Сделать публичный git-репозиторий, с доступом по ssh только для клонирования

И давно у месье такое тонкое понимание?

https://github.com/sitaramc/gitolite

Есть ещё лайтовее: git init --bare :)

git clone ssh://user@domain/path/to/repo

Для такого нужна какая-то идентификация пользователя как user, т.е. ssh-ключ или пароль

ssh user@domain

с ssh протоколом это в любом случае будет возможно, но можно поставить нерабочий login shell (/sbin/nologin)

Есть ещё лайтовее: git init –bare

И как это заменяет разграничение прав доступа, которое даёт gitolite?

Почему именно ssh? Там есть git://, который как раз только для чтения.

с ssh протоколом это в любом случае будет возможно, но можно поставить нерабочий login shell (/sbin/nologin)

Нельзя, тогда гит работать не будет. Надо ставить git-shell. Но вроде ему можно запретить интерактивный режим.

Сделай так чтбы у указанного юзера не было прав на запись в файлы репы (unix-правами), но были права на чтение. Тогда он никак не сможет ничего изменить в ней, следить за этим будет ядро ОС.

А вот например такое в sshd_config:

Match User myrepocloner
    ForceCommand /usr/bin/git-upload-pack '/path/to/myrepo'

Размах костыльности обсуждаем.

1. Фильтрация команд: только git-upload-pack

или

2. readonly файловая система для соответствующего пользователя

Так получится?