gollumを管理画面とユーザー画面で分離してみる

前回、編集制限機能を使った gollum と無制限の gollum を使えば、管理画面と一般画面が作れるだろう。
ということを書いたのですが、すぐできたので載せておきます。

目次

サービス設定

以下の 2 つのファイルを作成します。

  • gollum-admin.service(編集許可 gollum サービス起動用)
  • gollum.service(編集禁止 gollum サービス起動用)
/etc/systemd/system/gollum-admin.service
1
2
3
4
5
6
7
8
9
10
11
[Unit]
Description=Gollum wiki server
After=network.target

[Service]
Type=simple
ExecStart=/root/.rbenv/versions/2.5.7/bin/ruby /root/.rbenv/versions/2.5.7/bin/gollum /root/gollum --css --allow-uploads --emoji --template-dir /root/gollum/templates --port 4569 --base-path editer
Restart=always

[Install]
WantedBy=default.target
  • --port 4569
  • --base-path editer
    以上の 2 つをオプションに割り当てて、編集制限で立ち上げる gollum とポートがぶつからないように設定。
    編集制限で立ち上げる gollum パスがぶつからないように、パスを設定。
/etc/systemd/system/gollum.service
1
2
3
4
5
6
7
8
9
10
11
[Unit]
Description=Gollum wiki server
After=network.target

[Service]
Type=simple
ExecStart=/root/.rbenv/versions/2.5.7/bin/ruby /root/.rbenv/versions/2.5.7/bin/gollum /root/gollum --css --allow-uploads --emoji --no-edit --template-dir /root/gollum/templates
Restart=always

[Install]
WantedBy=default.target

--no-editがオプションについているのがポイント。

nginx 設定

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;

# Load dynamic modules. See /usr/share/doc/nginx/README.dynamic.
include /usr/share/nginx/modules/*.conf;

events {
    worker_connections 1024;
}

http {
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile            on;
    tcp_nopush          on;
    tcp_nodelay         on;
    keepalive_timeout   65;
    types_hash_max_size 2048;

    include             /etc/nginx/mime.types;
    default_type        application/octet-stream;

    server {
        listen       80 default_server;
        listen       [::]:80 default_server;
        server_name  _;

        location / {
            #公開用
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header Host $http_host;
            proxy_pass http://localhost:4567;
        }
        location /editer {
            #管理画面用
            auth_basic 'gollumpass';
            auth_basic_user_file /etc/nginx/passwords/.gollumpass;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header Host $http_host;
            proxy_pass http://localhost:4569/editer;
        }
    }
}

確認

gollum をそれぞれ起動して、nginx の設定をリロードすると、起動できます。
ブラウザで、起動したサーバーのルートにアクセスすると、編集制限の gollum が開きます。
/editerにアクセスすることで、basic 認証を要求されます。
認証できると制限のない gollum が開きます。

本番に使うなら、セキュリティの施策で考えることは、もっとあるでしょう。

以前、検討した gollum で編集制限の一般用と編集許可した管理用の併設を行ってみました。
検討していたことが、できるとうれしいですね。

ではでは。