SSH 协议用于为 Git 提供远程读写操作,是远程写操作的标准服务。
SSH协议语法格式
对于拥有 shell 登录权限的用户账号,可以用下面的语法访问 Git 版本库:
语法 1 : ssh://[<username>@]<server>[:<port>]/home/xxx/repo1.git
语法 2 : [<username>@]<server>:/home/xxx/repo1.git
注意 :
SSH 协议地址格式可以使用两种不同的写法,第一种是使用 ssh:// 开头的标准的 SSH 协议 URL 写法,第二种是 SCP 格式的写法。SSH 协议标准的 URL 写法稍嫌复杂,但是对于非标准 SSH 端口(非 22)可以直接在 URL 中给出端口号。
<username> 是服务器 <server> 上的用户账号,如果省略用户名,则会使用当前登录用户的用户名(配置和使用了主机别名的除外)。
<port> 为SSH 协议端口,默认为 22。当使用了非默认端口时,最好使用语法1。当然使用语法2也可以实现,但是要通过 ~/.ssh/config 配置文件设置主机别名。
路径 /home/xxx/repo1.git 是服务器中版本库的绝对路径。若用相对路径则是相对于 username 用户的家目录。
如果采用口令 认证,必须在每次连接时输入口令。
如果采用公钥认证,则不用输入口令。
服务器架设方式比较
SSH 协议有两种方式来实现 Git 服务。第一种是用标准的 SSH 账号访问版本库。即用户账号可以直接登录到服务器获得 shell。对于这种使用标准 SSH 账号的方式,直接使用标准的 SSH 服务就可以了。
第二种实现方式是所有用户都使用同一个专用的 SSH 账号访问版本库,访问时通过公钥认证的方式。虽然所有用户用同一个账号访问,但可以通过在建立连接时所用的不同公钥来区分不同的用户身份。Gitolite 就是实现该方式的服务器软件。
标准 SSH 账号和专用 SSH 账号这两种实现方式的区别:
| 标准 SSH | Gitolite | |
| 账号 | 每个用户一个账号 | 所有用户公用同一个账号 |
| 认证方式 | 口令或公钥认证 | 公钥认证 |
| 登录到 shell | 是 | 否 |
| 安全性 | 差 | 好 |
| 管理员需要 shell | 是 | 否 |
| 版本库路径 | 相对路径或绝对路径 | 相对路径 |
| 授权方式 | 操作系统中用户组和目录权限 | 通过配置文件授权 |
| 分支写授权 | 否 | Gitolite |
| 路径写授权 | 否 | Gitolite |
| 假设难易度 | 简单 | 复杂 |
实际上,标准 SSH 也可以用公钥认证的方式实现使用用户公用同一个账号,不过这类似于把一个公共账号的登录口令同时告诉给多个人。具体操作如下:
1. 在服务器端创建一个公共账号,例如 sparker。
2. 管理员收集需要访问git服务的用户公钥。如 user1.pub,user2.pub。
3. 使用 ssh-copy-id 命令将各个 git 用户的公钥远程加入服务器的公钥认证列表中。
3.1. 远程操作,可以使用 ssh-copy-id 命令。
$ ssh-copy-id -i user1.pub sparker@server
$ ssh-copy-id -i user2.pub sparker@server
3.2. 如果直接在服务器上操作,则直接将文件追加到 authorized_keys文件中。
$ cat user1.pub >> ~sparker/.ssh/authorized_keys
$ cat user2.pub >> ~sparker/.ssh/authorized_keys
4. 在服务器端的 sparker 用户主目录下建立 git 库,就可以实现多个用户利用同一个系统账号(sparker)访问 git 服务了。
这样做除了不必逐一设置账号,以及用户无须口令认证之外,标准 SSH 部署 git 服务的缺点一个也不少,而且因为无法区分用户,也就无法针对用户进行授权。
