Почему git push production master меняет владельца HEAD, index, logs на root?

Question

ildar-meyker @ildar-meyker

Git

Почему git push production master меняет владельца HEAD, index, logs на root?

На VPS c Ubuntu есть bare git репозиторий. Создан нерутовым пользователем. И на момент инициализации все папки и файлы принадлежат неруту. Пуш выполняется через нерутового пользователя, авторизация по ssh ключу. Пуш проходит успешно, но последующие не удаются. Посмотрел, и выяснил, что после первого пуша у файлов HEAD и index, а также у папки logs владелец изменяется на root. Почему так происходит?

Вопрос задан более двух лет назад
139 просмотров

12 комментариев

Подписаться 1 Простой 12 комментариев

Lynn «Кофеман» @Lynn

Непонятно откуда, куда и кто делает пуш

Написано более двух лет назад
ildar-meyker @ildar-meyker Автор вопроса

Lynn «Кофеман»,
Откуда: локальный репозиторий
Куда: сервер Ubuntu
Кто: я.

Написано более двух лет назад
Lynn «Кофеман» @Lynn

И что из этого bare-репозиторий? Сервер Ubuntu?
Кто я? Какой юзер?

Покажите git remote -v и команду которую вы вводите.

Написано более двух лет назад
ildar-meyker @ildar-meyker Автор вопроса

Lynn «Кофеман»,

bare-репозиторий -- это тот, который на сервере.

Я - это nonroot юзер, если говорить о пользователе сервера.

Написано более двух лет назад
ildar-meyker @ildar-meyker Автор вопроса

Lynn «Кофеман», Собственно, делаю git push production master. И после этого в bare-repo у HEAD, index, logs меняется owner и группа на root:root.

Написано более двух лет назад
ildar-meyker @ildar-meyker Автор вопроса

Lynn «Кофеман», Я в linux не силен. Но раз я авторизуюсь как nonroot, мне предполагалось, что и действия производятся от его имени. Но выходит что нет?

Написано более двух лет назад
Lynn «Кофеман» @Lynn

ildar-meyker, по идее да. Я попробовал настроить себе что-то подобное и у меня владелец файлов не меняется.

Никаких идей кроме того, что у вас на сервере настроено ещё что-то.
А что показывает ls -la repo/city-helpers.git ?

Написано более двух лет назад

ildar-meyker @ildar-meyker Автор вопроса

Lynn «Кофеман», ls -la сразу после git init --bare покажет, что все nonroot:nonroot
После первого пуша, станет так, как я описывал.

Хук post-receive у меня добавлен. Его содержимое такое

#!/bin/sh

sudo /sbin/deploy-city-helpers

Содержимое /sbin/deploy-city-helpers такое

#!/bin/sh

# fix repo permissions after push
cd /home/nonroot/repo/city-helpers.git

# эти строки были добавлены как часть борьбы с проблемой
sudo chown -R nonroot:nonroot HEAD index logs


# all the staff
cd /srv/city-helpers/laravel

php artisan down --render="errors::503"

git --work-tree=/srv/city-helpers/laravel --git-dir=/home/nonroot/repo/city-helpers.git checkout master -f

cp -n ./.env.example ./.env

ln -s ../storage ./storage

COMPOSER_ALLOW_SUPERUSER=1 composer install --no-dev --optimize-autoloader

php artisan config:cache

php artisan route:cache

php artisan view:cache

php artisan up

В /etc/sudoers добавлено:

nonroot ALL=NOPASSWD: /sbin/deploy-city-helpers

Написано более двух лет назад

Lynn «Кофеман» @Lynn

> sudo /sbin/deploy-city-helpers
Ну, блин, ваш скрипт исполняется от рута и что-то меняет в репозитории.

Попробуйте эти строки переставить в конец скрипта.
> # эти строки были добавлены как часть борьбы с проблемой
> sudo chown -R nonroot:nonroot HEAD index logs

Написано более двух лет назад
ildar-meyker @ildar-meyker Автор вопроса

Lynn «Кофеман», это я как бы не сам придумал такой подход к развертке. Разве есть какой-то другой способ развернуть репозиторий вне /home/nonroot кроме как через sudo? Если я пишу sudo, он что буквально исполняется от имени root?

Написано более двух лет назад
Lynn «Кофеман» @Lynn

ildar-meyker, да, если вы пишите sudo, то он буквально выполняется от имени root (если не указано иное)

Тут ещё вопрос конечно зачем такой странный чекаут вместо нормального клона, который точно бы ничего не менял в исходном репозитории…

Но в общем, перенос chown в конец должен помочь

Написано более двух лет назад
ildar-meyker @ildar-meyker Автор вопроса

Lynn «Кофеман», Хз. Просто нашел такой мануал. Видимо, идея была в том, чтобы в публичной версии не лежал .git/. Лучше клонировать?

