Greetings! Предлагаю Вашему вниманию проект организации доступа к CVS package repository. Рассматриваемая схема отличается некоторой несвойственной для подобных задач сложностью; это обусловлено особенностями security policy на том сервере, где предполагается размещение CVS repository, и, надеюсь, Алексей Бережнев расскажет нам об этом несколько подробнее. Итак, все хранимые файлы расположены в CVS. Доступ к CVS осуществляется с использованием SSH в качестве транспорта. Работа с CVS осуществляется 2-мя способами: + Основной: удаленный cvs-клиент запускает через ssh "cvs server", и они обмениваются информацией согласно протоколу cvs. + Файловый: разработчик запускает некий shell на сервере с тем, чтобы закачивать туда данные с других серверов для последующего commit'a. Для каждого разработчика создается персональный account на сервере со следующими свойствами: + без возможности использования пароля, в качестве авторизации через ssh используется RSA/DSA; + в качестве login shell используется специальный wrapper, который, будучи запущен ssh-сервером после успешной авторизации, далее запускает либо "cvs server", либо shell, предварительно сделав chroot в специальный cvs environment (CE). В последнем, помимо самого package repository, находятся программы, необходимые для работы cvs и закачки данных (около 20 штук), их конфигурационные файлы, разделяемые библиотеки и home directories разработчиков. Никаких приложений, исполняемых внутри CE с рутовыми правами, не планируется. Никаких устройств, помимо /dev/null, внутри CE не требуется. В заключение добавлю, что для простоты изложения несущественные детали опущены; ну а сама схема мной уже реализована. Regards, Dmitry +-------------------------------------------------------------------------+ Dmitry V. Levin mailto://ldv@fandra.org Software Engineer PGP pubkey http://www.fandra.org/users/ldv/pgpkeys.html IPLabs Linux Team http://linux.iplabs.ru Fandra Project http://www.fandra.org +-------------------------------------------------------------------------+ UNIX is user friendly. It's just very selective about who it's friends are.