CentOS上GitLab的权限如何设置

CentOS上GitLab权限设置指南

一、基础环境准备：用户与目录权限

GitLab的权限管理需先确保运行用户及目录权限正确，避免因权限问题导致服务异常或安全隐患。

1. GitLab运行用户：GitLab默认以git系统用户运行，若未创建需执行以下命令：

   sudo adduser git --system --shell /bin/bash --gecos 'Git Version Control' --disabled-login --home /home/git
   

   如需为用户分配sudo权限（如管理GitLab配置），可将其加入wheel组：

   sudo usermod -aG wheel git
   

2. 目录权限设置：GitLab核心数据目录（如/var/opt/gitlab）需归属git用户及组，并设置合理权限：

   sudo chown -R git:git /var/opt/gitlab
   sudo chmod -R 755 /var/opt/gitlab
   

   若自定义安装路径（如/home/git/gitlab），需同步调整对应目录权限。

二、GitLab配置文件权限

GitLab的主配置文件（/etc/gitlab/gitlab.rb）及服务单元文件需确保仅git用户或root可修改，防止未经授权的配置变更：

sudo chown git:git /etc/gitlab/gitlab.rb
sudo chmod 644 /etc/gitlab/gitlab.rb

若使用systemd管理服务，需确认GitLab服务文件（/usr/lib/systemd/system/gitlab-runsvdir.service）的用户设置为git：

User=git
Group=git

三、SELinux设置（若启用）

若CentOS系统启用了SELinux，需调整策略以避免GitLab服务被拦截：

1. 查看SELinux状态：

   sestatus
   

2. 若处于Enforcing模式，可临时设置为Permissive测试是否为SELinux导致的问题：

   sudo setenforce 0
   

3. 永久调整需修改/etc/selinux/config文件，将SELINUX=enforcing改为SELinux=permissive，并参考GitLab官方文档配置针对性SELinux策略。

四、GitLab权限类型与设置

GitLab的权限体系分为全局级别、命名空间级别、项目级别，覆盖从实例到项目的不同管理需求。

1. 全局级别权限（实例管理员）

全局权限由GitLab管理员（admin用户）管理，用于控制用户对整个GitLab实例的访问：

• 管理员：拥有实例完全控制权，可管理用户、组、项目及实例设置。
• 维护者：可管理实例设置（如邮件配置），但不能添加/删除用户。
• 开发者：无实例管理权限，仅能访问授权的项目。
  设置路径：Admin Area -> Settings -> General -> Permissions。

2. 命名空间级别权限（组/项目集管理员）

命名空间（Group）权限用于控制用户对一组项目（如团队项目集）的访问：

• 管理员：拥有命名空间完全控制权，可添加/删除项目、管理成员及命名空间设置。
• 维护者：可管理命名空间设置（如可见性），但不能添加/删除成员。
• 开发者：可访问命名空间中的项目，但不能修改命名空间设置。
• 来宾：仅能查看命名空间中的项目。
  设置路径：Group -> Settings -> Members。

3. 项目级别权限（核心权限）

项目级别权限是最常用的权限类型，用于控制用户对单个项目的访问，包含5种预定义角色：

• Owner：项目完全控制权，可管理成员、设置项目可见性、删除项目。
• Maintainer：可管理项目设置（如分支保护、CI/CD流水线）、添加/删除成员、推送代码。
• Developer：可克隆、推送、拉取代码，创建分支及提交合并请求，但不能修改项目设置。
• Reporter：仅能查看项目代码、提交记录及CI/CD结果，不能进行修改。
• Guest：仅能查看项目公开信息（如README），不能访问代码或提交记录。
  设置路径：Project -> Settings -> Members。

五、项目访问级别设置

项目可见性决定了用户是否能访问项目，需在创建项目时或后续修改：

• 公开（Public）：任何人（包括未登录用户）均可访问项目代码及信息。
• 内部（Internal）：需登录GitLab实例的用户可访问（适用于企业内部项目）。
• 私有（Private）：仅项目成员可访问（适用于敏感项目）。
  设置路径：Project -> Settings -> General -> Visibility, project features, permissions。

六、分支保护（高级权限控制）

分支保护用于限制对关键分支（如main/master）的操作，防止误推送或强制推送：

1. 进入项目设置：Project -> Settings -> Repository。
2. 点击“Protected Branches”，选择需保护的分支（如main）。
3. 设置权限：
   • Allowed to push：可选择“Maintainers”或“Developers+Maintainers”，限制谁能推送代码。
   • Allowed to merge：可选择“Maintainers”或“Developers+Maintainers”，限制谁能合并代码。
   • Require a pull request before merging：开启后，需通过合并请求（MR）才能合并代码，增加代码审核环节。

七、权限管理工具

1. Web界面：GitLab提供的直观界面是权限管理的主要方式，适用于大多数场景（如添加用户、设置角色）。
2. 命令行工具：通过gitlab-rails console可批量管理用户与权限（如创建用户、添加到组）：

   # 创建用户
   user = User.new(username: 'new_user', email: 'new_user@example.com', password: 'password123', password_confirmation: 'password123')
   user.admin = false
   user.save
   
   # 添加用户到组
   group = Group.find_by_name('dev-group')
   group.add_developer(user)
   

八、定期审计

权限设置需定期审计，确保符合安全策略：

• 检查用户角色是否与实际职责匹配（如离职用户需移除权限）。
• 审查分支保护规则是否严格（如关键分支是否开启了MR审核）。
• 查看GitLab日志（/var/log/gitlab/gitlab-rails/production.log）排查权限相关异常。