My<cod/>.net
Безопасно ли устанавливать SVN на производственном веб-сервере win2008?
У меня есть веб-сервер, и в настоящее время я плачу за хостинг SVN в компании, которая специализируется на хостинге svn.
Я думаю просто установить SVN на моем выделенном сервере, есть ли какие-либо последствия для безопасности этого?
Я использую VisualSVN сервер от http://www.visualsvn.com/server/, очень прост в установке и может быть интегрирован с active directory. Он устанавливается на win2008 без каких-либо проблем.
Это зависит от того, насколько далеко вы хотите рассмотреть этот вопрос.
Если вы хотите установить сервер Subversion самостоятельно, то, похоже, у вас есть два варианта:
- Apache
- Подрывы собственного протокола
В любом случае проблема заключается не в том, что делают эти двое, а в том, что они делают непреднамеренно .
Если в Apache есть ошибки, которые позволяют стороннему злоумышленнику получить доступ к вашим данным, то это плохо. Если есть ошибки в диверсий собственный сервер, что позволяет одному и тому же, что это плохо.
Все, что вам нужно сделать, это рассмотреть риски и последствия для сценариев, а также разработать установку сервера, которая соответствует вашим требованиям, если это возможно.
Случаи, которые вы, по крайней мере, должны были бы рассмотреть, были бы:
- Ошибка в любой системе, которая позволяет злоумышленнику потопить ваш сервер (пример: что-то, что заставляет ваш сервер использовать чрезмерное количество времени CPU)
- Ошибка в любой системе, которая позволяет злоумышленнику получить доступ к данным на этом сервере
- Ошибка в любой системе, которая позволяет злоумышленнику получить доступ к вашему домену (т. е. все ваши серверы и машины доступны с этого общего сервера)
Лично я рассмотрел, сколько серверов subversion сейчас размещают через Apache, и установил VisualSVN сервер для размещения моего собственного исходного кода без сомнения.
Для простых требований безопасности настройка Subversion с помощью svnserve почти тривиальна. Даже заставить его работать под Apache для более обширных потребностей безопасности не слишком сложно.
Это хорошая прогулка по городу:
http://donie.homeip.net:8080/pebble/Steve/2006/02/27/1141079943879.html
Apache и SVN довольно легко запустить вместе, но есть несколько шагов. Это определенно легче сегодня, чем 2 года назад, когда я впервые попробовал. Убедитесь, что у вас есть соответствующие версии модулей, и проведите некоторое время, играя с Apache локально перед развертыванием на вашем сервере. Существуют версии Apache с SSL и без него. Проверьте, что у вас есть один с OpenSSL включен для защиты учетных данных на проводе.
Установите Apache так, чтобы его можно было запустить вручную, например. но не в качестве услуги. Вы захотите сделать это, чтобы избежать столкновения с любыми приложениями IIS на вашем сервере. Вы можете установить Apache для запуска в качестве службы позже, как только ваша конфигурация будет правильной.
Обычно Apache использует обычную аутентификацию. Вы должны защитить это с помощью SSL, учетные данные не шифруются при передаче. Вы помещаете сведения о пользователе в тестовый файл на диске. Если вы хотите аутентифицировать пользователей с помощью windows или active directory, у вас будет более сложная задача (возможно, см. VisualSVN для этого).
Я быстро взглянул на VisuaSVN, и это, кажется, хороший вариант. Однако небольшой опыт настройки Apache может пройти долгий путь. Исходя из фона IIS, это было не слишком сложно, просто потребовалось некоторое время, чтобы просмотреть все options/settings.
VisualSVN-это такой редкий зверь-инструмент настройки, который проще установить SVN на Windows, чем на Linux. И учитывая, что Linux вам просто нужно набрать "yum install subversion", это некоторая похвала.
Однако, если вы действительно беспокоитесь, я бы установил VMware рядом и запустил ваш SVN сервер в гостевой OS на вашем веб-сервере.
Безопасность: если вы запускаете svnserve, то просто заблокируйте доступ к этому порту (3960) для всех, кроме ваших компьютеров. Если нет, то вам нужно будет защитить файлы конфигурации svn auth. Если вы запускаете его с помощью apache, то это просто еще один веб-сайт для защиты, так же, как и обычно.
SVN очень трудно настроить в среде Windows, по крайней мере, если вы хотите разместить SVN, локальный репозиторий отличается. Мое предложение-придерживаться компании или искать более дешевый SVN, который не будет стоить столько денег. Их нетрудно настроить, но вам не хотелось бы потерять весь исходный код из-за неправильного резервного копирования.