Merge pull request #252 from networm/sync_04-git-server

networm · networm · commit 0c9ff6be3098 · 2015-08-18T08:31:19.000+08:00
Sync 04-git-server
diff --git a/book/04-git-server/sections/git-daemon.asc b/book/04-git-server/sections/git-daemon.asc
@@ -1,7 +1,9 @@
 === Git 守护进程
 
 (((serving repositories, git protocol)))
-接下来我们将通过 ``Git'' 协议建立一个基于守护进程的仓库。对于快速且无需授权的 Git 数据访问，这是一个理想之选。请注意，因为其不包含授权服务，任何通过该协议管理的内容将在其网络上公开。
+接下来我们将通过 ``Git'' 协议建立一个基于守护进程的仓库。
+对于快速且无需授权的 Git 数据访问，这是一个理想之选。
+请注意，因为其不包含授权服务，任何通过该协议管理的内容将在其网络上公开。
 
 如果运行在防火墙之外的服务器上，它应该只对那些公开的只读项目服务。
 如果运行在防火墙之内的服务器上，它可用于支撑大量参与人员或自动系统（用于持续集成或编译的主机）只读访问的项目，这样可以省去逐一配置 SSH 公钥的麻烦。
@@ -41,7 +43,7 @@ respawn
 ----
 
 出于安全考虑，强烈建议使用一个对仓库拥有只读权限的用户身份来运行该守护进程 - 你可以创建一个新用户 'git-ro' 并且以该用户身份来运行守护进程。
-为简便起见，我们将像 Gitosis 一样，同样使用 'git' 用户来运行它。
+为简便起见，我们将像 `git-shell` 一样，同样使用 'git' 用户来运行它。
 
 当你重启机器时，你的 Git 守护进程将会自动启动，并且如果进程被意外结束它会自动重新运行。
 为了在不重启的情况下直接运行，你可以运行以下命令：
@@ -53,12 +55,13 @@ initctl start local-git-daemon
 
 在其他系统中，你可以使用 `sysvinit` 系统中的 `xinetd` 脚本，或者另外的方式来实现 - 只要你能够将其命令守护进程化并实现监控。
 
-接下来，你需要告诉 Git 哪些仓库允许基于服务器的无授权访问。你可以在每个仓库下创建一个名为 `git-daemon-export-ok` 的文件来实现。
+接下来，你需要告诉 Git 哪些仓库允许基于服务器的无授权访问。
+你可以在每个仓库下创建一个名为 `git-daemon-export-ok` 的文件来实现。
 
 [source,console]
 ----
 $ cd /path/to/project.git
 $ touch git-daemon-export-ok
 ----
 
-该文件将允许 Git 提供无需授权的项目访问服务。
+该文件将允许 Git 提供无需授权的项目访问服务。
diff --git a/book/04-git-server/sections/git-on-a-server.asc b/book/04-git-server/sections/git-on-a-server.asc
@@ -70,7 +70,7 @@ $ git init --bare --shared
 你已经准备好了一切，无需更多。
 
 下面的几节中，你会了解如何扩展到更复杂的设定。
-这些内容包含如何避免为每一个用户建立一个账户，给仓库添加公共读取权限，架设网页界面，使用 Gitosis 工具等等。
+这些内容包含如何避免为每一个用户建立一个账户，给仓库添加公共读取权限，架设网页界面等等。
 然而，请记住这一点，如果只是和几个人在一个私有项目上合作的话，__仅仅__ 是一个 SSH 服务器和裸仓库就足够了。
 
 ==== 小型安装
diff --git a/book/04-git-server/sections/gitlab.asc b/book/04-git-server/sections/gitlab.asc
@@ -127,6 +127,5 @@ web 用户界面提供了几个有用的获取版本库信息的网页。
 每一个合并请求都允许在提出改变的行进行讨论（它支持一个轻量级的代码审查），也允许对一个总体性话题进行讨论。
 两者都可以被分配给用户，或者组织到 milestones（里程碑） 界面。
 
-这个部分主要聚焦于在 GitLab 中与 Git 相关的部分，但是 GitLab 是一个相当成熟的系统，它提供了许多其他产品来帮助你协同工作。
-这包括项目的 wiki 页面，讨论 ``墙''，以及系统维护工具。
+这个部分主要聚焦于在 GitLab 中与 Git 相关的特性，但是 GitLab 作为一个成熟的系统，它提供了许多其他产品来帮助你协同工作，例如项目 wiki 与系统维护工具。
 GitLab 的一个优点在于，服务器设置和运行以后，你将很少需要调整配置文件或通过 SSH 连接服务器；绝大多数的管理和日常使用都可以在浏览器界面中完成。
diff --git a/book/04-git-server/sections/protocols.asc b/book/04-git-server/sections/protocols.asc
@@ -33,6 +33,7 @@ $ git clone file:///opt/git/project.git
 在此我们将使用普通路径，因为这样通常更快。
 
