2

我在一个具有严格安全要求的组织工作,有时甚至过于严格。我的项目团队正在尝试创建一个 SVN 存储库,但我们在设置一个以满足我们的需求和安全要求时遇到了困难。

我们的 IT 部门要求我们使用两因素身份验证来验证自己。每个开发人员都有一个 RSA 令牌,必须使用该令牌通过 SSH 登录到存储库主机。令牌上显示的值每分钟更改一次,每个值只能使用一次。

开发人员需要存储密码的能力。这使我们无法使用svn+ssh登录到存储库。由于 RSA 令牌每分钟更改一次,因此我们无法存储 SSH 密码。更糟糕的是,RSA 令牌会使我们每分钟减少一次 SVN 操作。这是完全不可接受的,特别是因为我们有将多个 SVN 操作链接在一起的脚本。

我们试图通过打开带有端口转发的 SSH 隧道来进行妥协。我们将打开一条隧道,ssh user@hostmachine -L 3690:localhost:3690用于将本地机器上的所有 SVN 请求转发到svnserve正在运行进程的安全机器。这意味着我们可以使用双重身份验证登录,然后在我们的实用程序中使用单独的 SVN 用户名和密码(可以存储)。

不幸的是,我们注意到我们不需要隧道。主机名可见的任何计算机都可以使用端口 3690。这对 IT 来说是不可接受的,我们的系统管理员认为这svnserve是问题所在,所以她想知道我们是否必须回到svn+ssh.

有没有可行的解决方案?我们的系统管理员正确吗?是否有一个选项svnserve会强制它只监听来自本地主机的流量?

4

2 回答 2

2

利用:

svnserve -dr /my/repo --listen-host 127.0.0.1

这样服务将只监听环回接口。当您使用 ssh 连接时,请使用:

ssh -L3690:127.0.0.1:3690 user@svnserver.mycompany.com

另见:

vince@f12 ~ > svnserve --help
usage: svnserve [-d | -i | -t | -X] [options]

Valid options:
  -d [--daemon]            : daemon mode
  -i [--inetd]             : inetd mode
  -t [--tunnel]            : tunnel mode
  -X [--listen-once]       : listen-once mode (useful for debugging)
  -r [--root] ARG          : root of directory to serve
  -R [--read-only]         : force read only, overriding repository config file
  --config-file ARG        : read configuration from file ARG
  --listen-port ARG        : listen port
                             [mode: daemon, listen-once]
  --listen-host ARG        : listen hostname or IP address
                             [mode: daemon, listen-once]
  -T [--threads]           : use threads instead of fork [mode: daemon]
  --foreground             : run in foreground (useful for debugging)
                             [mode: daemon]
  --log-file ARG           : svnserve log file
  --pid-file ARG           : write server process ID to file ARG
                             [mode: daemon, listen-once]
  --tunnel-user ARG        : tunnel username (default is current uid's name)
                             [mode: tunnel]
  -h [--help]              : display this help
  --version                : show program version information
于 2012-04-06T21:28:35.777 回答
0

svnserve 可能有仅在 localhost 上侦听的选项,但这听起来像是防火墙配置问题。

如果端口 3690 不能从外部访问,则应被防火墙阻止。svnserve 或其他任何东西是否在该端口上侦听都无关紧要。svnserve 然后可以继续在 3690 上侦听,但只会接收来自 localhost 的连接,因为其他连接被防火墙阻止。

于 2012-04-05T21:29:26.147 回答