SSH公钥认证
为实现公钥认证,作为认证的客户端一方需要拥有两个文件,即公钥/私钥对。一般情况下,公钥/私钥对文件创建在用户家目录下的 .ssh 目录中。如果用户家目录中不存在 .ssh 目录,说明 SSH 公钥/私钥对尚未创建。可以用下面的命令创建:
$ ssh-keygen
该命令会在用户家目录下创建 .ssh 目录,并在其中创建两个文件:
1. id_rsa
私钥文件,它是基于 RSA 算法创建的,一定要妥善保管不要泄露。
2. id_rsa.pub
公钥文件,和 id_rsa 文件是一对儿,该文件作为公钥文件可以公开。
创建了自己的公钥/私钥对以后,就可以使用下面的命令,实现无口令登录远程服务器 (即用公钥认证取代口令认证)。
$ ssh-copy-id -i .ssh/id_rsa.pub <user>@<server>
注意:
该命令会提示用户输入 user 在 server 上的 SSH 登录口令。
此命令执行成功后,再以 user 用户用 ssh 命令登录 server 远程主机时,不必输入口令即可直接登录。
该命令实际上是将 .ssh/id_rsa.pub 公钥文件追加到远程主机 serve r的 user 家目录下的 .ssh/authorized_keys 文件中。
检查公钥认证是否生效,通过 ssh 命令连接远程主机,正常的话应该直接登录成功。如果要求输入口令则表明公钥认证配置存在问题。如果 SSH 登录存在问题,可以通过查看服务器端的 /var/log/auth.log 文件进行诊断。
SSH主机别名
在实际使用中,有时需要使用多套公钥/私钥对,例如:
1. 使用默认的公钥访问服务器的 git 账号,可以执行 git 命令,但不能进行 shell 登录。
2. 使用特别创建的公钥访问服务器的 git 账号,能够获取 shell,登录后可以对 Git 服务器软件进行升级、维护等操作。
3. 访问 Github 使用其他公钥(非默认公钥)。
从上面的说明可以看出,用户可能拥有不止一套公钥/私钥对。为了创建不同的公钥/私钥对,在使用 ssh-keygen 命令时就需要通过-f参数指定不同的私钥名称。具体用法如下:
$ ssh-keygen -f ~/.ssh/<filename>
请将 <filename> 替换为有意义的名称。命令执行完毕后,会在 ~/.ssh 目录下创建指定的公钥/私钥对:文件 <filename> 是私钥,文件 <filename>.pub 是公钥。
将新生成的公钥添加到远程主机登录用户家目录下的 .ssh/authorized_keys 文件中,就可以使用新创建的公钥建立到远程主机 <server> 的 <user> 账户的无口令登录。操作如下:
$ ssh-copy-id -i .ssh/<filename>.pub <user>@<server>
现在用户存在多个公钥/私钥对,那么当执行下面的 ssh 登录命令时,用到的是哪个公钥呢?
$ ssh <user>@<server>
当然是默认公钥 ~/.ssh/id_rsa.pub。那么如何用新建的公钥连接 server 呢?
SSH 的客户端配置文件 ~/.ssh/config可以通过创建主机别名,在连接主机时选择使用特定的公钥。例如 ~/.ssh/config 文件中的下列配置:
host abc
user git
hostname abc.xxx.com
port 22
Identityfile ~/.ssh/abc
注意,hostname 也可以写成 IP。
然后执行下面的 SSH 登录命令:
$ ssh abc
或者执行 git 命令:
$ git clone abc:/home/abc/repo1.git
虽然这两条命令各不相同,但是都使用了 SSH 协议,以及相同的主机别名:abc。参考上面在 ~/.ssh/config 文件中建立的主机别名,可以做出如下判断:
1. 登录的SSH主机名为 abc.xxx.com。
2. 登录时使用的用户名为 git。
3. 认证时使用的公钥文件为 ~/.ssh/abc.pub。
