security - 具有两因素身份验证的 SVN

Question

我在一个具有严格安全要求的组织工作，有时甚至过于严格。我的项目团队正在尝试创建一个 SVN 存储库，但我们在设置一个以满足我们的需求和安全要求时遇到了困难。

我们的 IT 部门要求我们使用两因素身份验证来验证自己。每个开发人员都有一个 RSA 令牌，必须使用该令牌通过 SSH 登录到存储库主机。令牌上显示的值每分钟更改一次，每个值只能使用一次。

开发人员需要存储密码的能力。这使我们无法使用svn+ssh登录到存储库。由于 RSA 令牌每分钟更改一次，因此我们无法存储 SSH 密码。更糟糕的是，RSA 令牌会使我们每分钟减少一次 SVN 操作。这是完全不可接受的，特别是因为我们有将多个 SVN 操作链接在一起的脚本。

我们试图通过打开带有端口转发的 SSH 隧道来进行妥协。我们将打开一条隧道，ssh user@hostmachine -L 3690:localhost:3690用于将本地机器上的所有 SVN 请求转发到svnserve正在运行进程的安全机器。这意味着我们可以使用双重身份验证登录，然后在我们的实用程序中使用单独的 SVN 用户名和密码（可以存储）。

不幸的是，我们注意到我们不需要隧道。主机名可见的任何计算机都可以使用端口 3690。这对 IT 来说是不可接受的，我们的系统管理员认为这svnserve是问题所在，所以她想知道我们是否必须回到svn+ssh.

有没有可行的解决方案？我们的系统管理员正确吗？是否有一个选项svnserve会强制它只监听来自本地主机的流量？

Answer 1

利用：

svnserve -dr /my/repo --listen-host 127.0.0.1

这样服务将只监听环回接口。当您使用 ssh 连接时，请使用：

ssh -L3690:127.0.0.1:3690 user@svnserver.mycompany.com

另见：

vince@f12 ~ > svnserve --help
usage: svnserve [-d | -i | -t | -X] [options]

Valid options:
  -d [--daemon]            : daemon mode
  -i [--inetd]             : inetd mode
  -t [--tunnel]            : tunnel mode
  -X [--listen-once]       : listen-once mode (useful for debugging)
  -r [--root] ARG          : root of directory to serve
  -R [--read-only]         : force read only, overriding repository config file
  --config-file ARG        : read configuration from file ARG
  --listen-port ARG        : listen port
                             [mode: daemon, listen-once]
  --listen-host ARG        : listen hostname or IP address
                             [mode: daemon, listen-once]
  -T [--threads]           : use threads instead of fork [mode: daemon]
  --foreground             : run in foreground (useful for debugging)
                             [mode: daemon]
  --log-file ARG           : svnserve log file
  --pid-file ARG           : write server process ID to file ARG
                             [mode: daemon, listen-once]
  --tunnel-user ARG        : tunnel username (default is current uid's name)
                             [mode: tunnel]
  -h [--help]              : display this help
  --version                : show program version information

Answer 2

svnserve 可能有仅在 localhost 上侦听的选项，但这听起来像是防火墙配置问题。

如果端口 3690 不能从外部访问，则应被防火墙阻止。svnserve 或其他任何东西是否在该端口上侦听都无关紧要。svnserve 然后可以继续在 3690 上侦听，但只会接收来自 localhost 的连接，因为其他连接被防火墙阻止。