个库，这个库底下放着三个项目的文件夹，然后用不同用户组和权限去限制访问，这样有以下几个问题：

①每个项目文件有变动的时候，版本号都会增加，分不清楚是哪个项目增加的

②备份的时候效率很低，必须得三个项目一起备份，没法单独备份其中一个项目

③随着版本号的增加，版本库的冗余会越来越大，所占空间也会很多

但其好处是可以一次备份多个项目

选择什么方式运行见仁见智，适合实际环境的方式就是最好的，大家自己选择吧

6.删除版本库

删除整库是没有svnadmin remove这种命令的，直接rm -rf删除整个库文件夹即可

三、配置apache+svn

1.安装apache和apache的mod_dav_svn模块

01.yuminstallhttpdmod_dav_svn#安装apache和apache的svn模块02.apachectl-t-DDUMP_MODULES#查看apache是否已经加载了dav_svn_module和authz_svn_module03. 04.

一般yum安装的apache模块都会在启动时自动加载，如果尚未加载，在http.conf文件中添加如下内容后重启httpd服务即可

05.#vim/etc/httpd/conf/httpd.conf06. 07.LoadModuledav_svn_modulemodules/mod_dav_svn.so08.LoadModuleauthz_svn_modulemodules/mod_authz_svn.so09. 10.

此外，鉴于svn需要列出文件夹内容，建议把apache的默认列目录功能关闭，防止svn以外的目录被列出结构，提升安全性

11. 12.sed-i'/OptionsIndexes/s/Indexes/-Indexes/'/etc/httpd/conf/httpd.conf13.#其中"-"表示不允许列目录

2.配置httpd.conf

01.#vim/etc/httpd/conf/httpd.conf02.<Location/svn>03.DAVsvn#使用svn模块04.SVNParentPath/svn/svnrepos#svn版本库根目录05.AuthTypeBasic#认证类型：基本身份认证06.AuthName"SVN"#认证名称07.AuthUserFile/svn/svnrepos/etc/.htpasswd#指定用户名密码文件路径08.AuthzSVNAccessFile/svn/svnrepos/etc/authz#指定authz文件路径09.Requirevalid-user#有效用户可以访问10.</Location>

【注】<location>和<directiony>的区别，<location>是虚拟目录，用<location>可以隐藏真实路径，而<directory>是直接使用真实路径

3.创建.htpasswd文件并修改权限

1.htpasswd-bc/svn/svnrepos/etc/.htpasswda1232.htpasswd-b/svn/svnrepos/etc/.htpasswdb1233.htpasswd-b/svn/svnrepos/etc/.htpasswdc1234.chmod600/svn/svnrepos/etc/.htpasswd#修改权限提升安全性5.chown-Rapache.apache/svn#最后别忘了修改版本库目录权限6.servicehttpdrestart#重启服务7.chmod-R700/svn#权限

4.访问

客户端访问：启动后就可以用TortoiseSVN访问了，在url栏中输入http://serverIP/svn/test1即可访问版本库test1了,注意路径要与配置文件中配置的虚拟目录名一致即可

浏览器访问：同时我们也可以在浏览器地址栏中，输入http://serverIP/svn/test1，用网页访问版本库，页面稍显简陋，只能查看和下载版本库文件，不能上传

5.Selinux导致认证总是通不过

部署完成如需要开启selinux，可能会出现原本可用的认证不可用，提示permission deny，满足以下两种条件会出现这种情况：

①开启selinux并处于enforcing状态

②svn版本库根目录不在/var/www下

于是由于库文件上下文不符被selinux拒绝访问，解决方法:修改selinux context变成http可发布的context

1.chcon-Rsystem_u:object_r:httpd_sys_content_t:s0/svn#问题解决

四、配置apache+svn+ssl

配置好svn后又出现了新的需求，最近单位需要一个新库去存放一些比较重要资料和文件，要求安全性比较高

通过http访问svn版本库虽然方便，但是http协议均采用明文传输，随便在网络上抓包用户名和密码就可能被泄露了，所以考虑采用https传输，也就是apache+svn+ssl

1.安装apache的mod_ssl模块

1.yuminstallmod_ssl2.apachectl-t-DDUMP_MODULES#查看apache是否已经加载了ssl_module

2.配置https

a).生成密钥和证书

1.opensslgenrsa-des3-outserver.key10242.

