如何配置和使用SSH验证的CVS系统服务器

cvs(Concurrent Version System)是一种非常普及的版本控制工具。尽管其功能不如Perforce、Subversion等强大，但由于其便于配置、使用简单，并且，推出时间较长，因此在各种个样的软件项目中应用十分广泛。

首先是安装FreeBSD并应用安全补丁。这一步非常简单，下载一张FreeBSD(即将推出的5.2-RELEASE是一个不错的选择，在这篇文章发表时，这个版本可能已经能够下载了)的mini iso烧成CD-ROM，然后安装就可以了(选择“Minimum”安装)。注意，为了能够使用ssh验证，请务必安装crypto。为这台机器配置网络，等等之后，重新启动就好了。

然后是安装一些必要的package。FreeBSD 4.x内建了perl，而在5.x中，perl被从基本系统中删去了。为了能够更好地使用包括ACL、commit mail在内的一系列功能，必须安装perl。

我个人推荐使用ports中的5.8.x版本的perl。在安装之前，首先确信系统中没有perl 5.6.x的安装，对于新系统，大可以放心地执行下面的命令：

这将删除已经存在的任何package。一般来说，绝大多数FreeBSD用户都使用cvsup来更新系统，然而在发行的光盘中，cvsup-without-gui并没有包含在内，而普通的cvsup package则需要X11的一系列库。为了避免麻烦，可以考虑下面两种不同的途径来完成第一次的代码更新工作：

1、使用FreeBSD中的cvs来同步代码：

cvs -d :pserver:anoncvs@anoncvs.jp.FreeBSD.org:/home/ncvs login

输入“anoncvs”，回车

cd /usr

cvs -R -d :pserver:anoncvs@anoncvs.jp.FreeBSD.org:/home/ncvs export -r RELENG_5_2 src ports

注意：如果你使用的不是5.2-RELEASE，请适当地修改RELENG_5_2(例如，4-STABLE是RELENG_4，-CURRENT是HEAD，等等)

2、安装cvsup-without-gui：

pkg_add -r cvsup-without-gui

然后用cvsup来同步代码，限于篇幅，这里不再赘述

我个人推荐使用第一种方法，当然，第二种方法应该会更快一些，而且不需要手工编译cvsup。随后，安装Perl 5.8.x：

cd /usr/ports/lang/perl5.8 && make all install clean && rehash

紧接着我们会遇到一个很严重的问题：ports里面的use.perl脚本并不知道系统中原本没有安装perl，因此在执行的时候会出错——这时，只需要为perl做一个符号连接就可以了。做好之后，执行：

use.perl port

这样use.perl脚本会帮助你完成修改配置文件(如/etc/make.conf)等一系列工作。此处不表，稍微配置一下OpenSSH(sshd)的配置，一般来说，增加下面两行：

Protocol 2

PasswordAuthentication no

这么做的好处：(1)只允许ssh2协议登录，这能够提供更好的安全性(2)不允许使用口令登录，这毫无疑问地将提高安全性。

1、创建cvs repository

好了，前期配置基本上就结束了。不要忘了创建一个用于cvs用户的组，例如，ncvs，以及一个用于管理cvs repository的用户，如repoman（它当然要属于ncvs那个组），然后，创建一个目录来保存cvs repository，本例中，我们把它放到/home/ncvs中：

rm -rf /home/ncvs

mkdir -p /home/ncvs

chown -R repoman:ncvs /home/ncvs

chmod -R 775 /home/ncvs

接下来就是初始化这个repository了，简单地执行：

su -l repoman

cvs -d /home/ncvs init

就可以了。

目前，所有的FreeBSD版本中包含的cvs都存在一个微小的安全漏洞，尽管这个漏洞只能在本地利用，但建议您把它补上方法是找到 /usr/src/contrib/cvs/src/expand_path.c 中的

return current_parsed_root->original;

一行，把它改为

return current_parsed_root->directory;

当然，接下来就是重新make world kernel了。需要说明的是，如果您使用的是5-CURRENT，还需要修改一些代码才能让它达到5.2-RELEASE那样的性能(-CURRENT中打开了大量的调试选项)，具体方法这里不再赘述。