Почему git push production master меняет владельца HEAD, index, logs на root?

Question

ildar-meyker @ildar-meyker

Git

Почему git push production master меняет владельца HEAD, index, logs на root?

На VPS c Ubuntu есть bare git репозиторий. Создан нерутовым пользователем. И на момент инициализации все папки и файлы принадлежат неруту. Пуш выполняется через нерутового пользователя, авторизация по ssh ключу. Пуш проходит успешно, но последующие не удаются. Посмотрел, и выяснил, что после первого пуша у файлов HEAD и index, а также у папки logs владелец изменяется на root. Почему так происходит?

Вопрос задан более года назад
128 просмотров

12 комментариев

Подписаться 1 Простой 12 комментариев

Lynn «Кофеман» @Lynn

Непонятно откуда, куда и кто делает пуш

Написано более года назад
ildar-meyker @ildar-meyker Автор вопроса

Lynn «Кофеман»,
Откуда: локальный репозиторий
Куда: сервер Ubuntu
Кто: я.

Написано более года назад
Lynn «Кофеман» @Lynn

И что из этого bare-репозиторий? Сервер Ubuntu?
Кто я? Какой юзер?

Покажите git remote -v и команду которую вы вводите.

Написано более года назад
ildar-meyker @ildar-meyker Автор вопроса

Lynn «Кофеман»,

bare-репозиторий -- это тот, который на сервере.

Я - это nonroot юзер, если говорить о пользователе сервера.

Написано более года назад
ildar-meyker @ildar-meyker Автор вопроса

Lynn «Кофеман», Собственно, делаю git push production master. И после этого в bare-repo у HEAD, index, logs меняется owner и группа на root:root.

Написано более года назад
ildar-meyker @ildar-meyker Автор вопроса

Lynn «Кофеман», Я в linux не силен. Но раз я авторизуюсь как nonroot, мне предполагалось, что и действия производятся от его имени. Но выходит что нет?

Написано более года назад
Lynn «Кофеман» @Lynn

ildar-meyker, по идее да. Я попробовал настроить себе что-то подобное и у меня владелец файлов не меняется.

Никаких идей кроме того, что у вас на сервере настроено ещё что-то.
А что показывает ls -la repo/city-helpers.git ?

Написано более года назад

ildar-meyker @ildar-meyker Автор вопроса

Lynn «Кофеман», ls -la сразу после git init --bare покажет, что все nonroot:nonroot
После первого пуша, станет так, как я описывал.

Хук post-receive у меня добавлен. Его содержимое такое

#!/bin/sh

sudo /sbin/deploy-city-helpers

Содержимое /sbin/deploy-city-helpers такое

#!/bin/sh

# fix repo permissions after push
cd /home/nonroot/repo/city-helpers.git

# эти строки были добавлены как часть борьбы с проблемой
sudo chown -R nonroot:nonroot HEAD index logs


# all the staff
cd /srv/city-helpers/laravel

php artisan down --render="errors::503"

git --work-tree=/srv/city-helpers/laravel --git-dir=/home/nonroot/repo/city-helpers.git checkout master -f

cp -n ./.env.example ./.env

ln -s ../storage ./storage

COMPOSER_ALLOW_SUPERUSER=1 composer install --no-dev --optimize-autoloader

php artisan config:cache

php artisan route:cache

php artisan view:cache

php artisan up

В /etc/sudoers добавлено:

nonroot ALL=NOPASSWD: /sbin/deploy-city-helpers

Написано более года назад

Lynn «Кофеман» @Lynn

> sudo /sbin/deploy-city-helpers
Ну, блин, ваш скрипт исполняется от рута и что-то меняет в репозитории.

Попробуйте эти строки переставить в конец скрипта.
> # эти строки были добавлены как часть борьбы с проблемой
> sudo chown -R nonroot:nonroot HEAD index logs

Написано более года назад
ildar-meyker @ildar-meyker Автор вопроса

Lynn «Кофеман», это я как бы не сам придумал такой подход к развертке. Разве есть какой-то другой способ развернуть репозиторий вне /home/nonroot кроме как через sudo? Если я пишу sudo, он что буквально исполняется от имени root?

Написано более года назад
Lynn «Кофеман» @Lynn

ildar-meyker, да, если вы пишите sudo, то он буквально выполняется от имени root (если не указано иное)

Тут ещё вопрос конечно зачем такой странный чекаут вместо нормального клона, который точно бы ничего не менял в исходном репозитории…

Но в общем, перенос chown в конец должен помочь

Написано более года назад
ildar-meyker @ildar-meyker Автор вопроса

Lynn «Кофеман», Хз. Просто нашел такой мануал. Видимо, идея была в том, чтобы в публичной версии не лежал .git/. Лучше клонировать?

