Gitlab 利用Server端Hook来锁定文件不被修改

最新推荐文章于 2025-09-09 16:32:04 发布
原创 最新推荐文章于 2025-09-09 16:32:04 发布 · 3.9k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#gitlab #git #git hook

1、背景

研发gitlab CI/CD时,需要编辑一个整个代码仓库统一的CI/CD流程,用于流程与权限的控制。众所周知,Gitlab的CI/CD流程是通过.gitlab-ci.yml文件配置的。通常,如果用户拉出自己的开发分支,那么该yaml文件也会被用户修改,也就是说用户可以完全不用当前的CI/CD流程而重新自定义自己的流程,越权部署代码,存在极大的安全风险。

2、适用场景

需要利用Gitlab的CI/CD功能,保护.gitlab-ci.yml不被普通用户修改;保护其他CI/CD调用到的相关文件不被用户修改。或推广到保护代码仓库中任意文件。

3、方法论

Gitlab目前并没有直接提供锁定或者保护文件相关的功能,经过充分思考与研究后,采用通过配置服务端钩子(Hook onServer),来检查特定文件是否被修改,如有发生,就拒绝接受用户推到远端的代码以保护文件。

4、开发与实践

  • 代码仓库位置
    可能位置1:/home/git/repositories//.git
    可能位置2:/var/opt/gitlab/git-data/repositories//.git
    注意: 代码仓库名称与路径可能被哈希处理了,例如当前测试的gitlab机器上就是这种情况,需要进入@hashed目录,
sh-4.2$ pwd
/var/opt/gitlab/git-data/repositories
sh-4.2$ ls
+gitaly  @hashed
sh-4.2$ cd \@hashed/
sh-4.2$ tree
`-- d4
    `-- 73
        |-- d4735e3a265e16eee03f59718b9b5d03019c07d8b6c51f90da3a666eec13ab35.git
        |   |-- branches
        |   |-- config
        |   |-- custom_hooks
        |   |   `-- pre-receive
        |   |-- description
        |   |-- HEAD
        |   |-- hooks
        |   |   |-- applypatch-msg.sample
        |   |
最低0.47元/天 解锁文章
Gitlab 服务器 hooks
08-27 1080
多个配置可以创建一个 commit-msg.d 目录,然后把多个脚本放入该目录。配置 custom_hooks_dir。# 在 gitaly 下面加入配置。# 这个配置已经作废。
bitnami gitlab 使用 gitlab-rails 命令
weixin_33835690的博客
03-27 6712
公司的前任配置管理员安装的 gitlab 使用的是 bitnami 出品的全家桶,和官方的 gitlab 安装方式完全同,包括配置文件、启动的方式、各种命令行工具都相同。 他离职之后,gitlab 就交给新配置管理员了,但是对方对 gitlab 了解有限,基本上有什么疑难杂症还得找我。 我们的 gitlab 使用的是版本为 8.5.1,安装在 /opt 目录。 因为我们 gitlab 接入了 ...
gitlab服务器hook最全详解
qq_44945678的博客
02-14 4987
第一步,找到要配置仓库在 gitlab 中存储的路径,但因 gitlab 的仓库自某个版本开始采用 hash 存储,我们想要知道仓库对应的物理路径,可以通过管理员账号拿到对应的物理路径。对于全局的hook,配置脚本后gitlab系统上所有仓库都受影响,开关在配置文件gitlab.rb中(默认安装路径/etc/gitlab/gitlab.rb),找到下面这条。第二步,进入路径下新建目录 custom_hooks/pre-receive.d,进入目录后再创建脚本文件 (推送前),同时修改 脚本文件的权限。
Git LFS文件锁定功能:多人协作冲突解决终极方案
最新发布
gitblog_00145的博客
