Git clean / smudge filter untuk kemungkinan rahasia vault

Saya mencoba untuk mensetup filter clean / smudge di git agar enkripsi dan dekripsi file secara otomatis berisi rahasia melalui perintah vault yang dimungkinkan .

Keunikan dari perintah anault-vault adalah bahwa ia tidak idempoten (ini menciptakan biner yang berbeda setiap kali dipanggil pada data yang sama).

Saya mulai dengan implementasi yang disarankan di halaman blog ini . Sayangnya itu tidak berfungsi dengan benar, karena setiap kali noda dipanggil (baik itu checkout git, atau hanya status git), file-file rahasia terlihat dimodifikasi untuk git, bahkan jika tidak.

Jadi saya bertanya-tanya apakah git akan membandingkan biner yang dia miliki dalam indeks dengan file saat ini yang disaring bersih, dan saya mencoba membangun skrip tersebut seperti berikut:

#!/bin/sh -x
# clean filter, it is invoked with %f

if [ ! -r "$HOME/.vault_password" ]; then
  exit 1
fi

tmp=`mktemp`
cat > $tmp

# get the plain text from the binary in the index
tmphead=`mktemp`
git show HEAD:$1 > $tmphead
contenthead=`echo "embedded" | ansible-vault view $tmphead --vault-password-file=$HOME/.vault_password`
export PAGER=cat
echo -n "$contenthead" | tee $tmphead

# if current and index plain text version differ
if [ "`md5sum $tmp | cut -d' ' -f1`" != "`md5sum $tmphead | cut -d' ' -f1`" ]; then
  tmpcrypt=`mktemp`
  cp $tmp $tmpcrypt
  # generate a new crypted blob
  echo "embedded" | ansible-vault encrypt $tmpcrypt --vault-password-file=$HOME/.vault_password > /dev/null 2>&1
  cat "$tmpcrypt"
else
  # just return the HEAD version
  cat "$tmphead"
fi

rm $tmp $tmphead $tmpcrypt

Perbedaannya di sini adalah bahwa ia mencoba untuk membandingkan versi saat ini dan HEAD dari file rahasia teks biasa (tidak terenkripsi), dan hanya dalam kasus mereka berbeda menghasilkan gumpalan biner baru dienkripsi dengan kubah yang dimungkinkan.

Sayangnya, setelah perubahan ini git terus berpikir file rahasia selalu dimodifikasi. Bahkan setelah git addmemasukkan file lagi, sehingga git blob dikomputasi, git berpikir file itu berbeda dan biarkan perubahannya masuk ke dalam commit. Perhatikan bahwa git diffmengembalikan perubahan kosong, sebagaimana mestinya.

Untuk referensi, ini noda:

#!/bin/sh

if [ ! -r "$HOME/.vault_password" ]; then
  exit 1
fi

tmp=`mktemp`
cat > $tmp

export PAGER='cat'
CONTENT="`echo "embedded" | ansible-vault view "$tmp" --vault-password-file=$HOME/.vault_password 2> /dev/null`"

if echo "$CONTENT" | grep 'ERROR: data is not encrypted' > /dev/null; then
  echo "Looks like one file was commited clear text"
  echo "Please fix this before continuing !"
  exit 1
else
  echo -n "$CONTENT"
fi

rm $tmp

dan ini berbeda:

#!/bin/sh

if [ ! -r "$HOME/.vault_password" ]; then
  exit 1
fi

export PAGER='cat'
CONTENT=`echo "embedded" | ansible-vault view "$1" --vault-password-file=$HOME/.vault_password 2> /dev/null`

if echo "$CONTENT" | grep 'ERROR: data is not encrypted' > /dev/null; then
  cat "$1"
else
  echo "$CONTENT"
fi

Masalahnya di sini disebabkan oleh garam acak dalam enkripsi kubah yang mungkin. Anda bisa meretas kelas VaultEditor untuk mengirimkan garam ke sana dari argumen di kubah yang mungkin. Garam acak dihasilkan lib/ansible/parsing/vault/__init__.pypada baris ini . Itu disebut dari lib / ansible / cli / vault.py di mana Anda dapat dengan mudah menambahkan argumen untuk garam tetap. Jika Anda benar-benar mengubahnya, silakan kirim tambalan hulu ke Ansible, saya ingin menggunakannya.

Masalah ini dibahas lebih lanjut di sini di berita hacker . Dan ada implementasi lain dengan alat yang mengambil garam tetap, yaitu gitcrypt , transcrypt . Berikut ini juga tautan ke satu implementasi lagi menggunakan ansible-vault yang disebut ansible-vault-tools , tetapi yang ini memiliki masalah garam yang sama sejauh yang saya tahu.