 要增加一个本地版本库到现有的 Git 项目，可以执行如下的命令：
+
 [source,console]
 ----
 $ git remote add local_proj /opt/git/project.git
@@ -57,7 +58,10 @@ $ git remote add local_proj /opt/git/project.git
 
 值得一提的是，如果你使用的是类似于共享挂载的文件系统时，这个方法不一定是最快的。
 访问本地版本库的速度与你访问数据的速度是一样的。
-在同一个服务器上，如果允许Git访问本地硬盘，一般的通过 NFS 访问版本库要比通过 SSH 访问慢。
+在同一个服务器上，如果允许 Git 访问本地硬盘，一般的通过 NFS 访问版本库要比通过 SSH 访问慢。
+
+最终，这个协议并不保护仓库避免意外的损坏。
+每一个用户都有“远程”目录的完整 shell 权限，没有方法可以阻止他们修改或删除 Git 内部文件和损坏仓库。
 
 ==== HTTP 协议
 
@@ -73,7 +77,10 @@ Git 1.6.6 版本引入了一种新的、更智能的协议，让 Git 可以像
 (((protocols, smart HTTP)))
 “智能” HTTP 协议的运行方式和 SSH 及 Git 协议类似，只是运行在标准的 HTTP/S 端口上并且可以使用各种 HTTP 验证机制，这意味着使用起来会比 SSH 协议简单的多，比如可以使用 HTTP 协议的用户名／密码的基础授权，免去设置 SSH 公钥。
 
-智能 HTTP 协议或许已经是最流行的使用 Git 的方式了，它即支持像 `git://` 协议一样设置匿名服务，也可以像 SSH 协议一样提供传输时的授权和加密。而且只用一个 URL 就可以都做到，省去了为不同的需求设置不同的 URL。如果你要推送到一个需要授权的服务器上（一般来讲都需要），服务器会提示你输入用户名和密码，从服务器获取数据时也一样。
+智能 HTTP 协议或许已经是最流行的使用 Git 的方式了，它即支持像 `git://` 协议一样设置匿名服务，也可以像 SSH 协议一样提供传输时的授权和加密。
+而且只用一个 URL 就可以都做到，省去了为不同的需求设置不同的 URL。
+如果你要推送到一个需要授权的服务器上（一般来讲都需要），服务器会提示你输入用户名和密码。
+从服务器获取数据时也一样。
 
 事实上，类似 GitHub 的服务，你在网页上看到的 URL （比如， `https://github.com/schacon/simplegit[]`)，和你在克隆、推送（如果你有权限）时使用的是一样的。
 
@@ -108,7 +115,8 @@ $ git clone https://example.com/gitproject.git
 这里我们用了 Apache 里设置了常用的路径 `/var/www/htdocs`，不过你可以使用任何静态 web 服务器 —— 只需要把裸版本库放到正确的目录下就可以。
 Git 的数据是以基本的静态文件形式提供的（详情见 <<_git_internals>>）。
 
-通常的，会在可以提供读／写的智能 HTTP 服务和简单的只读的哑 HTTP 服务之间选一个。极少会将二者混跑提供服务。
+通常的，会在可以提供读／写的智能 HTTP 服务和简单的只读的哑 HTTP 服务之间选一个。
+极少会将二者混合提供服务。
 
 ===== 优点
 
@@ -128,7 +136,9 @@ Git 的数据是以基本的静态文件形式提供的（详情见 <<_git_inter
 在一些服务器上，架设 HTTP/S 协议的服务端会比 SSH 协议的棘手一些。
 除了这一点，用其他协议提供 Git 服务与 “智能” HTTP 协议相比就几乎没有优势了。
 
-如果你在 HTTP 上使用需授权的推送，管理凭证会比使用 SSH 密钥认证麻烦一些。然而，你可以选择使用凭证存储工具，比如 OSX 的 Keychain 或者 Windows 的凭证管理器。参考 <<_credential_caching>> 如何安全的保存 HTTP 密码。
+如果你在 HTTP 上使用需授权的推送，管理凭证会比使用 SSH 密钥认证麻烦一些。
+然而，你可以选择使用凭证存储工具，比如 OSX 的 Keychain 或者 Windows 的凭证管理器。
+参考 <<_credential_caching>> 如何安全地保存 HTTP 密码。
 
 ==== SSH 协议
 
diff --git a/book/04-git-server/sections/smart-http.asc b/book/04-git-server/sections/smart-http.asc
@@ -2,11 +2,13 @@
 
