如何使用 sudoers 以另一个用户身份运行 Mercurial 命令

Question

我们所有的开发人员都可以通过 ssh 登录到我们的临时服务器。

当他们在临时服务器上运行任何 hg 命令时，他们就会成为更新/新文件的所有者。我需要这些文件由用户/组 www-data 拥有。

我尝试将 sudoers 文件编辑为此，

Cmnd_Alias WWW_DATA_CMDS = /usr/bin/svn, /usr/bin/hg

%developers  ALL=(www-data) NOPASSWD: WWW_DATA_CMDS

正如您所看到的，我们的服务器上也有 SVN（我们正在从 SVN 转向 HG），并且此设置对于 SVN 来说效果很好，如果我们运行 SVN 命令，它会创建文件为 www- data

我如何获得相同的数据以用于 Mercurial？

Answer 1

首先要明白这里没有魔法。 Mercurial 始终以其运行用户的身份创建文件，故事结束了。它不会尝试（甚至没有权限）做任何其他事情。

这意味着，如果您仅通过 sudo 运行 hg，并且现有文件的权限正确，那么它将执行您想要的操作。

但这也意味着，如果用户在没有 sudo 的情况下运行 hg，并且他们拥有正确的权限，他们就会造成混乱。 Mercurial 满足于让您执行 Unix 权限模型允许的任何操作。

有三种方法可以解决这个问题：

• 用尺子敲打指关节，直到人们一致使用 sudo
• 使用像 Mercurial-server 这样的包装器，将所有用户集中到一个帐户中，
• 正确配置组、umask、所有权和权限，以便实际上可以共享

内容最后的工作原理如下：

• 确保每个用户 X 都有一个匹配的默认组 X（大多数现代系统已经这样做）
• 将每个人（和 wwwdata）添加到辅助组 project-foo
• 确保每个人的 umask 在登录时设置为 NOT mask group读/写（umask 007，而不是 077）
• 将项目中的所有文件设置为组项目 foo (chgrp -R project-foo foo/)
• 使该组的所有文件读/写 (chmod -R g+rw foo/ ）
• 使所有目录可遍历并setgid（find foo/ -type d | xargs chmod g+sx）

这将确保每次用户在项目，该组中的其他人都可以读/写该项目。