由于公司要求对svn的访问记录进行监控,所以需要对svn的服务器的配置做一些修改。其实也不是很麻烦,只是要做一些调整而己,之前的svn服务端是采用Apache的HTTP协议做为访问svn仓库的方式,所以只需要开启Apache的访问日志即可。基本方法如下:
1:找到Apache的配置文件httpd.conf。
2:用文本编辑器打开这个文件,查找包括"access_log”、"error_log"这两个字符串的行,如果这些行前面有“#”这样的标记,那么就将这些行的前面加上字符“#”删除掉,要注意的是,有些注释行中也有这两个字符串,注释行前面的“#”不要删除掉,然后保存这个文件。
3:重新启动Apache的httpd进程,即重启SVN服务。
其实配置的过程是很简单,只要理解了Apache的管理,基本上很容易,这里要提出来的是,大家可以去看一下这两个日志文件的内容,比较有意思,对于access日志来说,它默认的格式如下:
访问的源IP地址 访问的svn帐号 访问的时间戳 动作类型(例如GET/PUT/ADD/DELETE/UPDATE) 访问的SVN路径 访问协议 HTTP返回结果值 其它的信息等
其实这个格式都比较好理解,在安全监控方面,这种日志中对我们最有用的就是:访问的源IP地址 访问的svn帐号 访问的时间戳 动作类型(例如GET/PUT/ADD/DELETE/UPDATE) 访问的SVN路径 这几个值的,有了这几个值,做一些基本的判断就很容易了。当然,这是Apache默认下日志格式,也可以改成其它的格式,只需要在Apache的httpd.conf这个文件中做出相应的修改即可。
另外一个错误的日志消息格式就更简单了,大家去CAT一下它的内容就很明白了。
在开启访问监控后,需要注意的是这两个文件会随着svn仓库版本的增长,其文件的大小也会增长,而且增长会很快,所以每隔一段时间,CC必须要去服务器上看一下这两个文件的大小,防止超大的文件出现。当然,为防止超大文件出现,也可以通过Apache进行配置,设置日志文件大小最大值,达到最大值时创建新的日志文件,具体的配置方式这里就不讲了,网上很多,大家去google或baidu一下都可以找到的。
个人不建议开启这两个监控动作,因为svn仓库做为一个版本管理的软件,在访问安全上不应该由它来控制,即使是监控,它永远只是一个事后的结果分析,它做不到事前控制,所以这种安全的监控为什么不在事前就控制起来呢?完全可以通过CC的权限和帐号管理做到这个安全控制,而没必要去浪费svn的资源来做这个事情。