09-09 1064
在现代软件开发中,多人协作是常态,但当团队成员同时编辑大型二进制文件(如图形设计稿、3D模型、CAD文件)时,传统的Git版本控制往往捉襟见肘。Git LFS(Large File Storage,大型文件存储)作为Git的扩展,仅解决了大型文件的存储问题,其文件锁定功能更是多人协作中冲突预防的终极解决方案。本文将深入探讨Git LFS文件锁定功能的实现原理、使用方法及最佳实践,帮助团队彻底告别...
GitLab-Protector:一个git pre-receive钩子,用于在自托管GitLab实例上的git存储库中添加对具有用户组管理功能的文件保护的支持
02-06
GitLab保护器 一个,用于在自托管GitLab实例上的git存储库中添加对用户/组管理的文件保护支持。 如果已向试图推送新更改的用户授予许可,则GitLab Protector仅允许对某些文件进行修改,从而有助于保护git存储库。 要求 自托管的GitLab实例(CE或EE) 可能是root访问权限,才能安装钩子 这个怎么运作 您将为每个git存储库定义规则,并定义一个仅由GitLab Protector知道和使用的组(全局)列表。 每个规则都是一个正则表达式,该正则表达式指定应保护哪些文件(和/或包含文件的目录)以防止在存储库中进行修改。 受保护的文件意味着从现在开始,仅允许特定的
GitLab 8.9增加了文件锁和硬件U2F支持
cpongo5
06-30 443
GitLab 8.9版已经发布,更新了UI,并实现了基于硬件的双重认证。在最新的版本中,开发者可以锁住一个二进制文件,之后就只有加锁的人才能修改被锁的对象。这个功能对于游戏或图像文件这种难以解决冲突的场景非常有用。使用企业版的用户可以付费使用这个功能,Hacker News的用户sdesol说这对于需要它的人来说是一个福利:\\\ 企业最关心的就是降低风险,因为搞砸一次就可能毁掉整个公司。所以如...
gitlab上使用server_hooks -实例级和项目级
最美dee时光的博客
11-30 2868
当我们初始化一个项目之后,.git 目录下有一个 hooks 目录,可以看到上图左侧有很多执行任务,比如 pre-commit,代表在运行这些命令之后或之前,会进行一些校验和检测来执行相应任务。与许多其他版本控制系统一样,Git 有一种方法可以在发生某些重要操作时,触发自定义脚本,即 Git HookGit 钩子)。对于配置单个仓库的server hooks也是需要开启全局的配置,否则会导致脚本在某个repo的相对路径下会生效。该脚本的作用是规范gitlab提交的信息。
C#实现svn serverhook
weixin_34376986的博客
09-18 225
目标   要做的东东呢,就是在向svn提交文件的时候,可以再server读到所有提交文件的内容,并根据某些规则验证文件的合法性,如果验证失败,则终止提交,并在svn的客户上显示错误信息。   准备工作   1,安装svn server,本文例子使用的是CollabNetSubversion-server-1.6.3-3.win32,安装时使用默认的repository目录,即C:/...
loxcan::magnifying_glass_tilted_left:Git通用锁定文件扫描程序。 (锁定+扫描= LoXcan!)
02-04
罗克斯坎 Git通用锁定文件扫描程序。 :rocket: 动机 今天,大多数语言都有程序包管理器,而某些语言则有两种。 依赖性管理在软件开发中非常重要且困难。 如果进行代码审查,我们将检查所有已更改的代码。 但是,我们经常在审阅中忽略锁定文件,该文件控制项目或库的依赖性。 在GitHub Pull Request上,默认情况下大多数锁定文件都是隐藏的。 实际上,它们很长并且可读。 我试图将diff的锁定文件通知PR的作者和/或审阅者。 使用此操作,添加,升级,降级和删除的程序包将以用户友好的格式报告给PR。 因此,我们可以在审查中检查PR将更改哪些软件包。 :sparkles: 用法 通过作曲家 $ com
Jenkins、gitlab、webhook实现Android持续集成
一只小鱼
12-21 3183
1、安装下载jenkins 进入jenkins 的官网https://jenkins.io/, 根据你搭建平台的同,我们这里用 windows 平台做演示。 然后在浏览器中访问 :http://localhost:8080/, 你将会看到如下界面 , 代表 Jenkins 已经下载完成了,下一步安装 Jenkins. 2、填写 Jenkins 超级管理员密码...
