您有两种互补的方式来实现这一点：

授予用户远程使用git存储库的权限

使用gitolite3提供一个hub-live存储库模式(详见here),它基本上要求你有一个裸存储库(一个集线器仓库)让你的用户推/拉和一个签出版本的例如,/ srv / www / html中的相同仓库(实时仓库)位于相应的路径中.

我喜欢使用gitolite3来处理集线器回购,但这不是必需的,但如果需要的话,拥有fine-grained access control bound to your LDAP of choice会相当方便. gitolite3可以提供细粒度控制到分支级别.

通过sudo限制gitolite3用户的功能也是一种很好的做法,并通过sudo调用来处理钩子.这是一个使用gitolite3钩子的工作示例(随意调整它们 – 或者增强/修复它们 – 以满足您的需要)：

> / etc / sudoers或/etc/sudoers.d/gitolite3的相关内容将类似于：

Cmnd_Alias        GITOLITE_CMDS = /usr/bin/git,/bin/chown,/bin/find,/usr/bin/xargs,/bin/chmod,/sbin/restorecon,/usr/local/sbin/publisher-hub2live
Cmnd_Alias GITOLITE_APACHE_CMDS = /usr/sbin/apachectl graceful
Defaults:gitolite3 !requiretty
Defaults:gitolite3 lecture=never
gitolite3                ALL = (root)NOPASSWD: GITOLITE_CMDS
gitolite3       APACHE_HOSTS = (root)NOPASSWD: GITOLITE_APACHE_CMDS

> hub repo post-update hook：

#!/bin/sh

echo "****"
echo "**** Calling publisher-hub2live script [Hub's post-update hook]"
echo "****"

sudo /usr/local/sbin/publisher-hub2live "/srv/www/html" "root:apache" "2750" "640"

exit 0

> publisher-hub2live脚本：

#!/bin/sh

echo "****"
echo "**** Pulling changes into Live [publisher-hub2live]"
echo "****"

cd "$1" || exit
umask 0022
unset GIT_DIR
/usr/bin/git pull hub master

# custom actions here
# e.g call grunt tasks
/bin/chown -R "$2" "$1"
/bin/find "$1" -type d -exec chmod "$3" {} +
/bin/find "$1" -type f -exec chmod "$4" {} +
/bin/chmod u+x "$1"/.git/hooks/post-commit
/sbin/restorecon -R -v "$1"
exec /usr/bin/git update-server-info

exit 0

限制在登录shell中执行未授权命令的能力

您需要实现的是一种可重现的,可审计的方法,用于限制用户执行严格允许的操作以外的操作的能力.

它不是必需的,但如果您的用户在LDAP中注册,并且您已经部署了执行LDAP身份验证的机制,无论是通过PAM模块还是使用freeIPA和sssd,它都会有所帮助.

为了实现这种情况,我目前做的是以下内容(请注意,这种限制要求满足几个条件,否则可以轻松规避限制)：

>用户不属于wheel组,唯一授权使用su(通过PAM强制执行).通常,存在非LDAP用户(sysadm),以允许受信任的管理员在灾难恢复或LDAP不可用时执行操作.
>为用户提供一个正确安全的rbash,其中只有一个指向私有〜/ bin的PATH,这个〜/ bin /目录包含指向所有允许命令的链接,例如：

$ll ~/bin
total 0
lrwxrwxrwx. 1 root dawud 14 Sep 17 08:58 clear -> /usr/bin/clear*
lrwxrwxrwx. 1 root dawud  7 Sep 17 08:58 df -> /bin/df*
lrwxrwxrwx. 1 root dawud 10 Sep 17 08:58 egrep -> /bin/egrep*
lrwxrwxrwx. 1 root dawud  8 Sep 17 08:58 env -> /bin/env*
lrwxrwxrwx. 1 root dawud 10 Sep 17 08:58 fgrep -> /bin/fgrep*
lrwxrwxrwx. 1 root dawud 14 Sep 17 08:58 git -> /usr/bin/git*
lrwxrwxrwx. 1 root dawud  9 Sep 17 08:58 grep -> /bin/grep*
lrwxrwxrwx. 1 root dawud 10 Sep 17 08:58 rview -> /bin/rview*
lrwxrwxrwx. 1 root dawud 13 Sep 17 08:58 sudo -> /usr/bin/sudo*
lrwxrwxrwx. 1 root dawud 17 Sep 17 08:58 sudoedit -> /usr/bin/sudoedit*
lrwxrwxrwx. 1 root dawud 13 Sep 17 08:58 tail -> /usr/bin/tail*
lrwxrwxrwx. 1 root dawud 11 Sep 17 08:58 wc -> /usr/bin/wc*

>为用户提供受限制的只读环境(考虑LESSSECURE,TMOUT,HISTFILE等变量).这是为了避免shell减少命令,例如less并确保可审计性.
>出于同样的原因,唯一允许的编辑器isrvim.用户只能执行sudoedit,配置为在sudo配置中运行rvim：

Defaults editor=/usr/bin/rvim

>如果MAC限制到位(您使用的特定GNU / Linux发行版已启用SELinux),则用户将映射到SELinux用户staff_u,并有权通过sudo按需要执行其他用户的命令.需要仔细检查允许的特定漏洞以防止用户绕过这些限制,并且还可以在现有LDAP基础结构中部署(这是freeIPA功能之一).
>用户’/ home,/ tmp和/ var / tmp通过/etc/security/namespace.conf进行多实例化：

/tmp       /tmp/.inst/tmp.inst-$USER-     tmpdir:create   root
/var/tmp   /tmp/.inst/var-tmp.inst-$USER- tmpdir:create   root
$HOME      $HOME/$USER.inst/              tmpdir:create   root

目录的多实例化并不是一项新功能,现在已经有很长时间了.作为参考,请参见this article from 2006.事实上,许多模块默认使用pam_namespace,但/etc/security/namespace.conf中的默认配置不启用多实例化.
此外,/ etc / security / namedspace.init应使所有骨架文件对用户只读,并由root拥有.

通过这种方式,您可以选择是否代表其他用户(通过sudo)代表自己(通过private / / bin目录中的链接,通过/ etc / skel提供,如上所述)代表自己执行任何命令(或通过/ etc / skel提供)一个都没有.