git_server.html (11452B)
1 <!DOCTYPE html> 2 <html> 3 <head> 4 <meta charset="utf-8"> 5 <meta name="viewport" content="width=device-width,initial-scale=1"> 6 <link rel="stylesheet" type="text/css" href="/style.css"> 7 <link rel="icon" type="image/x-icon" href="/pics/favicon.ico"> 8 <title>Gitサーバーの設定 on OpenBSD</title> 9 </head> 10 <body> 11 <header> 12 <a href="/">主頁</a> | 13 <a href="/about.html">自己紹介</a> | 14 <a href="/journal">日記</a> | 15 <a href="/farm">農業</a> | 16 <a href="/kitchen">台所</a> | 17 <a href="/computer">電算機</a> | 18 <a href="/poetry">詩</a> | 19 <a href="/books">本棚</a> | 20 <a href="/gallery">絵</a> | 21 <a href="https://git.mtkn.jp">Git</a> 22 </header> 23 <main> 24 <article> 25 <h1>Gitサーバーの設定 on OpenBSD</h1> 26 <time>2024-02-15</time> 27 28 <h2>はじめに</h2> 29 <p> 30 GitHubがMicrosoft傘下になり久しい。MincraftがMicrosoftアカウントなしでは遊べなくなった。このままではGitHubもそのうちMicrosoftアカウントを要求するようになるかもしれない。ということでGitサーバーを自前で持つことにした。</p> 31 <p> 32 ところでOpenBSDの開発者がGotという別のgit実装を作成しているので、この記事は近いうちにいらなくなりそう。 33 </p> 34 35 <h2>手順</h2> 36 <p> 37 以下ではssh接続によるpull/push及び、httpsによるpullを設定の上、stagitというウェブフロントエンドを導入する。 38 </p> 39 40 <h3>概要</h3> 41 <ol> 42 <li>ドメインの設定(任意)</li> 43 <li><code>httpd(8)</code>の設定</li> 44 <li>gitパッケージのインストールとchroot環境の整備</li> 45 <li>stagitの導入</li> 46 </ol> 47 48 <h3>ドメインの設定(任意)</h3> 49 <p> 50 ドメインを設定する。IPアドレスでアクセスできればいいならこの設定はいらない。</p> 51 <p> 52 今回はgitというサブドメインを登録した: 53 </p> 54 <table> 55 <thead> 56 <tr> 57 <th>サブドメイン</th> 58 <th>種別</th> 59 <th>内容</th> 60 <th>優先度</th> 61 </tr> 62 </thead> 63 <tbody> 64 <tr> 65 <td>git</td> 66 <td>A</td> 67 <td><i>サーバーのIPアドレス</i></td> 68 <td></td> 69 </tr> 70 </tbody> 71 </table> 72 73 <h3><code>httpd(8)</code>の設定</h3> 74 <p> 75 httpsで接続する場合、<code>acme-client(8)</code>を設定する(IPアドレスで接続するなら自己証明書を発行することになる)。まず<code>/etc/acme-client.conf</code>にドメインを追加する: 76 </p> 77 <pre><code>domain git.mtkn.jp { 78 domain key "/etc/ssl/private/git.mtkn.jp.key" 79 domain full chain certificate "/etc/ssl/git.mtkn.jp.fullchain.pem" 80 sign with letsencrypt 81 } 82 </code></pre> 83 84 <p> 85 続いて<code>/etc/httpd.conf</code>を設定する。</p> 86 <pre><code>server "git.mtkn.jp" { 87 listen on * port 80 88 location "/.well-known/acme-challenge/*" { 89 root "/acme" 90 request strip 2 91 } 92 location "*" { 93 block return 302 "https://$HTTP_HOST$REQUEST_URI" 94 } 95 } 96 97 server "git.mtkn.jp" { 98 listen on * tls port 443 99 tls { 100 certificate "/etc/ssl/git.mtkn.jp.fullchain.pem" 101 key "/etc/ssl/private/git.mtkn.jp.key" 102 } 103 location "/.well-known/acme-challenge/*" { 104 root "/acme" 105 request strip 2 106 } 107 location "/*/git-receive-pack" { 108 block 109 } 110 location "/*/git-upload-pack" { 111 fastcgi { 112 param SCRIPT_FILENAME "/usr/local/libexec/git/git-http-backend" 113 param GIT_PROJECT_ROOT "/git" 114 param GIT_HTTP_EXPORT_ALL "true" 115 } 116 } 117 location "/*/info/refs" { 118 fastcgi { 119 param SCRIPT_FILENAME "/usr/local/libexec/git/git-http-backend" 120 param GIT_PROJECT_ROOT "/git" 121 param GIT_HTTP_EXPORT_ALL "true" 122 } 123 } 124 } 125 </code></pre> 126 <p> 127 <code>location "/*/git-receive-pack"</code>はpushの設定。今回はhttpsでのpushを受付けないので<code>block</code>する。