安全启动+闪加密配置全流程:保护ESP32固件被逆向的4道防线与关键操作细节
!...# 1. 安全启动与闪加密的核心价值——为何保护ESP32固件至关重要 在物联网设备大规模部署的今天,ESP32作为主流嵌入式平台,其固件安全性直接关系到产品知识产权、用户数据隐私及系统整体可信性。...
持续集成CI_CD引入Yocto:Jenkins+GitLab实现自动化构建流水线(企业级落地案例解析)
[持续集成CI_CD引入Yocto:Jenkins+GitLab实现自动化构建流水线(企业级落地案例解析)](https://docs.yoctoproject.org/3.3/_images/user-configuration.png) # 1. 持续集成与Yocto项目概述 在嵌入式Linux开发中,...
GitLab 8.9 新增文件锁 和 U2F硬件支持
ejinxian的专栏
07-03 1802
GitLab与Yubico一起合作通过YubiKey设备来支持FIDO Universal 2nd Factor(U2F)认证。 在以前,双重认证的具体操作方式是通过手机来接收TOTP码(Time-based One-time Password Algorithm,基于时间的一次性密码算法), 如果你使用YubiKey硬件和Chrome浏览器的话,可以简化这个过程。只把USB硬件插
gitlab取消对文件的编辑选项
chita1394的博客
06-03 374
在/opt/gitlab/embedded/service/gitlab-rails/app/views/projects/blob/_actions.html.haml文件中的第二行,edit_blob_link()这个函数,就是用来判断是否有权限进行编辑的。 找到这个函数的位置,在/...
webserver 与 webhook机制
09-05 405
什么是 webserver(像一个webapi接口,但又仅仅是web接口) 1,你要从别的网站或服务器上获取资源或信息,别人肯定会把数据库共享给你,只能给你提供一个他们写好的方法来获取数据,你引用他提供的接口就能使用他写好的方法,从而达到数据共享的目的。 2, python 开发一台软件,java开发另一台软件,如何让java获取python的信息呢? 我们可以让pyth...
git文件锁定更新和忽略
qq_36106226的博客
08-12 1983
git文件锁定更新和忽略 git文件的忽略 新建未提交的文件直接添加.gitignore 提交之后的文件已被git追踪 这时需要清除git缓存 忽略文件 git rm --cached ./src/main/resources/velocity.properties 忽略文件git rm --cached -r **/res/js 再次添加文件gitignore 生效 提交会删除 git 上的文件 更新指定文件 执行命令之前需要保持该文件为已同步状态 否则执行失败 git update-ind
GitLab 服务 hook 拦截提交到仓库
Mo小泽的技术博客
12-24 3405
每当我们接收一份新的版本,代码拿到手要做的第一件事就是查看 git log,看看这份代码的提交记录,最近代码做什么修改。如果我们看到 git log 杂乱无章,如果知道每次提交的代码到底是做了什么,那么对于我们来说是比较痛苦的事情。所以说,规范的 CHANGELOG 仅有助于他人帮忙 review 代码,也能高效的输出 Release Note,对版本管理也至关重要。
[已解决] brew update出错:错误:无法锁定配置文件.git / config:权限被拒绝
chenqiangblogs的博客
08-17 4292
用去管/库/缓存/自制,因为找到对应路径)直接顺序执行下面两行命令,输入授权密码,即可获取权限 sudo chgrp -R admin /usr/local sudo chmod -R g+w /usr/local继续更新 brew update
GitLab
Promise Sun special column
11-18 4504
GitLab 一.GitLab简介 二.GitLab 的配置与使用……
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值