#生成服务器私钥，会提示要输入一个密码保护私钥，输入自定义密码即可，这个密码在ssl服务启动的时候也需要输入

3.opensslreq-new-key/etc/ssl/certs/svn.key-out/etc/ssl/certs/svn.csr4.

#生成证书请求文件，会要求输入服务器相关信息，最后会提示输入Achallengepass<a href="http://www.it165.net/edu/ebg/" target="_blank" class="keylink">word</a>[]:输入随机字符串即可,配合.csr文件的生成

5.opensslx509-in/etc/ssl/certs/svn.csr-out/etc/ssl/certs/svn.crt-req-signkey/etc/ssl/certs/svn.key-days36506.

#自签名,生成数字证书文件,因为本机就是CA,所以直接用CA私钥加密证书请求文件,访问的时候会提示证书问题</strong></strong></strong>

b).配置ssl.conf

1.#vim/etc/httpd/conf.d/ssl.conf2.SSLCertificateFile/etc/ssl/certs/svn.crt3.SSLCertificateKeyFile/etc/ssl/certs/svn.key

c).重启apache

1.servicehttpdrestart#会提示输入svn.key的密码，输入后即可成功启动2.netstat-ntpl|grep443#查看https是否启动成功

d).配置启动https时不用手动输入密码

配置https后，每次启动apache服务的时候都需要手动输入私钥密码，非常麻烦，而且开机启动服务自启动的时候是没法手输密码的，于是考虑配置https免交互输入密码启动

1.vim/etc/httpd/conf.d/ssl.conf2.SSLPassPhraseDialogexec:/var/www/cgi-bin/ssl_pass.sh#修改输入密码的交互方式3.cat<<EOF>/var/www/cgi-bin/ssl_pass.sh#编写输入密码脚本，就一行echo就行了4.#!/bin/sh5.echo"pass<a href="http://www.it165.net/edu/ebg/" target="_blank" class="keylink">word</a>"6.EOF7.chmod+x/var/www/cgi-bin/ssl_pass.sh8.servicehttpdrestart#不用手动输入密码就可以启动了

【注】部署完成如需要开启selinux，会在重启apache系统试图运行密码脚本时被selinux拒绝，排错发现需要开启一个sebool值才能在selinux启动状况下成功运行自动输入密码脚本:

1.setsebool-Phttpd_enable_cgion#问题解决

3.配置加密版本库

因为对版本库安全性要求高，于是考虑采用独立的根目录、passwd文件和authz文件，与普通的版本库区分开

1.mkdir-pv/svn/securerepos#新建安全版本库独立的根目录2.svnadmincreate/svn/securerepos/securetest1#新建版本库3.htpasswd-bc/svn/securerepos/securetest1/conf/.htpasswdabc123#新建版本库密码文件

a).配置svnserve.conf

01.修改此版本库的svnserve.conf文件，使用独立authz文件02.#vim/svn/securerepos/securetest1/conf/svnserve.conf03. 04.[general]05.anon-access=none#匿名用户无任何权限06.auth-access=write#认证通过的用户可读可写07.password-db=passwd#https和http都用不到passwd文件，用.htpasswd存储用户名和密码，所以此配置项实际上不生效08.authz-db=authz#使用独立的authz文件09.realm=securetest

b).配置httpd.conf

01.#vim/etc/httpd/conf/httpd.conf02.<Location/securesvn>03.DAVsvn04.SSLRequireSSL#必须使用https才能访问本虚拟目录05.SVNParentPath/svn/securerepos#版本库根目录06.AuthTypeBasic07.AuthName"SECURESVN"08.AuthUserFile/svn/securerepos/securetest1/conf/.htpasswd#指定用户名密码文件路径09.AuthzSVNAccessFile/svn/securerepos/securetest1/conf/authz#指定authz文件路径10.Requirevalid-user11.</Location>12.chownapache.apache/svn#修改用户和组13.servicehttpdrestart

4.访问

客户端访问：启动后就可以用TortoiseSVN访问了，在url栏中输入https://serverIP/securesvn/securetest1即可访问版本库test1了,注意路径要与配置文件中配置的虚拟目录名一致即可

