Entwicklerhandbuch/Repositorieverwaltung: Unterschied zwischen den Versionen
(→sftp-chroot: sshd_config Vorschlag) |
|||
| Zeile 20: | Zeile 20: | ||
== sftp-chroot == | == sftp-chroot == | ||
Der Benutzer dupload bekommt keine loginshell, er darf nur sftp zum Hoch/runterladen benutzen: | |||
<source lang="bash"> | |||
Subsystem sftp internal-sftp | |||
Match user dupload | |||
ChrootDirectory $REPOSITORYROOT/mini-dinstall/incoming | |||
X11Forwarding no | |||
AllowTcpForwarding no | |||
ForceCommand internal-sftp | |||
</source> | |||
== incron Setup == | == incron Setup == | ||
Version vom 10. Oktober 2009, 10:53 Uhr
Auf dieser Seite wird das Setup des dev-servers beschrieben. Möglicherweise gehört diese Seite ins trac!
Funktionsweise
Der Benutzer dupload hat über die sshd_config ein chroot unterhalb von $REPOSITORYROOT/mini-dinstall/incoming und darf nur sftp benutzen. Ein login ist ausschliesslich über einen ssh-key möglich.
incron überwacht das Repository auf eine .changes-Datei und stößt nach einem "IN_MODIFY,IN_CREATE" das Script mini-dinstall --batch aus. Die Pakete werden daraufhin einsortiert und die Releases signiert.
Aufbau des Repositories
- URL: deb.delixs.de
- delixs1 für lenny als Unterbau
- delixs2 für squeezy als Unterbau
Konfigurationen
Apache
mini-dinstall
Benutzer dupload
sftp-chroot
Der Benutzer dupload bekommt keine loginshell, er darf nur sftp zum Hoch/runterladen benutzen: <source lang="bash"> Subsystem sftp internal-sftp Match user dupload
ChrootDirectory $REPOSITORYROOT/mini-dinstall/incoming X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp
</source>
incron Setup
gpg-key
Zwei Möglichkeiten
- wir hinterlegen das Passwort auf der Platte im Klartext
- wir benutzen den gpg-agent, der es eine Weile im Speicher behält
Nachteil bei Möglichkeit 1: unsicher
Nachteil bei Möglichkeit 2: man muss mind. nach jedem Reboot den agent wieder mit dem PW füttern