Git : SSH 协议服务器

5ol.cc

　　SSH 协议用于为 Git 提供远程读写操作，是远程写操作的标准服务。

SSH协议语法格式
　　对于拥有 shell 登录权限的用户账号，可以用下面的语法访问 Git 版本库：
　　语法 1 : ssh://[<username>@]<server>[:<port>]/home/xxx/repo1.git
　　语法 2 : [<username>@]<server>:/home/xxx/repo1.git
　　注意 :
　　SSH 协议地址格式可以使用两种不同的写法，第一种是使用 ssh:// 开头的标准的 SSH 协议 URL 写法，第二种是 SCP 格式的写法。SSH 协议标准的 URL 写法稍嫌复杂，但是对于非标准 SSH 端口(非 22)可以直接在 URL 中给出端口号。
　　<username> 是服务器 <server> 上的用户账号，如果省略用户名，则会使用当前登录用户的用户名(配置和使用了主机别名的除外)。
　　<port> 为SSH 协议端口，默认为 22。当使用了非默认端口时，最好使用语法1。当然使用语法2也可以实现，但是要通过 ~/.ssh/config 配置文件设置主机别名。
　　路径 /home/xxx/repo1.git 是服务器中版本库的绝对路径。若用相对路径则是相对于 username 用户的家目录。
　　如果采用口令 认证，必须在每次连接时输入口令。
　　如果采用公钥认证，则不用输入口令。

服务器架设方式比较
　　SSH 协议有两种方式来实现 Git 服务。第一种是用标准的 SSH 账号访问版本库。即用户账号可以直接登录到服务器获得 shell。对于这种使用标准 SSH 账号的方式，直接使用标准的 SSH 服务就可以了。
　　第二种实现方式是所有用户都使用同一个专用的 SSH 账号访问版本库，访问时通过公钥认证的方式。虽然所有用户用同一个账号访问，但可以通过在建立连接时所用的不同公钥来区分不同的用户身份。Gitolite 就是实现该方式的服务器软件。
　　标准 SSH 账号和专用 SSH 账号这两种实现方式的区别：

标准 SSH
Gitolite账号
每个用户一个账号
所有用户公用同一个账号认证方式
口令或公钥认证
公钥认证登录到 shell
是
否安全性
差
好管理员需要 shell
是
否版本库路径
相对路径或绝对路径
相对路径授权方式
操作系统中用户组和目录权限
通过配置文件授权分支写授权
否
Gitolite路径写授权
否
Gitolite假设难易度
简单
复杂　　实际上，标准 SSH 也可以用公钥认证的方式实现使用用户公用同一个账号，不过这类似于把一个公共账号的登录口令同时告诉给多个人。具体操作如下：
　　1.    在服务器端创建一个公共账号，例如 sparker。
　　2.    管理员收集需要访问git服务的用户公钥。如 user1.pub，user2.pub。
　　3.    使用 ssh-copy-id 命令将各个 git 用户的公钥远程加入服务器的公钥认证列表中。
　　3.1.     远程操作，可以使用 ssh-copy-id 命令。
　　$ ssh-copy-id -i user1.pub sparker@server
　　$ ssh-copy-id -i user2.pub sparker@server
　　3.2.     如果直接在服务器上操作，则直接将文件追加到 authorized_keys文件中。
　　$ cat user1.pub >> ~sparker/.ssh/authorized_keys
　　$ cat user2.pub >> ~sparker/.ssh/authorized_keys
　　4.    在服务器端的 sparker 用户主目录下建立 git 库，就可以实现多个用户利用同一个系统账号(sparker)访问 git 服务了。
　　这样做除了不必逐一设置账号，以及用户无须口令认证之外，标准 SSH 部署 git 服务的缺点一个也不少，而且因为无法区分用户，也就无法针对用户进行授权。

