信息安全网站首页 信息安全

Git安装与安全配置

发布时间：2015-11-05作者：

二、Git安全

1、禁用shell登录：

出于安全考虑，第二步创建的git用户不允许登录shell，这可以通过编辑/etc/passwd文件完成。找到类似下面的一行：

git:x:1001:1001:,,,:/home/git:/bin/bash

改为：

git:x:1001:1001:,,,:/home/git:/usr/bin/git-shell

这样，git用户可以正常通过ssh使用git，但无法登录shell，因为我们为git用户指定的git-shell每次一登录就自动退出。

2、管理公钥和权限

推荐使用Gitosis

3、Web代码发布安全（屏蔽对.git目录的访问）

Git clone后web站点存在.git目录，如果未经授权访问下载，黑客完全可以通过该目录导出源网站的源代码，造成服务器信息泄漏。

google搜索

".git"  intitle:"index of"

示例某站点泄漏：

然后利用老外的一个下载.git目录文件的工具rip-git.pl 就可以把它的整个目录下载下来并还原。

注意这一句：print “Example: $0 -v -u http://www.yflx.cc/.git/\n”; 大概形式就是文件名 -v -u url。

在cmd下执行：perl rip-git.pl -v -u http://域名，此处替换成你的目标域名/.git。

看看，整个目录都脱下来了。

然后

git reset --hard

就能还原了。

恢复工具下载地址:

或者：

解决方法：

apache:

<Directory ~ "~ ^(.*)\/\.git\/">
Order allow,deny
Deny from all
</Directory>

nginx:

location ~ ^(.*)\/\.git\/ {
return 404;
}

关键字词：代码管理,安全配置,Git,服务搭建