git, bash, madskillz. Недопускаем утечки паролей через git.

bash, git, hooks, безопасность, паранойя

0

3

В общем хочу куда-то положить свои .настройки(они же конфиги), чтобы потом отовсюду скачать можно было, но заела паранойя — а вдруг закоммичу какой-нибудь пароль случайно.

Идея возникла такая — в корне репозитория лежит зашифрованный файл с регекспами(.pass_rx_file.gpg, этот файл понятное дело в .gitignore и никуда не льётся), которыми должны проверяться все коммиты во все ветки, кроме ветки local-security.
Так же должны проверяться все коммиты со всех веток перед push'ем.

Пока что сделал так:

gpg -o - .pass_rx_file.gpg:

.*?test.*?120.*?password?.*
.*?10crack[[:digit:]]*?me.*

cat .git/hooks/commit-msg

#!/bin/bash

pass_rx_file=".pass_rx_file.gpg"
message_file="$1"

exec 1>&2

if gpg -o - "$pass_rx_file"|grep -E -f - "$message_file" > /dev/null; then
    echo "[ERROR] Your commit message contain a sensible information!"
    exit 1
fi

exit $?

cat .git/hooks/pre-commit

pass_rx_file=".pass_rx_file.gpg"

exec 1>&2

file_names=`git diff --cached --name-only | sed -e 's/^\|$/'"'"'/g'`
results=`echo "$pass_rx_file" "$file_names"|xargs sh -c 'gpg -o - "$0"|grep -E -f - "${@:1}"'`

if [ -n "$results" ]; then
    echo "Error: Attempt to add files containing a sensible information:
    $results"
	exit 1
fi

exec git diff-index --check --cached $against --

Можно ли сделать красивее всю эту ерунду с gitом, sedом, xargsом, sh, gpg, grepом ?)
Как тут лучше всего проверить ветку, в которую осуществляется коммит?
Кроме того текущая реализация будет проверять файлы целиком, а лучше бы оно проверяло только дифы. Как это всё слепить в кучу?

Тест:

mkdir test_hooks
cd test_hooks
git init

cp pre-commit commit-msg .git/hooks/

echo '.*?test.*?120.*?password?.*
.*?10crack[[:digit:]]*?me.*' > pass_rx_file

gpg -c pass_rx_file

mkdir testdir
echo 'sad fdf test1120-w3password)' > testdir/fi\ le
echo test >> testf

git add testf testdir/fi\ le

git commit -a -m 'message 10crack4me of no interest'

К pre-push хуку пока не знаю как и подступиться.

Ну и подскажите баги, подводные ками(да, gpg можно поменять на gpg2, чтобы постоянно не вводить пароли), делитесь своими полезными хуками). Может кто уже делал такое?

Ссылка

←	Как лучше написать скрипт проверки присутствие всех строк из файла A в файле B.

SSH туннели из текстового списка

→

А авторизацию по ключам почему не хочешь использовать?

Black_Shadow ★★★★★
(29.02.16 23:34:37 MSK)

Ответ на: комментарий от Black_Shadow 29.02.16 23:34:37 MSK

Пардон, что вмешиваюсь,

но иногда не оставляют выбора.

К примеру, вы не знаете, можно ли авторизироваться по ключу на Гуглопочте?

Zmicier ★★★★★
(29.02.16 23:36:37 MSK)
Последнее исправление: Zmicier 29.02.16 23:38:49 MSK (всего исправлений: 1)

Сколько раз твердили — `git diff`, потом `git commit`, потом `git push;`. Никак не `git add . && git commit -am «moar stuffz» && git push -f`.

Читай изменения глазами. Греп «pass» тебя не спасёт. И не подкладывай свинью другим людям в виде пиара своего костыля как волшебной пилюли, которая спасёт их от факапов и позволит не читать диффы.

ChALkeR ★★★★★
(29.02.16 23:47:24 MSK)

Ответ на: комментарий от ChALkeR 29.02.16 23:47:24 MSK

`git diff`, потом `git commit`, потом `git push;`

ну спасибо, кэп. Так и делаю.
А если там мегатонны изменений? Нет предела паранойе. Автоматические проверки понятное дело не дают право отключать мозг совсем(ну если только на самую чуточку снизить градус напряжения).

Bad_ptr ★★★★★
(29.02.16 23:50:45 MSK) автор топика

Ответ на: комментарий от Bad_ptr 29.02.16 23:50:45 MSK

А если там мегатонны изменений?