SSH公钥认证
　　为实现公钥认证，作为认证的客户端一方需要拥有两个文件，即公钥/私钥对。一般情况下，公钥/私钥对文件创建在用户家目录下的 .ssh 目录中。如果用户家目录中不存在 .ssh 目录，说明 SSH 公钥/私钥对尚未创建。可以用下面的命令创建：
　　

$ ssh-keygen　　

　　该命令会在用户家目录下创建 .ssh 目录，并在其中创建两个文件：
　　1.    id_rsa
　　私钥文件，它是基于 RSA 算法创建的，一定要妥善保管不要泄露。
　　2.    id_rsa.pub

　　公钥文件，和>　　创建了自己的公钥/私钥对以后，就可以使用下面的命令，实现无口令登录远程服务器 (即用公钥认证取代口令认证)。
　　

$ ssh-copy-id -i .ssh/id_rsa.pub <user>@<server>　　

　　注意：
　　该命令会提示用户输入 user 在 server 上的 SSH 登录口令。
　　此命令执行成功后，再以 user 用户用 ssh 命令登录 server 远程主机时，不必输入口令即可直接登录。
　　该命令实际上是将 .ssh/id_rsa.pub 公钥文件追加到远程主机 serve r的 user 家目录下的 .ssh/authorized_keys 文件中。
　　检查公钥认证是否生效，通过 ssh 命令连接远程主机，正常的话应该直接登录成功。如果要求输入口令则表明公钥认证配置存在问题。如果 SSH 登录存在问题，可以通过查看服务器端的 /var/log/auth.log 文件进行诊断。

SSH主机别名
　　在实际使用中，有时需要使用多套公钥/私钥对，例如：
　　1.    使用默认的公钥访问服务器的 git 账号，可以执行 git 命令，但不能进行 shell 登录。
　　2.    使用特别创建的公钥访问服务器的 git 账号，能够获取 shell，登录后可以对 Git 服务器软件进行升级、维护等操作。
　　3.    访问 Github 使用其他公钥(非默认公钥)。
　　从上面的说明可以看出，用户可能拥有不止一套公钥/私钥对。为了创建不同的公钥/私钥对，在使用 ssh-keygen 命令时就需要通过-f参数指定不同的私钥名称。具体用法如下：
　　

$ ssh-keygen -f ~/.ssh/<filename>　　

　　请将 <filename> 替换为有意义的名称。命令执行完毕后，会在 ~/.ssh 目录下创建指定的公钥/私钥对：文件 <filename> 是私钥，文件 <filename>.pub 是公钥。
　　将新生成的公钥添加到远程主机登录用户家目录下的 .ssh/authorized_keys 文件中，就可以使用新创建的公钥建立到远程主机 <server> 的 <user> 账户的无口令登录。操作如下：
　　

$ ssh-copy-id -i .ssh/<filename>.pub <user>@<server>　　

　　现在用户存在多个公钥/私钥对，那么当执行下面的 ssh 登录命令时，用到的是哪个公钥呢？
　　

$ ssh <user>@<server>　　

　　当然是默认公钥 ~/.ssh/id_rsa.pub。那么如何用新建的公钥连接 server 呢？
　　SSH 的客户端配置文件 ~/.ssh/config可以通过创建主机别名，在连接主机时选择使用特定的公钥。例如 ~/.ssh/config 文件中的下列配置：
　　host abc
　　user git
　　hostname abc.xxx.com
　　port 22

　　>　　注意，hostname 也可以写成 IP。
　　然后执行下面的 SSH 登录命令：
　　

$ ssh abc　　

　　或者执行 git 命令：
　　

$ git clone abc:/home/abc/repo1.git　　

　　虽然这两条命令各不相同，但是都使用了 SSH 协议，以及相同的主机别名：abc。参考上面在 ~/.ssh/config 文件中建立的主机别名，可以做出如下判断：
　　1.    登录的SSH主机名为 abc.xxx.com。
　　2.    登录时使用的用户名为 git。
　　3.    认证时使用的公钥文件为 ~/.ssh/abc.pub。