Git サーバー
この記事では、Git サーバーをホストする方法について概要を説明します。より詳細な情報は、Pro Git book の Git on the Server chapter の章を参照ください。
目次
プロトコル
詳細な説明と長所・短所は、Git on the Server - The Protocols を参照してください。
全般
Step by Step Guide on Setting Up git Server では Arch での安全でないサーバーのセットアップを説明しています。
デフォルトでは、git ユーザは期限切れになっています("Your account has expired; please contact your system administrator")。有効期限切れの条件を解除するには、例えば、以下のように chage を使用します。
chage -E -1 git
SSH
SSH サーバー を設置するだけです。
この SSH ユーザーアカウントでは、push と pull のコマンドのみを許可することで、より安全性を確保することができます。これは、デフォルトのログインシェルを git-shell に置き換えることで実現します。Setting Up the Server で説明しています。
#全般の手順で作成した git サーバーをこの条項の手順 (#SSH) で保護する場合、Arch では以下の追加手順が必要です。
- 正しいホームディレクトリ
- ssh が /srv/git/.ssh/authorized_keys を読めるようにするには、/etc/passwd の git 用ホームディレクトリを "/" から "/srv/git" に変更する必要があります。
- ホームディレクトリが修正された場合のベースパスの修正
- git がリポジトリを提供するために、gitのホームディレクトリからリポジトリを提供する場合、"/usr/lib/systemd/system/git-daemon@.service" の --base-path を "/srv/git" へ変更する必要があります。
Dumb HTTP
この文脈における "Dumb" とは、WebDAV のみが pull と push に関与することを意味します。
nginx
nginx の基本的な WebDAV 手順に従います。WebDAV 経由の push にもロックが必要です。以下にブロック箇所の例を示します。
/etc/nginx/nginx.conf
location /repos/ { auth_basic "Authorized Personnel Only!"; auth_basic_user_file /etc/nginx/htpasswd; dav_methods PUT DELETE MKCOL COPY MOVE; dav_ext_methods PROPFIND OPTIONS LOCK UNLOCK; dav_access user:rw group:rw all:r; dav_ext_lock zone=general; create_full_put_path on; client_body_temp_path /tmp; }
dav_ext_lock zone
に注目してください。指定したロックゾーンを設定の http セクションに追加します:
/etc/nginx/nginx.conf
dav_ext_lock_zone zone=general:10m;
ここで、サーバーの git リポジトリを準備するときの通常の手順を実行します。
git clone --bare /path/to/myrepo myrepo.git
- ベアリポジトリをサーバーにコピーします。
- ベアリポジトリで
git update-server-info
を実行します。 - リポジトリを http:http によって所有されるようにchownします
HTTP ベーシック認証を追加した、htaccess ファイルにパスワードを入力した人は、誰でも push することができます。
これで、通常どおり clone を作成できます。
$ git clone https://www.example.com/repos/myrepo.git Cloning into 'myrepo'... $
いくつかの変更を加え、add、commit、push します。
$ git push origin main error: Cannot access URL https://www.example.com/repos/myrepo.git/, return code 22 fatal: git-http-push failed error: failed to push some refs to 'https://www.example.com/repos/myrepo.git'
実行しても PROPFIND は 401 Unauthorized とだけ報告します。nginx のエラーログには何もありません。どうやら git クライアントは、その後のすべてのリクエストでユーザー名とパスワードを渡すことに問題があるようです。git credential cache を実行しても解決しません。今のところうまくいっている唯一の解決策は、~/.netrc を編集することです (明らかに git は http に curl を使っています):
~/.netrc
machine www.example.com login git password topsecret
$ > git push origin main Fetching remote heads... refs/ refs/heads/ refs/tags/ updating 'refs/heads/main' from 03f8860418facfbecedd5e0a81b480131b31bcba to ec5536091e31ebf172a34c6d1ebddfc36e3bd3a6 sending 3 objects done Updating remote server info To https://www.example.com/repos/myrepo.git 0318860..ec55560 main -> main
clone URL を https://username:password@www.example.com/repos/myrepo.git
と指定することは考えないでください。これは最初のクローンでは動作しますが、その後の push ではエラーログに宛先 URL が別のリポジトリで処理されているというエラーメッセージが表示されます。
Smart HTTP
git-http-backend(1) は CGI プログラムで、HTTP(S) で clone や pull, push を効率的に行うことができます。
Apache
Apache HTTP Server をインストールし、mod_cgi
, mod_alias
, mod_env
を有効にして、そしてもちろん git があれば、この設定はかなり簡単です。
基本的なセットアップを実行したら、Apache の設定ファイルに以下を追加してください。
/etc/httpd/conf/httpd.conf
<Directory "/usr/lib/git-core"> Require all granted </Directory> SetEnv GIT_PROJECT_ROOT /srv/git SetEnv GIT_HTTP_EXPORT_ALL ScriptAlias /git/ /usr/lib/git-core/git-http-backend/
ここでは、Git リポジトリが /srv/git
にあり、それにアクセスするために次のような方法をとるものとします。http(s)://your_address.tld/git/your_repo.git
.
より詳細なドキュメントについては、以下のリンクを参照してください。
- https://git-scm.com/book/en/v2/Git-on-the-Server-Smart-HTTP
- https://git-scm.com/docs/git-http-backend
Git
Git プロトコルは、暗号化も認証もされておらず、読み取りアクセスのみ許可します。
Git デーモン(git-daemon(1))は git-daemon.socket
で起動することができます.
このサービスは --export-all
と --base-path
パラメータを使用して ,/srv/git/
に置かれたすべてのリポジトリにサービスを提供します.
アクセスコントロール
きめ細かなアクセス制御を行うために、以下のような解決策があります。
- Gitolite — Perl で書かれた、Git の上のアクセスコントロールレイヤー。
- Gitosis — Git リポジトリをホストするためのソフトウェア、Python で書かれています。
もし、リポジトリにアクセスできるすべての人のためのユーザーアカウントを作成し、git オブジェクト(ブランチなど)のレベルでのアクセス制御を必要としない場合は、アクセス制御に標準的なファイルパーミッションを使用することもできますので、注意してください。[1]
Web インターフェース
シンプルな Web アプリケーション
高度な Web アプリケーション
- Gitea — 無痛のセルフホスト型 GIT サービス。Gogs のコミュニティによるフォーク。
- GitLab — Ruby で書かれたプロジェクト管理とコードホスティングアプリケーション。
- Gogs — Go で書かれたセルフホスティングの Git サービス。
- https://gogs.io || gogsAUR