То читать мегатонны постепенно и добавлять постепенно. Или бить на более мелкие коммиты.

ChALkeR ★★★★★
(29.02.16 23:52:36 MSK)

Ссылка

Ответ на: Пардон, что вмешиваюсь, от Zmicier 29.02.16 23:36:37 MSK

Понятия не имею.

Black_Shadow ★★★★★
(29.02.16 23:55:54 MSK)

Ответ на: комментарий от ChALkeR 29.02.16 23:47:24 MSK

git add .

git add -A ., шоб наверняка.

intelfx ★★★★★
(01.03.16 06:01:18 MSK)

Ссылка

Ответ на: комментарий от Bad_ptr 29.02.16 23:50:45 MSK

мегатонны изменений
в одном коммите

quantum-troll ★★★★★
(01.03.16 07:41:09 MSK)

Ответ на: комментарий от quantum-troll 01.03.16 07:41:09 MSK

в одном коммите

читать мегатонны постепенно и добавлять постепенно. Или бить на более мелкие коммиты.

время. Время человеческой жизни ограничено(внимательность тоже плавает от настроения). Нельзя всё всегда сделать правильно.

Bad_ptr ★★★★★
(01.03.16 07:43:08 MSK) автор топика
Последнее исправление: Bad_ptr 01.03.16 07:46:03 MSK (всего исправлений: 1)

Ответ на: комментарий от Bad_ptr 01.03.16 07:43:08 MSK

внимательность тоже плавает от настроения

А grep конечно решит проблему системно?

anonymous
(01.03.16 08:42:35 MSK)

Ответ на: комментарий от anonymous 01.03.16 08:42:35 MSK

просто снизит вероятность ошибки
на 100% вообще ничто ничего не решит

Вообще с каких пор айтишники против небольшой автоматизации?(а впрочем всегда на ЛОРе обитали луддиты и консерваторы, лишь бы покритиковать) Я вот считаю что любая дополнительная автоматическая проверка — это хорошо.

Bad_ptr ★★★★★
(01.03.16 08:51:12 MSK) автор топика

Ответ на: комментарий от Bad_ptr 01.03.16 08:51:12 MSK

Я вот считаю что любая дополнительная автоматическая проверка — это хорошо.

Она усыпляет бдительность.

quantum-troll ★★★★★
(01.03.16 09:16:25 MSK)

Ответ на: комментарий от Bad_ptr 01.03.16 08:51:12 MSK

Это даст тебе ложное ощущение безопасности. Я не уверен, что тут лучше, а что хуже.

ChALkeR ★★★★★
(01.03.16 09:21:48 MSK)

Ссылка

Ответ на: комментарий от Bad_ptr 01.03.16 08:51:12 MSK

Вообще с каких пор айтишники против небольшой автоматизации?

Вообще у меня все конфиги на GH в виде шаблонов, а явки/пароли накатываются на них скриптом. Можно пойти дальше и оркестровку использовать, но для локалхоста это оверкилл. А ты со своим грепом можешь дальше бубнить про «на 100% вообще ничто ничего не решит».

anonymous
(01.03.16 09:24:12 MSK)

Ответ на: комментарий от anonymous 01.03.16 09:24:12 MSK

Вообще у меня все конфиги на GH в виде шаблонов, а явки/пароли накатываются на них скриптом.

А ссылка есть, на твои конфиги?

Bad_ptr ★★★★★
(01.03.16 12:11:36 MSK) автор топика

Ответ на: комментарий от Bad_ptr 29.02.16 23:50:45 MSK

У меня есть файл конфигурации с явками и паролями. Внёс его в .gitignore, в репу же положил example.

anonymous
(01.03.16 12:32:02 MSK)

Ответ на: комментарий от anonymous 01.03.16 12:32:02 MSK

угу. Но на самом деле мне больше нравится такое

все конфиги на GH в виде шаблонов, а явки/пароли накатываются на них скриптом

Кто знает такой шаблонизатор, чтобы прошёл по всем файлам и заменил там все «специальные поля», при этом спросив у пользователя на что заменить, если не установлена «переменная для поля»? И ещё чтобы это не зависело от всяких рубей/питонов и не надо было ничего устанавливать.

в репу же положил example

тут возникает проблема, синхронизации между exampl'ами и реальными файлами. Двойная работа получается, потому что изменения надо вносить и туда и туда и при этом фигурно вырезать куски с паролями.