浏览器访问：同时我们也可以在浏览器地址栏中，输入https://serverIP/securesvn/securetest1，用网页访问版本库，页面稍显简陋，只能查看和下载版本库文件，不能上传

五、配置apache+svn+ssl+radius

接上节，配置完https虽然传输安全性得到了保证，但是用htpasswd文件管理用户名密码，管理不是很方便，安全性也算不上是很好，于是考虑到把https的版本库用户集成到单位统一的认证服务器上去，用户也就能更好的和人一一对应

一般情况下各个单位认证用AD+ldap协议比较多，我们这用的是radius协议，于是就需要进行radius对接

从上文配置可以看出来，svn+apache的方式认证其实是通过apache来完成的，所以想要进行radius对接需要找到相应的apache radius认证模块，原本还担心radius这种认证方式在网页认证方式中不算很常用，会不会没有相关模块，不过在网上找了找，还真找到了

下载地址：http://www.outoforder.cc/downloads/mod_auth_xradius/mod_auth_xradius-0.4.6.tar.bz2

1.安装apache的mod_auth_xradius模块

01.wgethttp://www.outoforder.cc/downloads/mod_auth_xradius/mod_auth_xradius-0.4.6.tar.bz202.yuminstallgccgcc-c++makehttpd-devel#安装gcc编译器以及apache开发包，用于编译安装模块03.tarxfmod_auth_xradius-0.4.6.tar04.cdmod_auth_xradius-0.4.605../configure--with-apxs=/usr/sbin/apxs&&make&&makeinstall06.#vim/etc/httpd/conf/httpd.conf07.#编译安装的模块不会自动在启动时加载，需要在配置文件中增加读取模块语句08.LoadModuleauth_xradius_modulemodules/mod_auth_xradius.so09.apachectl-t-DDUMP_MODULES|grepxradius#查看是否已经加载了xradius模块10.servicehttpdrestart

2.修改httpd.conf里设置的认证方式

01.#vim/etc/httpd/conf/httpd.conf#再次修改配置文件改变身份认证的方式为radius02.<Location/securesvn>03.DAVsvn04.SSLRequireSSL05.SVNParentPath/svn/securerepos06.AuthTypeBasic07.AuthBasicProviderxradius#通过xradius模块进行身份认证08.AuthName"SECURESVNRadius"09.AuthXRadiusAddServer"1.1.1.1""passwd"10.#配置radius服务器地址，以及与radius服务器认证时所需密码11.AuthXRadiusTimeout4#超时等待时间，单位s12.AuthXRadiusRetries2#失败重试次数13.#AuthUserFile/svn/securerepos/securetest1/conf/.htpasswd14.已经采用xradius认证，就不需要htpasswd文件了，#注释掉15.AuthzSVNAccessFile/svn/securerepos/securetest1/conf/authz16.#注意给radius用户赋予权限17.Requirevalid-user18.</Location>19.servicehttpdrestart

3.访问

和apache+svn方式一样，同时支持网页和客户端的访问方式，只不过是在访问版本库的时候用户名密码改用radius的用户名和密码

【注】需要注意的是，配置完radius认证之后，authz就需要使用radius服务器的用户名分配权限了。另外，如果radius配置了带域名的身份认证，那域名也要加上，此时，authz中配置的用户名应该形如radius_username@domain_name

六、总结

整体思路是这样的，如果对于版本库类型有多种需求，可以根据svn客户端提供的丰富的访问方式，结合svn版本库目录结构和库配置文件，将一台svn服务器配置成多种不同类型版本库并行的模式：

安全性要求不高的库，采用svn+http方式传输

安全性要求的高的库，采用svn+https方式传输，并使用radius身份认证，此外还要关注最近出现的https的"心脏出血"漏洞，及时升级openssl版本修复漏洞

当然安全是一个系统的工程，需要从网络，系统，数据库，应用多层次确保安全，不仅仅是应用上配置了https就万无一失了。不过至少从服务器层面，合理配置iptables，开启selinux提供防护，定期更新软件包，能为整个应用系统提供多一层保护

至此apache+svn+ssl+radius就全部配置完成了，后续还会有网页版svn管理工具svnmanager的配置以及解决版本库中文目录分配权限乱码问题的相关文章，敬请关注！