Nginx HTTP授權僅用於git推送

tag-icon tag-icon nginx git
Nginx HTTP授權僅用於git推送

我使用 Nginx 託管一個私人 git 伺服器。我希望任何人都可以克隆到我的儲存庫(未經授權),但如果他們嘗試推送提交,則需要授權。

我的Nginx設定如下:

server {
  listen 443 ssl;
  server_name git.example.com;
  ssl_certificate /fullchain.pem;
  ssl_certificate_key /privkey.pem;

  location ~ ^.*\.git/(HEAD|info/refs|objects/info/.*|git-(upload|recieve)-pack) {
    root /usr/share/nginx/git;

# --- incorrect solution ---

#    if ($1 = git-upload-pack) {
#        auth_basic "Restricted";
#        auth_basic_user_file /usr/share/nginx/htpasswd;
#    }
    client_max_body_size 0;
    include fastcgi_params;
    fastcgi_param SCRIPT_FILENAME /usr/lib/git-core/git-http-backend;
    fastcgi_param GIT_HTTP_EXPORT_ALL "";
    fastcgi_param GIT_PROJECT_ROOT $realpath_root;
    fastcgi_param REMOTE_USER $remote_user;
    fastcgi_param PATH_INFO $uri;
    fastcgi_param unix:/var/fcgiwrap.socket;

  }

根據我的理解,git push請求會發送git-receive-pack到我的伺服器。我的簡單解決方案是捕獲這個後綴$1並使用 if 語句,但我很快就發現這不是 ifs 的正確用法(伊菲塞維爾)。

對於我想要實現的目標,是否有更合適的解決方案?

答案1

git 可以在推送時發送不同的請求(例如/path/to/repo.git/path/in/repo/refs?service=git-upload-pack或類似的請求),並且您試圖使用相等的比較。

試試這樣的事情:

  # static repo files for faster cloning over https:
  location ~ \.git/objects/(?:[0-9a-f]+/[0-9a-f]+|pack/pack-[0-9a-f]+\.(?:pack|idx))$ {
    root /home/git/repositories/;
  }                                                                                                                                               

  # requests that need to go to git-http-backend:
  location ~ \.git/(?:HEAD|info/refs|objects/info/|git-(?:upload|receive)-pack$) {
    root /home/git/repositories;
    # if upload:
    if ( $uri ~* "git-upload-pack$" ) {
       auth_basic ...
    }
    ...
  }

但作為工作場景,您也可以使用類似的東西:

    # authorize if user name is specified:
    if ( $remote_user != "" ) {
       auth_basic ...
    }

或只是不同的 URL(和位置)用於推送,在授權後重寫它。然後你可以配置遠端使用不同的推送網址(包含使用者名稱或其他位置):

# with user:
git remote set-url --push origin https://[email protected]/repo/...
# with "rw" location (to force authorization):
git remote set-url --push origin https://git.domail.tld/rw/repo/...

順便說一句,指令「if」並不比某些頂級正規表示式位置更邪惡(特別是如果它僅應用於某些位置並且不直接在 http/server 部分中打擾)。
但是你確實可以在沒有“if”的情況下做到這一點(就像下面帶有命名位置的示例),但是在某些問題上調試並不是那麼簡單(如果你不熟悉nginx):

location ...condGit... {
  root ...;

  location ...condA... {
    ## authorize and supply request to @gitweb:
    auth_basic ...
    try_files "" @gitweb;
  }

  location ...condB... {
    ## authorize and supply request to @gitweb:
    auth_basic ...
    try_files "" @gitweb;
  }

  # send anything else to gitweb if it's not a real file (inside root of gitweb):
  try_files $uri @gitweb;

  location @gitweb {
    # ... single location of fcgi wrapper of git http backend ...
  }
}

相關內容