Написано более двух лет назад

Решения вопроса 1

2 комментария

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Git

+1 ещё

Простой
Почему запрашивается пароль при git push если авторизация по ключу настроена?
- 1 подписчик
- 14 нояб.
- 145 просмотров
1

ответ
Git

Средний
Как правильно использовать гит, если нужны данные из другой ветки?
- 4 подписчика
- 07 нояб.
- 1141 просмотр
5

ответов
Git

+1 ещё

Простой
Как откатить состояние папки в Git?
- 1 подписчик
- 28 окт.
- 254 просмотра
1

ответ
Git

+1 ещё

Простой
Как использовать git команды через sshagent в Jenkins?
- 1 подписчик
- 26 окт.
- 53 просмотра
0

ответов
Git

+1 ещё

Простой
Как исправить бесконечное клонирование репозитория?
- 1 подписчик
- 18 окт.
- 179 просмотров
0

ответов
Git

+1 ещё

Простой
Почему зависает клонирование репозитория?
- 1 подписчик
- 10 окт.
- 313 просмотров
0

ответов
Linux

+3 ещё

Простой
Почему не могу установить Git на Debian?
- 1 подписчик
- 07 окт.
- 232 просмотра
2

ответа
PHP

+2 ещё

Простой
Как работать с проектом на git в phpStorm на тестовом сервере?
- 1 подписчик
- 06 окт.
- 183 просмотра
2

ответа
Git

Простой
Как удалить отслеживание версий в случайно созданном репозитории Git?
- 1 подписчик
- 04 окт.
- 132 просмотра
1

ответ
Git

+1 ещё

Простой
Как работать с git remote add. Как его использовать для личного сервера?
- 2 подписчика
- 28 сент.
- 160 просмотров
2

ответа
Показать ещё Загружается…

Frontend-разработчик

DimaTech Ltd • Краснодар

от 90 000 ₽

Релиз-менеджер

Автомакон • Москва

от 28 200 ₽

Middle QA Python Engineer(Pangolin)

СберТех • Москва

от 250 000 ₽

Парсер под сайт

24 нояб. 2024, в 23:07

2000 руб./за проект

Разработать нативное мобильное приложение на Swift и Kotlin

24 нояб. 2024, в 22:14

250000 руб./за проект

Маркетплейс в МЕДИЦИНСКОЙ тематике

24 нояб. 2024, в 21:55

200000 руб./за проект

Непонятно откуда, куда и кто делает пуш
Lynn «Кофеман»,
Откуда: локальный репозиторий
Куда: сервер Ubuntu
Кто: я.
И что из этого bare-репозиторий? Сервер Ubuntu?
Кто я? Какой юзер?

Покажите git remote -v и команду которую вы вводите.
Lynn «Кофеман»,

bare-репозиторий -- это тот, который на сервере.

Я - это nonroot юзер, если говорить о пользователе сервера.
Lynn «Кофеман», Собственно, делаю git push production master. И после этого в bare-repo у HEAD, index, logs меняется owner и группа на root:root.
Lynn «Кофеман», Я в linux не силен. Но раз я авторизуюсь как nonroot, мне предполагалось, что и действия производятся от его имени. Но выходит что нет?
ildar-meyker, по идее да. Я попробовал настроить себе что-то подобное и у меня владелец файлов не меняется.

Никаких идей кроме того, что у вас на сервере настроено ещё что-то.
А что показывает ls -la repo/city-helpers.git ?
Lynn «Кофеман», ls -la сразу после git init --bare покажет, что все nonroot:nonroot
После первого пуша, станет так, как я описывал.

Хук post-receive у меня добавлен. Его содержимое такое

#!/bin/sh sudo /sbin/deploy-city-helpers

Содержимое /sbin/deploy-city-helpers такое

#!/bin/sh # fix repo permissions after push cd /home/nonroot/repo/city-helpers.git # эти строки были добавлены как часть борьбы с проблемой sudo chown -R nonroot:nonroot HEAD index logs # all the staff cd /srv/city-helpers/laravel php artisan down --render="errors::503" git --work-tree=/srv/city-helpers/laravel --git-dir=/home/nonroot/repo/city-helpers.git checkout master -f cp -n ./.env.example ./.env ln -s ../storage ./storage COMPOSER_ALLOW_SUPERUSER=1 composer install --no-dev --optimize-autoloader php artisan config:cache php artisan route:cache php artisan view:cache php artisan up

В /etc/sudoers добавлено:

nonroot ALL=NOPASSWD: /sbin/deploy-city-helpers
> sudo /sbin/deploy-city-helpers
Ну, блин, ваш скрипт исполняется от рута и что-то меняет в репозитории.

Попробуйте эти строки переставить в конец скрипта.
> # эти строки были добавлены как часть борьбы с проблемой
> sudo chown -R nonroot:nonroot HEAD index logs
Lynn «Кофеман», это я как бы не сам придумал такой подход к развертке. Разве есть какой-то другой способ развернуть репозиторий вне /home/nonroot кроме как через sudo? Если я пишу sudo, он что буквально исполняется от имени root?
ildar-meyker, да, если вы пишите sudo, то он буквально выполняется от имени root (если не указано иное)

Тут ещё вопрос конечно зачем такой странный чекаут вместо нормального клона, который точно бы ничего не менял в исходном репозитории…

Но в общем, перенос chown в конец должен помочь
Lynn «Кофеман», Хз. Просто нашел такой мануал. Видимо, идея была в том, чтобы в публичной версии не лежал .git/. Лучше клонировать?

Answer 1 · 2022-08-12 06:46:54

Когда авторизация по ключу, то не важно под каким локальным пользователем вы делаете push. Важно то, куда вы ранее сохранили открытый ключ на сервере. Если в /root/.ssh/ то и авторизует вас под root. Тут даже не важно, какое имя пользователя вы там вписали в URL remote production.

Но это не точно

Вот ещё версия:
После push на сервере срабатывает post-receive хук от имени рута и всё ломает. Может такое быть?

Почему git push production master меняет владельца HEAD, index, logs на root?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт