[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[mhc:01921] Re: CVS pserver



>> On Tue, 15 Jun 2004 22:51:07 +0900
>> nom@xxxxxxxxxxxxx (Yoshinari Nomura) said as follows:

> 遅くなりましたが,cvs を 1.11.17 にバージョンアップしました.

ご苦労様でした.

ところで,現在は cvs への書き込みも pserver 経由で行われているので,
pserver は root 権限で動いているのではないかと思います[*].もしそうだ
としたら,pserver のセキュリティホールが発生するたびに危険に曝されるこ
とになって大変ではないでしょうか?

対策として,

  ・書き込みは ssh 経由で行うようにする.
  ・pserver は anonymous readonly access のみに限定して,root 以外の非
    特権アカウントで実行する.

の2点を提案しておきます.今回,設定を調べて分かったのですが,ssh 経由
で cvs の書き込みだけができるユーザーを作るのは,意外と簡単でした.

  (1) 普通にユーザーを作る.
  (2) そのユーザーから ssh の公開鍵を提出して貰う.
  (3) ssh の公開鍵を,そのユーザーの ~/.ssh/authorized_keys に保存し,
      行頭に command="cvs server" と書く.

[*] cvs のユーザーを,実在の unix アカウントにマッピングする必要がある
から.

-- 
土屋 雅稔 ( TSUCHIYA Masatoshi )