Bad_ptr ★★★★★
(01.03.16 12:48:20 MSK) автор топика

Ответ на: комментарий от anonymous 01.03.16 12:32:02 MSK

короче нужно делать ещё и post-commit и post-rewrite хуки
и в них искать, если произошли изменения в файлах с именем *.example
то переписывать ими файлы без .example и запускать шаблонизатор, который всё нужное подменит, прочитав перед этим конфиг с подстановками, а если подходящей подстановки нет — то спросит у юзера и сохранит в конфиг. Конфиг, ясное дело локальный шифрованный и гитигнорируемый.
Вот как то так.

Bad_ptr ★★★★★
(01.03.16 14:22:25 MSK) автор топика

Ссылка

Ответ на: комментарий от Bad_ptr 01.03.16 12:48:20 MSK

Есть такая. Но в любом случае example максимально нейтрален должен быть. А поднятие моего окружения — моя проблема.

anonymous
(01.03.16 15:07:07 MSK)

Ссылка

Ответ на: комментарий от Black_Shadow 29.02.16 23:55:54 MSK

А авторизацию по ключам почему не хочешь использовать?
можно ли авторизироваться по ключу на Гуглопочте?
Понятия не имею.

Хорошо, а вообще какой из распространенных почтовых операторов позволяет авторизацию по ключу?

Zmicier ★★★★★
(01.03.16 15:52:53 MSK)

Ответ на: комментарий от Bad_ptr 01.03.16 12:48:20 MSK

И ещё чтобы это не зависело от всяких рубей/питонов и не надо было ничего устанавливать.

m4?

quantum-troll ★★★★★
(01.03.16 15:59:22 MSK)

Ссылка

Ответ на: комментарий от Zmicier 01.03.16 15:52:53 MSK

Да откуда же я знаю?

Black_Shadow ★★★★★
(01.03.16 16:02:37 MSK)

Ответ на: комментарий от Black_Shadow 01.03.16 16:02:37 MSK

Ну вы же спросили «почему не хочешь использовать ключи вместо паролей», думал, можете что-то посоветовать.

Вот я бы например хотел, в свое время даже в браузере использовал на ряде сайтов — MyOpenID это позволял. MyOpenID закрыли, теперь по ключу в ЖЖ не авторизуешься. Или есть варианты?

Zmicier ★★★★★
(01.03.16 20:53:56 MSK)

Ответ на: комментарий от Zmicier 01.03.16 20:53:56 MSK

Пипец. Во-первых, я не говорил использовать ключи вместо паролей. Во-вторых, я говорил об авторизации в git, а не (СЮРПРИЗ!) в почте. То есть, допустить, что в репозиторий попадут пароли, но сам репозиторий - не публичный, а с доступом по ключам. Не думал, что мою фразу о ключах можно трактовать как-то по-другому.

Black_Shadow ★★★★★
(01.03.16 21:02:55 MSK)

Ответ на: комментарий от Black_Shadow 01.03.16 21:02:55 MSK

Пипиец.

Воистину пипец.

То есть, допустить, что в репозиторий попадут пароли, но сам репозиторий - не публичный, а с доступом по ключам. Не думал,

что мою фразу о ключах можно трактовать как-то по-другому.

Перечитал вашу фразу о ключах. Перечитал ее еще раз в контексте. Так и не смог представить, как ее можно понять так, как вы ее толкуете.

Однако спасибо, ответ понятен.

Zmicier ★★★★★
(02.03.16 01:47:12 MSK)

Ссылка

Ответ на: комментарий от quantum-troll 01.03.16 09:16:25 MSK

Ну можно ее скрывать до первого прокола, а начиная со второго по ее результатам штрафовать.

t184256 ★★★★★
(02.03.16 05:52:24 MSK)

Ссылка

проверяться все коммиты во все ветки, кроме ветки local-security.

Не стоит так делать. Можно забыв легко запушить все ветки или вмержить в мастер.

German_1984 ★★
(02.03.16 07:55:35 MSK)

Ссылка

Все пароли в отдельном файле, который в .gitignore. Других вариантов нет. Можно соорудить хуку, которая перед коммитом генерит example-файл из реального файла с паролями. А можно и ручками так делать. А вот эти ваши проверки на регекспах - это всё от лукавого.

WARNING ★★★★
(02.03.16 08:08:33 MSK)