GitLab在Linux上的权限设置

GitLab在Linux上的权限设置指南

一、基础环境准备：用户与组管理

在Linux系统中，需先创建专用用户和组来运行GitLab服务及管理权限，避免使用root用户直接操作，提升安全性。

• 创建GitLab服务用户：
  执行以下命令创建git用户及同名的组，并设置家目录：

  sudo groupadd git
  sudo useradd -g git git
  sudo mkdir -p /home/git
  sudo chown git:git /home/git
  

• 创建项目用户组（可选）：
  若需批量管理项目成员，可创建用户组（如gitlab-devs），并将开发人员用户添加至该组：

  sudo groupadd gitlab-devs
  sudo usermod -aG gitlab-devs user1  # 将user1添加至gitlab-devs组
  sudo usermod -aG gitlab-devs user2
  

二、GitLab配置：服务权限设置

通过修改GitLab主配置文件/etc/gitlab/gitlab.rb，调整服务运行权限及数据目录访问控制。

• 设置服务运行用户：
  确保GitLab主进程（unicorn）、Nginx、PostgreSQL等服务以专用用户身份运行，避免权限过高：

  unicorn['user'] = 'git'
  unicorn['group'] = 'git'
  nginx['user'] = 'www-data'  # Nginx运行用户（根据实际调整）
  postgresql['user'] = 'postgres'  # 数据库用户
  

• 配置数据目录权限：
  设置Git仓库数据目录（如/var/opt/gitlab/git-data）的所有者和权限，确保git用户有读写权限，组用户可读取：

  git_data_dirs({
    "default" => {
      "path" => "/var/opt/gitlab/git-data",
      "owner" => "git",
      "group" => "git",
      "permissions" => "0750"  # 所有者rwx，组rx，其他无权限
    }
  })
  

• 应用配置：
  保存文件后，执行以下命令使配置生效：

  sudo gitlab-ctl reconfigure  # 重新配置GitLab
  sudo gitlab-ctl restart      # 重启服务
  

三、GitLab权限核心：角色与访问控制

GitLab通过内置角色和**访问控制列表（ACL）**实现细粒度权限管理，覆盖项目、组及实例级别。

1. 内置角色说明

GitLab定义了5种核心角色，权限从低到高排列：

• Guest（访客）：仅能查看项目公开信息（如README、issues列表）。
• Reporter（报告者）：可查看所有issues、merge requests，克隆代码但不能推送。
• Developer（开发者）：可克隆、推送代码，创建/管理分支，提交merge requests。
• Maintainer（维护者）：可管理项目设置（如labels、milestones）、添加/删除成员，合并merge requests。
• Owner（所有者）：拥有项目完全控制权，可删除项目、更改所有权、管理组权限。

2. 项目级别权限分配

通过Web界面为项目添加成员并分配角色：

• 登录GitLab管理员账户，进入目标项目页面。
• 点击左侧菜单Settings → Members。
• 在“Add member”栏输入用户邮箱或用户名，选择角色（如Developer），点击Invite即可。

3. 组级别权限管理

将多个用户加入同一组，统一分配权限，适用于团队协作：

• 进入Groups页面，点击New group创建组（如frontend-team）。
• 在组页面点击Invite member，添加用户并分配角色（如Developer）。
• 组内用户自动继承组权限，无需单独为每个项目添加。

4. 分支保护（ACL进阶）

通过Protected Branches功能，限制关键分支（如main）的推送/合并权限，防止误操作：

• 进入项目Settings → Repository → Protected Branches。
• 选择需保护的分支（如main），设置：
  • Allowed to push：仅Maintainer或Owner可推送。
  • Allowed to merge：仅Maintainer可合并merge requests。
  • Require approval：需至少1人批准后方可合并。

四、增强安全性：SSH与LDAP集成

1. SSH密钥配置

强制使用SSH密钥进行身份验证，避免密码泄露风险：

• 用户在本地终端生成SSH密钥对：

  ssh-keygen -t rsa -b 4096 -C "user@example.com"
  

• 将公钥（~/.ssh/id_rsa.pub）内容复制至GitLab账户的Profile Settings → SSH Keys中。

2. LDAP/Active Directory集成（可选）

对于企业用户，可通过LDAP集中管理用户身份及权限：

• 修改/etc/gitlab/gitlab.rb，启用LDAP并配置服务器信息：

  gitlab_rails['ldap_enabled'] = true
  gitlab_rails['ldap_servers'] = YAML.load <<-'EOS'
    main:
      label: 'LDAP'
      host: 'ldap.example.com'
      port: 389
      uid: 'uid'  # LDAP用户唯一标识字段
      method: 'plain'  # 认证方式（plain/ssl/tls）
      bind_dn: 'cn=admin,dc=example,dc=com'  # LDAP管理员DN
      password: 'your_ldap_password'  # LDAP管理员密码
      user_search_base: 'ou=users,dc=example,dc=com'  # 用户搜索基础DN
      user_search_filter: '(uid=%{username})'  # 用户搜索过滤器
  EOS
  

• 保存后执行sudo gitlab-ctl reconfigure重启GitLab，实现LDAP用户同步。

五、权限管理最佳实践

• 分层授权：避免滥用Owner权限，优先使用Maintainer/Developer角色。
• 保护关键分支：对main、release等分支启用合并保护，仅允许审核通过后合并。
• 定期审计：通过GitLab的Audit Events功能查看权限变更记录，及时发现异常。
• 最小权限原则：根据用户职责分配最低必要权限（如测试人员仅需Reporter角色）。