セキュリティ設計

リポジトリには機密情報が含まれる可能性があるため、リポジトリにアクセスできる手段を可能な限り絞り込みます。具体的には、以下のように設計します。

• SSH経由のアクセス
  • SSHで公開鍵認証を行い、Gitoliteでアクセス制御を行います。
  • Gitoliteは公開鍵を適切に管理する役割も担います。
  • 認証からリポジトリ操作までgitユーザでプロセスを実行します。
• HTTPS経由のアクセス
  • Apache httpdで認証およびアクセス制御を行い、さらにGitoliteでアクセス制御を行います。
  • 認証に用いるクレデンシャルは適切に管理されている前提とします。
    • 私の環境ではLDAPで統合認証しています。
    • htpasswdによるパスワード認証でも構いません。
  • Apache httpdからsuexecを経由してgitユーザでプロセスを実行します。
    • Apache httpdの実行ユーザがリポジトリにアクセスできるように権限を設定する方法もありますが、Webサーバ全体でリポジトリにアクセスできるようになるため、予期せぬセキュリティホールを生む可能性があります。

Gitolite

Gitoliteは、Gitリポジトリを管理するためのツールです。リポジトリからSSH設定までまるっと管理してくれます。詳しい仕組みは ユカイ、ツーカイ、カイハツ環境！（26）：Git管理の神ツール「Gitolite」なら、ここまでできる！ (1/2) - ＠IT が参考になります。本稿では以下の設計とします。

• gitユーザ（gitグループ）でリポジトリを管理します。
  • suexecを使うため、gitユーザのUIDはシステムユーザではない範囲（一般に500以上）にします。
  • ホームディレクトリは /home/git とします。
  • gitoliteパッケージのインストールで作成されるユーザは今回使いません。名前が長いし、システムユーザだし。
• /home/git/repositories にリポジトリ群を配置します。
• gitユーザのみGitリポジトリを参照できるようにします。

GitWeb

GitWebは、Webベースのリポジトリビューアです。GitHubに比べたらお世辞にも高機能とは言えませんが、CGIファイルを置くだけで使えるので簡単です。詳しくは Git - GitWeb が参考になります。本稿では以下の設計とします。

• suexecを利用してgitユーザでスクリプトを実行します。
• suexecを利用するため、スクリプトやリソースは /var/www/git に配置します。

git-http-backend

git-http-backendは、HTTP経由のリポジトリアクセスを実現するためのバックエンドです。詳細な仕組みは Smart HTTP Transport が参考になります。本稿では以下の設計とします。

• suexecを利用してgitユーザでバックエンドを実行します。
• suexecを利用するため、バックエンドを呼び出すラッパースクリプトを /var/www/git に配置します。

Apache httpd

以下の設計とします。

• 他のWebサイトとGitサーバを分離したいので、新しくバーチャルホストを作成します。ここでは https://git.example.com とします。
• パスワードを保護するため、SSLを使います。
  • ワイルドカード証明書（例：*.example.com）にしておくと、SSLでもバーチャルホストを増やせるので便利です。
  • 自己署名CAの場合は、WebブラウザにCA証明書をインポートしておきしましょう。
• suexecを有効化します。

Gitolite

詳しい方法は ユカイ、ツーカイ、カイハツ環境！（26）：Git管理の神ツール「Gitolite」なら、ここまでできる！ (1/2) - ＠IT を参照してください。

結果的に、以下のディレクトリ構造があればOKです。

• /home/git (git:git 700)
  • repositories/
    • gitolite-admin.git/
    • 他のリポジトリ...

Apache httpd

下記のようにhttpd.confを設定します。これはApache httpd 2.4の例です。2.2では手直しが必要です。あと、バーチャルホスト以外の設定は省略しています。

# Basic SSL setup
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
SSLPassPhraseDialog builtin
SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000)
SSLSessionCacheTimeout 300
SSLCertificateFile    /etc/pki/https-wildcard.crt  # 環境に応じて変更してください
SSLCertificateKeyFile /etc/pki/https-wildcard.key
SSLCACertificateFile  /etc/pki/https-ca.crt
Listen 443

<VirtualHost *:443>
  SSLEngine on
  ServerName git.example.com
  SuexecUserGroup git git
  DocumentRoot /var/www/git
  <Location />
    AuthMerging And
    Authname "git"
    Include "/etc/httpd/conf.d/auth-ldap"  # 認証方式に応じて変更してください
    Require user someone
  </Location>
  <Directory /var/www/git>
    Require all granted
    Options ExecCGI
    AddHandler cgi-script .cgi
    DirectoryIndex gitweb.cgi
  </Directory>
  ScriptAliasMatch ^/.*\.git/.*$ /var/www/git/git-http-backend-wrapper.cgi$0
</VirtualHost>

ポイントは、

• 認証を有効にします。
• / にアクセスすると GitWeb が実行されるようにします。
• .git/ が含まれるパスにアクセスするとバックエンドラッパーが実行されるようにします。

git-http-backend

下記の内容で /var/www/git/git-http-backend-wrapper.cgi を配置します。chmod +xしておきます。

#!/bin/sh
export GIT_PROJECT_ROOT=/home/git/repositories
export GIT_HTTP_EXPORT_ALL=1
export GIT_HTTP_BACKEND=/usr/libexec/git-core/git-http-backend
export GITOLITE_HTTP_HOME=/home/git
exec gl-auth-command

ポイントは、

• このスクリプトはGitoliteを経由してgit-http-backendを実行するラッパーの役割を果たします。
• Gitoliteとgit-http-backendに必要な環境変数を設定します。

GitWeb

設定ファイル（/etc/gitweb.conf）にリポジトリパスを指定します。