</p> 128 <p> 129 <code>location "/*/git-upload-pack"</code>は手元のパソコンから<code>git clone</code>や<code>git pull</code>したときのもの。<code>location "/*/info/refs"</code>は上記を含むアクセスがあったときのもの。ここではCGIを使って<code>git-http-backend</code>を呼んでいるだけである。<code>SCRIPT_FILENAME</code>は<code>httpd(8)</code>のchroot環境でのパスである。必要なファイルは後でこのchroot環境にコピーする。 130 </p> 131 <p> 132 この後同じURLでフロントエンドをホストしたいので、上記のように必要なURLからのみCGIを実行するようにした。gitのhttpクライアントがどのURLを利用しているのかは[2]に書いていた。</p> 133 134 135 136 <p> 137 httpsが必要ない場合は1つ目の<code>server</code>に各<code>location</code>を書くだけでいい。 138 </p> 139 <p> 140 <code>httpd(8)</code>と<code>slowcgi(8)</code>を起動する: 141 </p> 142 <pre><code># echo httpd_flags= >> /etc/rc.conf.local 143 # echo slowcgi_flags= >> /etc/rc.conf.local 144 # rcctl start httpd 145 # rcctl enable httpd 146 # rcctl start slowcgi 147 # rcctl enable slowcgi 148 </code></pre> 149 <p> 150 サーバー証明書の発行: 151 </p> 152 <pre><code># acme-client -v git.mtkn.jp 153 </code></pre> 154 <p> 155 <code>crontab(1)</code>にサーバー証明書の自動更新を登録: 156 </p> 157 <pre><code>#minute hour mday month wday [flags] command 158 ~ 2 * * * acme-client git.mtkn.jp && rcctl reload httpd 159 </code></pre> 160 161 <h3>gitパッケージのインストールとchroot環境の整備</h3> 162 <p> 163 gitパッケージをインストールし、ssh接続用のユーザーを作成する。httpsでも公開するので、gitユーザーのホームディレクトリは<code>/var/www</code>下にする: 164 </p> 165 <pre><code># pkg_add git 166 # useradd -b /var/www -m -s /usr/local/bin/git-shell git 167 </code></pre> 168 <p> 169 ssh接続用の公開鍵を<code>/var/www/git/.ssh/authorized_keys</code>に登録する。ところでこのファイルに公開鍵を書き込むとgitユーザーとしてsshでログインできるので、部外者がこのファイルの編集をできないようにしておく必要がある。一応所有者は<code>git:git</code>、権限は<code>-rw-------</code>なので大丈夫だと思うが、心配なら<code>httpd(8)</code>のchroot環境の外にこのファイルを移動させておいてもいいかもしれない。</p> 170 <p> 171 httpsでアクセスするためにchroot環境を整備する。<code>httpd(8)</code>は既定では<code>/var/www</code>にchrootして実行されるので、CGIに必要なファイルをこのディレクトリ以下に用意する必要がある。まずはgitのコマンドをコピー: 172 </p> 173 <pre><code># mkdir -p /var/www/usr/local/libexec/git 174 # cp /usr/local/libexec/git/git-{http-backend,receive-pack,upload-pack} /var/www/usr/local/libexec/git/ 175 # chown www:www /var/www/usr/local/libexec/git/git-{http-backend,receive-pack,upload-pack} 176 # chmod 0500 /var/www/usr/local/libexec/git/git-{http-backend,receive-pack,upload-pack} 177 # mkdir -p /var/www/usr/local/bin 178 # cp /usr/local/bin/git /var/www/usr/local/bin/ 179 # chown www:www /var/www/usr/local/bin/git 180 # chmod 0500 /var/www/usr/local/bin/git 181 </code></pre> 182 <p> 183 続いてコマンドの実行に必要なライブラリをコピー: 184 </p> 185 <pre><code># mkdir -p /var/www/usr/lib /var/www/usr/local/lib /var/www/usr/libexec 186 # find /var/www/{bin,usr} -type f | grep git | xargs ldd | awk '{print $7}' | grep -v -e '^/var/www/' -e '^$' -e 'Name' | sort | uniq | awk '{printf "cp %s /var/www%s && chown www:www /var/www%s && chmod 0400 /var/www%s\n", $1, $1, $1, $1}' | sh -s 187 </code></pre> 188 <p> 189 <code>/dev/null</code>をコピーする(<code>mknod(8)</code>参照): 190 </p> 191 <pre><code># mkdir /var/www/dev 192 # mknod -m 666 /var/www/dev/null c 2 2 193 </code></pre> 194 <p> 195 最後に、<code>/var/www/dev/null</code>を作成するために<code>/etc/fstab</code>の<code>/var</code>エントリーから<code>nodev</code>オプションを削除し、再起動する。 196 </p> 197 198 <p> 199 gitパッケージやシステムの更新後、chroot環境のコマンドやライブラリも更新しないといけないのでそのためのスクリプトを適当に作った: 200 </p> 201 <pre><code>#!