一、系统架构设计

在构建私有Git服务时，建议采用”SSH协议+独立用户体系”的架构方案。每个开发者通过专属SSH密钥对访问服务，系统通过SSH配置实现多用户映射，同时结合Git的钩子机制实现操作日志记录。该方案具有以下优势：

1. 密钥认证安全性高于传统账号密码
2. 用户权限通过文件系统隔离
3. 日志记录不依赖第三方服务
4. 兼容主流Git客户端工具

二、环境准备与依赖安装

2.1 基础环境要求

• 运行Linux系统的服务器（推荐CentOS 8/Ubuntu 20.04 LTS）
• 已配置静态IP地址和域名解析（可选）
• 具备root权限或sudo权限的账户

2.2 安装必要组件

# CentOS系统
sudo yum install -y git openssh-server
# Ubuntu/Debian系统
sudo apt update
sudo apt install -y git openssh-server

2.3 创建Git系统用户

sudo adduser --system --shell /bin/bash --group git
sudo passwd -l git  # 禁用密码登录

三、多用户SSH密钥管理

3.1 密钥生成规范

每个开发者需生成4096位RSA密钥对，命名规则建议采用id_rsa_用户名格式：

ssh-keygen -t rsa -b 4096 -C "developer@example.com" -f ~/.ssh/id_rsa_alice

3.2 服务器端密钥管理

创建专用目录存储授权密钥：

sudo mkdir /home/git/.ssh
sudo touch /home/git/.ssh/authorized_keys
sudo chmod 700 /home/git/.ssh
sudo chmod 600 /home/git/.ssh/authorized_keys
sudo chown -R git:git /home/git/.ssh

3.3 客户端SSH配置

开发者需在本地~/.ssh/config文件中配置多账号映射：

# 开发者Alice的配置
Host git.example.com-alice
    HostName git.example.com
    User git
    IdentityFile ~/.ssh/id_rsa_alice
    IdentitiesOnly yes
# 开发者Bob的配置
Host git.example.com-bob
    HostName git.example.com
    User git
    IdentityFile ~/.ssh/id_rsa_bob
    IdentitiesOnly yes

配置文件权限需设置为600：

chmod 600 ~/.ssh/config

四、仓库权限隔离方案

4.1 仓库目录结构规划

/home/git/
├── repositories/
│   ├── project1.git/
│   └── project2.git/
└── group-permissions/
    ├── developers.conf
    └── managers.conf

4.2 创建裸仓库

sudo -u git mkdir -p /home/git/repositories/project1.git
sudo -u git git init --bare /home/git/repositories/project1.git

4.3 文件系统权限配置

# 设置仓库所有者
sudo chown -R git:git /home/git/repositories
# 设置项目级权限（示例）
sudo chmod -R 770 /home/git/repositories/project1.git

五、操作日志审计系统

5.1 日志记录原理

通过Git的post-receive钩子脚本，在每次push操作后记录以下信息：

• 操作时间戳
• 提交者标识
• 变更分支
• 提交哈希值

5.2 钩子脚本实现

创建日志记录脚本/home/git/log_hook.sh：

#!/bin/bash
LOG_FILE="/var/log/git-operations.log"
REPO_PATH="$1"
REF_NAME="$2"
# 获取实际提交者（需配合SSH配置）
COMMITTER=$(echo "$SSH_ORIGINAL_COMMAND" | grep -oP 'git@[^:]+:\K[^ ]+' | cut -d'@' -f1)
# 记录操作日志
echo "[$(date '+%Y-%m-%d %H:%M:%S')] $COMMITTER pushed to $REF_NAME in $(basename "$REPO_PATH" .git)" >> "$LOG_FILE"

设置执行权限并配置钩子：

sudo chmod +x /home/git/log_hook.sh
sudo -u git ln -s /home/git/log_hook.sh /home/git/repositories/project1.git/hooks/post-receive

5.3 日志轮转配置

创建/etc/logrotate.d/git-logs配置文件：

/var/log/git-operations.log {
    weekly
    missingok
    rotate 4
    compress
    delaycompress
    notifempty
    create 640 root adm
    sharedscripts
    postrotate
        /usr/bin/systemctl restart rsyslog >/dev/null 2>&1 || true
    endscript
}

六、客户端使用指南

6.1 克隆仓库

# 使用配置的Host别名
git clone git@git.example.com-alice:/home/git/repositories/project1.git

6.2 本地配置隔离

每个仓库独立配置用户信息：

cd project1
git config user.name "Alice Developer"
git config user.email "alice@example.com"

6.3 权限验证测试

# 测试push操作
touch testfile
git add .
git commit -m "Test commit"
git push origin main
# 服务器端检查日志
sudo tail -f /var/log/git-operations.log

七、高级管理功能

7.1 动态权限控制

通过修改/home/git/.ssh/authorized_keys文件实现：

command="/usr/bin/git-shell -c \"$SSH_ORIGINAL_COMMAND\"",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty ssh-rsa AAAAB3... alice@example.com

7.2 仓库访问统计

使用awk分析日志：

sudo awk '{print $4,$5}' /var/log/git-operations.log | sort | uniq -c | sort -nr

7.3 审计日志归档

设置定时任务每日归档：

(crontab -l 2>/dev/null; echo "0 0 * * * /usr/bin/gzip /var/log/git-operations.log && /usr/bin/touch /var/log/git-operations.log") | crontab -

八、安全加固建议

1. 定期更新SSH服务配置（禁用弱协议版本）
2. 实施密钥轮换策略（每90天更换密钥对）
3. 配置防火墙限制Git服务端口（默认22）
4. 启用SELinux或AppArmor增强防护
5. 定期审计authorized_keys文件变更

通过上述方案构建的私有Git服务，在满足多用户协作需求的同时，提供了完整的操作审计能力。系统管理员可根据实际需求调整权限粒度和日志详细程度，建议结合企业现有的监控系统实现日志集中管理。对于更大规模的部署，可考虑集成LDAP/AD用户认证系统实现单点登录。