[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[mhc:01921] Re: CVS pserver

To: mhc@xxxxxxxxxxxxx
Subject: [mhc:01921] Re: CVS pserver
From: TSUCHIYA Masatoshi <tsuchiya@xxxxxxxxxx>
Date: Wed, 16 Jun 2004 12:16:22 +0900
In-reply-to: <20040615225107B.nom@xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx> (Yoshinari Nomura's message of "Tue, 15 Jun 2004 22:51:07 +0900")
References: <20040609223611A.nom@xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx> <87ise0surs.fsf@xxxxxxxxxx> <20040611083727C.nom@xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx> <20040615225107B.nom@xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx>
Reply-to: mhc@xxxxxxxxxxxxx
User-agent: Gnus/5.110003 (No Gnus v0.3) Emacs/21.3 (gnu/linux)

>> On Tue, 15 Jun 2004 22:51:07 +0900
>> nom@xxxxxxxxxxxxx (Yoshinari Nomura) said as follows:

> 遅くなりましたが，cvs を 1.11.17 にバージョンアップしました．

ご苦労様でした．

ところで，現在は cvs への書き込みも pserver 経由で行われているので，
pserver は root 権限で動いているのではないかと思います[*]．もしそうだ
としたら，pserver のセキュリティホールが発生するたびに危険に曝されるこ
とになって大変ではないでしょうか?

対策として，

  ・書き込みは ssh 経由で行うようにする．
  ・pserver は anonymous readonly access のみに限定して，root 以外の非
    特権アカウントで実行する．

の2点を提案しておきます．今回，設定を調べて分かったのですが，ssh 経由
で cvs の書き込みだけができるユーザーを作るのは，意外と簡単でした．

  (1) 普通にユーザーを作る．
  (2) そのユーザーから ssh の公開鍵を提出して貰う．
  (3) ssh の公開鍵を，そのユーザーの ~/.ssh/authorized_keys に保存し，
      行頭に command="cvs server" と書く．

[*] cvs のユーザーを，実在の unix アカウントにマッピングする必要がある
から．

-- 
土屋 雅稔 ( TSUCHIYA Masatoshi )

Follow-Ups:
- [mhc:01922] Re: CVS pserver
  - From: Yoshinari Nomura

References:
- [mhc:01916] Re: CVS pserver
  - From: Yoshinari Nomura
- [mhc:01917] Re: CVS pserver
  - From: TSUCHIYA Masatoshi
- [mhc:01918] Re: CVS pserver
  - From: Yoshinari Nomura
- [mhc:01919] Re: CVS pserver
  - From: Yoshinari Nomura

Prev by Date: [mhc:01920] Re: mhc2palm で最後の月曜日をあつかう
Next by Date: [mhc:01922] Re: CVS pserver
Previous by thread: [mhc:01919] Re: CVS pserver
Next by thread: [mhc:01922] Re: CVS pserver
Index(es):
- Date
- Thread