/bin/sh -xe 202 203 oso=$(find /var/www/usr -type f -name '*.so*') 204 rm $oso 205 206 bin=$(find /var/www/bin /var/www/usr -type f ! -name '*.so*' | 207 grep -v bgpctl | 208 sed 's|^/var/www||' 209 ) 210 echo "$bin" | sed 's|.*|cp & /var/www&|' | sh -s 211 echo "$bin" | sed 's|.*|chown www:www /var/www&|' | sh -s 212 echo "$bin" | sed 's|.*|chmod 0500 /var/www&|' | sh -s 213 214 nso=$(echo "$bin" | sed 's|^|/var/www|' | 215 xargs ldd | awk '{print $7}' | 216 grep -v -e '^/var/www/' -e '^$' -e 'Name' | 217 sort | uniq 218 ) 219 echo "$nso" | sed 's|.*|cp & /var/www&|' | sh -s 220 echo "$nso" | sed 's|.*|chown www:www /var/www&|' | sh -s 221 echo "$nso" | sed 's|.*|chmod 0400 /var/www&|' | sh -s 222 </code></pre> 223 224 <h3><code>stagit(1)</code>の導入</h3> 225 <p> 226 ウェブフロントエンドとしてstagitを導入する: 227 </p> 228 <pre><code># pkg_add stagit 229 </code></pre> 230 <p> 231 <code>httpd.conf(5)</code>の<code>server "git.mtkn.jp"</code>の中に以下の設定を追加する(<code>location</code>のマッチは上から順番に評価されるので、上で設定したgitのhttpクライアント用の<code>location</code>よりも下に記入する): 232 </p> 233 <pre><code> location "/" { 234 directory index index.html 235 root "/htdocs/git.mtkn.jp" 236 } 237 location "*" { 238 directory index log.html 239 root "/htdocs/git.mtkn.jp" 240 } 241 </code></pre> 242 <p> 243 stagit用のディレクトリを作成して<code>httpd(8)</code>を再読込する: 244 </p> 245 <pre><code># mkdir /var/www/htdocs/git.mtkn.jp 246 # chown git:git /var/www/htdocs/git.mtkn.jp 247 # rcctl reload httpd 248 </code></pre> 249 250 <p> 251 gitリポジトリが更新されたときにウェブページも更新するように設定する。gitリポジトリはなにか更新があった場合、そのリポジトリのディレクトリの中の<code>hooks/post-receive</code>というファイルを自動で実行する。そのためこのファイルに、stagitの更新をするスクリプトを書いておけばいい: 252 </p> 253 <pre><code>#!/bin/sh 254 255 git_root="/var/www/git" 256 stagit_root="/var/www/htdocs/git.mtkn.jp" 257 repo="$(basename "$(pwd)" | sed 's/\.git$//')" 258 src="$(pwd)" 259 stagit_dst="$stagit_root/$repo" 260 261 mkdir -p "$stagit_dst" 262 (cd "$stagit_dst" && stagit -l 64 "$src") 263 (cd "$stagit_root" && stagit-index $git_root/*.git > index.html) 264 </code></pre> 265 266 <h2>レポジトリの作成</h2> 267 <p> 268 レポジトリを作成するにはサーバーで以下のようにする。</p> 269 <pre><code>$ cd /var/www/git 270 $ doas -u git mkdir <i>repo</i>.git 271 $ cd <i>repo</i>.git 272 $ doas -u git git init --bare 273 </code></pre> 274 275 <p> 276 これで手元のパソコンからクローンできる: 277 </p> 278 <pre><code>$ git clone git@git.mtkn.jp:<i>repo</i>.git 279 </code></pre> 280 <p> 281 または 282 </p> 283 <pre><code>$ git clone https://git.mtkn.jp/<i>repo</i>.git 284 </code></pre> 285 286 <h2>参考</h2> 287 <ul> 288 <li>[1] <a href="https://git-scm.com/book/en/v2/Git-on-the-Server-The-Protocols">Git - The Protocols.Git</a></li> 289 <li>[2] <a href="https://git-scm.com/docs/http-protocol">Git - http-protocol Documentation.Git</a></li> 290 <li>[3] <a href="https://codemadness.org/stagit.html">Stagit: a static git page generator - Codemadness</a></li> 291 </ul> 292 </article> 293 294 </main> 295 <footer> 296 <address>info(at)mtkn(dot)jp</address> 297 <a href="http://creativecommons.org/publicdomain/zero/1.0?ref=chooser-v1" rel="license noopener noreferrer">CC0 1.0</a> 298 </footer> 299 </body> 300 </html>