Написано более года назад

Решения вопроса 1

2 комментария

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Git

+1 ещё

Сложный
Как исправить HEAD detached?
- 1 подписчик
- 17 апр.
- 108 просмотров
2

ответа
Git

Простой
Почему не получается объединить коммиты?
- 1 подписчик
- 13 апр.
- 135 просмотров
1

ответ
Git

+1 ещё

Простой
Git выдаёт ошибку Permission denied. Как исправить?
- 1 подписчик
- 09 апр.
- 132 просмотра
0

ответов
Git

Простой
Как перенести git репозиторий из git/ в git/src/?
- 2 подписчика
- 05 апр.
- 205 просмотров
1

ответ
Git

Простой
Как выполнить команды гита для вложенного репозитория?
- 1 подписчик
- 04 апр.
- 108 просмотров
4

ответа
Git

Простой
Как переместить скопировать удаленный репозиторий в другой удаленный репозиторий?
- 1 подписчик
- 02 апр.
- 99 просмотров
1

ответ
Git

+1 ещё

Средний
Как сделать автоматическое версионирование в GitLab, GitHub и т.п.?
- 3 подписчика
- 27 мар.
- 3044 просмотра
4

ответа
Git

Простой
Почему не получается сразу получить актуальную версию?
- 1 подписчик
- 27 мар.
- 122 просмотра
1

ответ
Git

+3 ещё

Простой
GitHub, GitLab или BitBucket?
- 3 подписчика
- 27 мар.
- 3151 просмотр
7

ответов
Git

+1 ещё

Простой
Как заливать проект в репозиторий?
- 1 подписчик
- 23 мар.
- 274 просмотра
1

ответ
Показать ещё Загружается…

Frontend Engineer (Vue.js)

Elastoo Products

от 220 000 ₽

Разработчик Go (backend)

Zavod IT

До 450 000 ₽

.NET разработчик (senior)

Платформа

от 250 000 до 350 000 ₽

DevOps задачи, работа с Yandex Cloud и Yandex Database

19 апр. 2024, в 18:38

1500 руб./в час

Верстка сайта -4-5 страниц

19 апр. 2024, в 18:36

1500 руб./за проект

MiniApp для телеграмм на React

19 апр. 2024, в 18:36

30000 руб./за проект

Непонятно откуда, куда и кто делает пуш
Lynn «Кофеман»,
Откуда: локальный репозиторий
Куда: сервер Ubuntu
Кто: я.
И что из этого bare-репозиторий? Сервер Ubuntu?
Кто я? Какой юзер?

Покажите git remote -v и команду которую вы вводите.
Lynn «Кофеман»,

bare-репозиторий -- это тот, который на сервере.

Я - это nonroot юзер, если говорить о пользователе сервера.
Lynn «Кофеман», Собственно, делаю git push production master. И после этого в bare-repo у HEAD, index, logs меняется owner и группа на root:root.
Lynn «Кофеман», Я в linux не силен. Но раз я авторизуюсь как nonroot, мне предполагалось, что и действия производятся от его имени. Но выходит что нет?
ildar-meyker, по идее да. Я попробовал настроить себе что-то подобное и у меня владелец файлов не меняется.

Никаких идей кроме того, что у вас на сервере настроено ещё что-то.
А что показывает ls -la repo/city-helpers.git ?
Lynn «Кофеман», ls -la сразу после git init --bare покажет, что все nonroot:nonroot
После первого пуша, станет так, как я описывал.

Хук post-receive у меня добавлен. Его содержимое такое

#!/bin/sh sudo /sbin/deploy-city-helpers

Содержимое /sbin/deploy-city-helpers такое

#!/bin/sh # fix repo permissions after push cd /home/nonroot/repo/city-helpers.git # эти строки были добавлены как часть борьбы с проблемой sudo chown -R nonroot:nonroot HEAD index logs # all the staff cd /srv/city-helpers/laravel php artisan down --render="errors::503" git --work-tree=/srv/city-helpers/laravel --git-dir=/home/nonroot/repo/city-helpers.git checkout master -f cp -n ./.env.example ./.env ln -s ../storage ./storage COMPOSER_ALLOW_SUPERUSER=1 composer install --no-dev --optimize-autoloader php artisan config:cache php artisan route:cache php artisan view:cache php artisan up

В /etc/sudoers добавлено:

nonroot ALL=NOPASSWD: /sbin/deploy-city-helpers
> sudo /sbin/deploy-city-helpers
Ну, блин, ваш скрипт исполняется от рута и что-то меняет в репозитории.

Попробуйте эти строки переставить в конец скрипта.
> # эти строки были добавлены как часть борьбы с проблемой
> sudo chown -R nonroot:nonroot HEAD index logs
Lynn «Кофеман», это я как бы не сам придумал такой подход к развертке. Разве есть какой-то другой способ развернуть репозиторий вне /home/nonroot кроме как через sudo? Если я пишу sudo, он что буквально исполняется от имени root?
ildar-meyker, да, если вы пишите sudo, то он буквально выполняется от имени root (если не указано иное)

Тут ещё вопрос конечно зачем такой странный чекаут вместо нормального клона, который точно бы ничего не менял в исходном репозитории…

Но в общем, перенос chown в конец должен помочь
Lynn «Кофеман», Хз. Просто нашел такой мануал. Видимо, идея была в том, чтобы в публичной версии не лежал .git/. Лучше клонировать?

Answer 1 · 2022-08-12 06:46:54

Когда авторизация по ключу, то не важно под каким локальным пользователем вы делаете push. Важно то, куда вы ранее сохранили открытый ключ на сервере. Если в /root/.ssh/ то и авторизует вас под root. Тут даже не важно, какое имя пользователя вы там вписали в URL remote production.

Но это не точно

Вот ещё версия:
После push на сервере срабатывает post-receive хук от имени рута и всё ломает. Может такое быть?

Почему git push production master меняет владельца HEAD, index, logs на root?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт