D'un côté c'est vrai que c'est bien la sécurité et tout ça, mais de l'autre, à chaque fois que j'ai envi de modifier un truc sur mon serveur, je suis un peu obligé de me connecter via un VPN + tunnel SSH. Comme chacun sait, je suis un gros feignant et c'est pas par gaîté de coeur que je m'y connecte. C'est donc assez naturellement que je me suis dit : et si j'utilisais un repository SVN pour faire mon administration ? Diabolique non ? De plus je gagnais instantanément un suivi de qui modifié quoi sur mon serveur SVN. Très pratique pour savoir qui taper en cas de problème.
Création du repos adminsvn
La première étape a été de créer un repository sur mon serveur qui allait me servir à ça. Pour cela, rien de plus simple, on crée un repository SVN :$ svnadmin create /var/svn/adminsvnOn crée ensuite un trunk pour faire jolie ainsi qu'un sous-répertoire admin :
$ svn mkdir --parent file:///var/svn/adminsvn/trunk/admin -m "Création d'un trunk/admin"Nous allons maintenant alimenter le fichier /etc/httpd/svn.d/droits-svn.conf afin de protéger le repository d'administration :
[groups] admins_svn = yannig,cnorris [/] * = rw [adminsvn:/] # Personne ne peut lire le contenu de ce repository * = # Par contre, les admins SVN ont le droit de tout faire @admins_svn = rwAlimentons maintenant nos utilisateurs dans le fichier svn.passwd :
$ htpasswd -nb yannig mdpdeyannig > /etc/httpd/svn.d/svn.passwd $ htpasswd -nb cnorris chucknorrisnapasbesoindemdp >> /etc/httpd/svn.d/svn.passwdAjoutons maintenant ces fichiers dans le repository avec la commande suivante :
$ svn add svn.passwd droits-svn.conf
Mise en place du mécanisme de post commit
Procédons maintenant à un checkout de ce repository SVN dans un coin de notre serveur (en tant qu'utilisateur apache ou www-data selon que vous soyez sous RH ou Debian like) :$ svn co file:///var/svn/adminsvn/trunk/admin /etc/httpd/svn.dNous allons maintenant mettre en place un mécanisme de mise à jour de ce checkout. Rendez-vous dans le répertoire /var/svn/adminsvn/hooks et créons un fichier shell post-commit avec la commande suivante :
echo "svn up /etc/httpd/svn.d" > post-commit chmod +x post-commitComme vous pouvez le voir, le script n'est pas super complexe.
Si vous n'avez pas utiliser le bon utilisateur pour faire le checkout, vous pouvez modifier les droits avec la commandes suivantes :
chown -R apache:apache /etc/httpd/svn.d
Déclaration d'un ensemble de repository dans apache
Déclarons maintenant la racine contenant le repository dans apache en créant le fichier /etc/httpd/conf.d/svn.conf avec le contenu suivant :<Location /svn> DAV svn SVNParentPath /var/svn/ SVNListParentPath On Options +Indexes AuthType Basic AuthName "SVN" # Gestion authentification AuthBasicProvider file AuthzSVNAccessFile /etc/httpd/svn.d/droits-svn.conf AuthUserFile /etc/httpd/svn.d/svn.passwd Require valid-user </Location>Un arrêt/relance de l'ami Apache et nous voilà prêt pour la suite.
NB : Il est bien sûr évidant que vous devez disposer de l'extension mod_dav_svn. Sous RHEL, vous devrez lancer la commande yum suivante pour procéder à l'installation :
yum install mod_dav_svnSous Debian, ce module s'appelle libapache2-svn. Vous devrez dans ce cas utiliser la commande suivante :
apt-get install libapache2-svn
Test de notre mécanisme
Cette partie est plus simple puisqu'elle va consister à faire des commits dans notre repository. Pour se faire, vous devez donc vous munir d'un client SVN. En tant que vieux barbu, je fais ça en ligne de commande depuis mon poste Linux :svn co --username yannig http://monserveursvn/svn/adminsvn/trunk ~/adminsvnÉditons maintenant votre fichier droits-svn.conf de la manière qu'il nous plaira et lançons le commit :
$ svn diff Index: changelog.txt =================================================================== --- droits-svn.conf (revision 1) +++ droits-svn.conf (working copy) @@ -1,3 +1,4 @@ -admins_svn = yannig,cnorris +admins_svn = yannig,cnorris,nobody [/] * = rw $ svn ci -m "Ajout de l'utilisateur nobody." Sending droits-svn.conf Transmitting file data . Committed revision 2.Allons maintenant faire un tour sur notre serveur pour vérifier que le fichier droits-svn.conf a bien été mis à jour :
$ grep nobody /etc/httpd/svn.d/droits-svn.conf admins_svn = yannig,cnorris,nobodyLa modification a bien été prise en compte. Le mécanisme fonctionne bien comme prévu !
Aucun commentaire:
Enregistrer un commentaire