ubuntu gitlab权限管理指南

Ubuntu 上 GitLab 权限管理指南

一 角色与权限速览

• 项目级访问级别（由低到高）与典型能力如下：
  • Guest：查看项目与议题、发表评论，不能读写代码。
  • Reporter：可克隆代码、查看代码与议题、添加注释与标签，不能推送代码。
  • Developer：可推送代码、创建与合并合并请求（MR）、管理分支（非保护分支）。
  • Maintainer：可管理项目设置、推送到受保护分支、创建标签、添加项目成员。
  • Owner：最高权限，可设置项目可见性、删除项目、迁移项目、管理组成员。
• 建议按团队职责分配：外部协作给 Guest/Reporter，内部开发给 Developer，技术负责人给 Maintainer，组/项目负责人给 Owner。

二 用户 群组与项目的权限设计

• 创建用户：管理员进入“用户”→“新用户”，设置姓名、用户名、邮箱与访问级别；首次登录可要求修改密码。
• 创建群组：进入“群组”→“新建群组”，选择可见性（Private/Internal/Public），在“Members”中邀请成员并分配角色；通过子组与组级权限继承实现规模化授权。
• 创建项目与授权：进入“项目”→“新建项目”，建议将项目归属到相应群组；在项目“Members”中为成员或子组授予上述角色；通过组项目减少逐项目授权的重复工作。

三 保护分支与代码评审流程

• 保护分支设置：在项目“Settings → Repository → Protected branches”中，为目标分支（如 main/develop）配置：
  • 允许合并/推送的角色（常见做法：仅 Maintainer 可合并，Developer 可推送至非保护分支）。
  • 是否需要 Code Owner 审批、是否启用 Merge Request 必需、是否禁止强制推送与删除。
• 评审与合并：开发者基于功能分支提交 MR，指定 Assignee/Reviewer，通过 流水线（CI） 与 代码所有者 检查后由 Maintainer 合并；必要时使用 WIP 标记阶段性提交。

四 系统级权限与目录安全

• 运行身份与目录归属：GitLab 在 Omnibus 包下默认以 git:git 运行，核心数据目录为 /var/opt/gitlab。如遇权限异常，可校验归属：
  • 检查/修复目录归属：sudo chown -R git:git /var/opt/gitlab
• 配置与日志：修改 /etc/gitlab/gitlab.rb 后需执行 sudo gitlab-ctl reconfigure 使配置生效；常用运维命令：
  • 状态/启停：sudo gitlab-ctl status|start|stop|restart
  • 日志排查：sudo gitlab-ctl tail（或指定组件如 nginx/gitlab_access.log）
• 防火墙与端口：开放 HTTP/HTTPS（如 80/443）以正常访问：
  • UFW 示例：sudo ufw allow 80/tcp；sudo ufw allow 443/tcp
• 安全模块：启用 AppArmor/SELinux 时，确保策略不阻断 GitLab 运行（生产环境不建议直接关闭安全模块）。

五 常见场景与推荐做法

• 外部合作方只读：授予 Reporter（可克隆与查看），必要时仅对特定仓库授权，避免加入高权限组。
• 内部开发团队：常规开发者 Developer，技术负责人 Maintainer，项目负责人 Owner；通过组继承统一授权。
• 保护主干与发布：对 main/develop 设为保护分支，仅 Maintainer 可合并，启用 MR 审批 与 CI 通过 作为合并前置条件。
• 最小化注册风险：在“管理员 → 设置 → 通用”中关闭或限制注册功能，仅允许管理员创建用户，配合企业邮箱/SSO 发放账号。