您可以在 .ssh/authorized_keys 中指定 git-shell 以限制仅通过 ssh 访问 git 命令吗？

Question

我希望能够使用 ssh 密钥进行身份验证，但仍然限制可以通过 ssh 隧道执行的命令。

使用 Subversion，我通过使用 .ssh/authorized_keys 文件实现了这一点，例如：

command="/usr/local/bin/svnserve -t --tunnel-user matt -r /path/to/repository",no-port-forwarding,no-agent-forwarding,no-X11-forwarding,no-pty ssh-rsa AAAAB3NzaC1yc2EAAAABIetc...

我已经在命令中使用“/usr/bin/git-shell”尝试过这个，但我只是得到了时髦的旧fatal: What do you think I am? A shell?错误消息。

Answer 1

我可以直接在authorizedKeys 文件中成功使用git-shell，而无需使用额外的脚本。

关键是\"在 env 变量周围添加。

在 rhel6 openssh-server-5.3p1-70.el6.x86_64 中测试：

no-port-forwarding,no-agent-forwarding,command="git-shell -c \"$SSH_ORIGINAL_COMMAND\"" ssh-dss AAAA...

Answer 2

以下对我有用。

在~/.ssh/authorized_keys：

command="./gitserve",no-port-forwarding,no-agent-forwarding,no-X11-forwarding,no-pty ssh-dss AAAAB…

在~/gitserve脚本中：

#!/bin/sh
exec git-shell -c "$SSH_ORIGINAL_COMMAND"

请注意，如果你把gitserve比主目录之外的某个地方，你将不得不调整command="./gitserve"参数authorized_keys。

Answer 3

通过更换生产线，Grawity的解决方案可以很容易地修改为工作

        exec $SSH_ORIGINAL_COMMAND

与线

        git-shell -c "$SSH_ORIGINAL_COMMAND"

引号处理了上面报告的问题，用 git-shell 替换 exec 似乎更安全一些。