 (((serving repositories, HTTP)))
 我们一般通过 SSH 进行授权访问，通过 git:// 进行无授权访问，但是还有一种协议可以同时实现以上两种方式的访问。
-设置 Smart HTTP 一般只需要在服务器上启用一个 Git 自带的名为 `git-http-backend` 的 CGI 脚本。((git commands, "http-backend"))
+设置 Smart HTTP 一般只需要在服务器上启用一个 Git 自带的名为 `git-http-backend` 的 CGI 脚本。(((git commands, "http-backend")))
 该 CGI 脚本将会读取由 `git fetch` 或 `git push` 命令向 HTTP URL 发送的请求路径和头部信息，来判断该客户端是否支持 HTTP 通信（不低于 1.6.6 版本的客户端支持此特性）。
 如果 CGI 发现该客户端支持智能（Smart）模式，它将会以智能模式与它进行通信，否则它将会回落到哑（Dumb）模式下（因此它可以对某些老的客户端实现向下兼容）。
 
-在完成以上简单的安装步骤后，我们将用 Apache 来作为 CGI 服务器。如果你没有安装 Apache，你可以在 Linux 环境下执行如下或类似的命令来安装：(((Apache)))
+在完成以上简单的安装步骤后，
+我们将用 Apache 来作为 CGI 服务器。
+如果你没有安装 Apache，你可以在 Linux 环境下执行如下或类似的命令来安装：(((Apache)))
 
 [source,console]
 ----
@@ -16,13 +18,13 @@ $ a2enmod cgi alias env
 
 该操作将会启用 `mod_cgi`， `mod_alias`， 和 `mod_env` 等 Apache 模块， 这些模块都是使该功能正常工作所必须的。
 
-接下来我们要向 Apache 配置文件添加一些内容，来让 `git http-backend` 作为 Web 服务器对 `/git` 路径请求的处理器。
+接下来我们要向 Apache 配置文件添加一些内容，来让 `git-http-backend` 作为 Web 服务器对 `/git` 路径请求的处理器。
 
 [source,console]
 ----
 SetEnv GIT_PROJECT_ROOT /opt/git
 SetEnv GIT_HTTP_EXPORT_ALL
-ScriptAlias /git/ /usr/libexec/git-core/git-http-backend/
+ScriptAlias /git/ /usr/lib/git-core/git-http-backend/
 ----
 
 如果留空 `GIT_HTTP_EXPORT_ALL` 这个环境变量，Git 将只对无授权客户端提供带 `git-daemon-export-ok` 文件的版本库，就像 Git 守护进程一样。
@@ -51,16 +53,22 @@ ScriptAlias /git/ /usr/libexec/git-core/git-http-backend/
 </LocationMatch>
 ----
 
-这需要你创建一个包含所有合法用户密码的 `.htaccess` 文件。以下是一个添加 ``schacon'' 用户到此文件的例子：
+这需要你创建一个包含所有合法用户密码的 `.htaccess` 文件。
+以下是一个添加 ``schacon'' 用户到此文件的例子：
 
 [source,console]
 ----
 $ htdigest -c /opt/git/.htpasswd "Git Access" schacon
 ----
 
-你可以通过许多方式添加 Apache 授权用户，选择使用其中一种方式即可。以上仅仅只是我们可以找到的最简单的一个例子。如果愿意的话，你也可以通过 SSL 运行它，以保证所有数据是在加密状态下进行传输的。
+你可以通过许多方式添加 Apache 授权用户，选择使用其中一种方式即可。
+以上仅仅只是我们可以找到的最简单的一个例子。
+如果愿意的话，你也可以通过 SSL 运行它，以保证所有数据是在加密状态下进行传输的。
 
-我们不想深入去讲解 Apache 配置文件，因为你可能会使用不同的 Web 服务器，或者可能有不同的授权需求。它的主要原理是使用一个 Git 附带的，名为 `git http-backend` 的 CGI。它被引用来处理协商通过 HTTP 发送和接收的数据。它本身并不包含任何授权功能，但是授权功能可以在 Web 服务器层引用它时被轻松实现。你可以在任何所有可以处理 CGI 的 Web 服务器上办到这点，所以随便挑一个你最熟悉的 Web 服务器试手吧。
+我们不想深入去讲解 Apache 配置文件，因为你可能会使用不同的 Web 服务器，或者可能有不同的授权需求。
+它的主要原理是使用一个 Git 附带的，名为 `git-http-backend` 的 CGI。它被引用来处理协商通过 HTTP 发送和接收的数据。
+它本身并不包含任何授权功能，但是授权功能可以在 Web 服务器层引用它时被轻松实现。
+你可以在任何所有可以处理 CGI 的 Web 服务器上办到这点，所以随便挑一个你最熟悉的 Web 服务器试手吧。
 
 [NOTE]
 ====
