ubuntu gitlab权限设置指南

Ubuntu 上 GitLab 权限设置指南

一 角色与访问级别速览

• Guest（访客）：可查看公开项目、发表评论，不能读写代码。
• Reporter（报告者）：可克隆代码、查看问题/合并请求、发表评论，不能推送代码。
• Developer（开发者）：可克隆、推送、创建合并请求，参与日常开发。
• Maintainer（维护者）：可管理项目设置、保护分支、打标签、添加成员，具备更高运维权限。
• Owner（所有者）：最高权限，可管理组成员、可见性、迁移/删除项目等。
• 以上角色既适用于项目级也适用于群组级，用于细粒度授权与协作分工。

二 项目与群组权限配置步骤

• 创建与邀请
  • 创建群组（建议设为Private），在群组的 Members 中邀请成员并分配角色（如 Developer/Maintainer）。
  • 在群组内创建项目，项目会继承群组可见性与成员权限，减少逐项目授权的重复工作。
• 项目级成员与受保护分支
  • 进入项目 Settings → Members 添加成员并设定访问级别（如 Reporter/Developer）。
  • 进入 Settings → Repository → Protected branches 配置保护策略：
    • 将 main/master 设为 Protected，仅允许 Maintainer 推送与合并；
    • 为 Developer 开启“允许创建合并请求”但禁止直接推送到受保护分支；
    • 按需配置“代码所有者审核”“批准规则”等质量门槛。
• 可见性与注册策略
  • 在 Settings → Visibility and access 调整项目/群组的可见性（Private/Internal/Public）。
  • 在 Admin Area → Settings → General → Sign-up restrictions 关闭或限制注册，避免未授权账号进入。
• 审计与合规
  • 通过 Admin Area → Monitoring → Audit events 查看关键操作日志（成员变更、权限调整、受保护分支规则变更等），用于审计与回溯。

三 系统与服务权限要点

• 运行身份与目录权限
  • Omnibus 包默认以 git:git 运行，数据目录 /var/opt/gitlab 建议属主为 git:git，常用权限为 755（目录）与 600（私钥）等，确保服务与用户分离、最小权限原则。
• 配置变更与生效
  • 修改 /etc/gitlab/gitlab.rb 后执行 sudo gitlab-ctl reconfigure 使配置生效；必要时用 sudo gitlab-ctl restart 重启相关组件。
• 防火墙放行
  • 放行 80/443/22 端口（HTTP/HTTPS/SSH），例如使用 UFW：sudo ufw allow 80,443,22。
• 安全模块与日志排查
  • 若启用 SELinux/AppArmor，需确保策略允许 GitLab 正常运行（如将 AppArmor 设为投诉模式进行排障）。
  • 排查问题优先查看日志：/var/log/gitlab，或使用 sudo gitlab-ctl tail 实时跟踪组件日志。

四 常见场景与推荐权限