Git clean / smudge filter สำหรับความลับของห้องนิรภัย

ฉันกำลังพยายามตั้งค่าตัวกรอง clean / smudgeใน git ให้มีการเข้ารหัสและถอดรหัสไฟล์ที่มีความลับโดยอัตโนมัติผ่านคำสั่งansible-vault

ความผิดปกติของคำสั่ง ansible-vault คือมันไม่ใช่ idempotent (มันสร้างไบนารีที่แตกต่างกันในแต่ละครั้งที่เรียกใช้กับข้อมูลเดียวกัน)

ฉันเริ่มต้นด้วยการดำเนินงานข้อเสนอแนะในหน้าบล็อกนี้ น่าเสียดายที่มันไม่ทำงานอย่างถูกต้องเนื่องจากเมื่อใดก็ตามที่มีการเรียกรอยเปื้อน (ไม่ว่าจะเป็นเช็คเอาต์ git หรือเพียงแค่สถานะ git) ไฟล์ลับดูเหมือนว่าแก้ไขสำหรับ git แม้ว่ามันจะไม่

ดังนั้นฉันสงสัยว่า git จะเปรียบเทียบไบนารี่ที่เขามีในดัชนีกับไฟล์ปัจจุบันที่กรองแล้วหรือไม่และฉันพยายามสร้างสคริปต์เหล่านั้นดังนี้:

#!/bin/sh -x
# clean filter, it is invoked with %f

if [ ! -r "$HOME/.vault_password" ]; then
  exit 1
fi

tmp=`mktemp`
cat > $tmp

# get the plain text from the binary in the index
tmphead=`mktemp`
git show HEAD:$1 > $tmphead
contenthead=`echo "embedded" | ansible-vault view $tmphead --vault-password-file=$HOME/.vault_password`
export PAGER=cat
echo -n "$contenthead" | tee $tmphead

# if current and index plain text version differ
if [ "`md5sum $tmp | cut -d' ' -f1`" != "`md5sum $tmphead | cut -d' ' -f1`" ]; then
  tmpcrypt=`mktemp`
  cp $tmp $tmpcrypt
  # generate a new crypted blob
  echo "embedded" | ansible-vault encrypt $tmpcrypt --vault-password-file=$HOME/.vault_password > /dev/null 2>&1
  cat "$tmpcrypt"
else
  # just return the HEAD version
  cat "$tmphead"
fi

rm $tmp $tmphead $tmpcrypt

ความแตกต่างที่นี่ก็คือมันพยายามที่จะเปรียบเทียบไฟล์ลับในปัจจุบันและส่วนหัวของไฟล์ข้อความธรรมดา (ไม่ได้เข้ารหัส) และเฉพาะในกรณีที่พวกมันแตกต่างกันไปส่งออกเป็น binary blob ใหม่ที่เข้ารหัสด้วย ansible-vault

น่าเสียดายที่หลังจากการเปลี่ยนแปลงนี้คอมไพล์ยังคงคิดว่าไฟล์ลับถูกแก้ไขอยู่เสมอ แม้หลังจากgit addนำไฟล์เข้ามาอีกครั้งเพื่อคำนวณ git blob แล้ว git คิดว่าไฟล์นั้นแตกต่างกันและปล่อยให้การเปลี่ยนแปลงกระทำไป โปรดทราบว่าgit diffส่งคืนการเปลี่ยนแปลงที่ว่างเปล่าตามที่ควร

สำหรับการอ้างอิงนี่เป็นรอยเปื้อน:

#!/bin/sh

if [ ! -r "$HOME/.vault_password" ]; then
  exit 1
fi

tmp=`mktemp`
cat > $tmp

export PAGER='cat'
CONTENT="`echo "embedded" | ansible-vault view "$tmp" --vault-password-file=$HOME/.vault_password 2> /dev/null`"

if echo "$CONTENT" | grep 'ERROR: data is not encrypted' > /dev/null; then
  echo "Looks like one file was commited clear text"
  echo "Please fix this before continuing !"
  exit 1
else
  echo -n "$CONTENT"
fi

rm $tmp

และนี่คือความแตกต่าง:

#!/bin/sh

if [ ! -r "$HOME/.vault_password" ]; then
  exit 1
fi

export PAGER='cat'
CONTENT=`echo "embedded" | ansible-vault view "$1" --vault-password-file=$HOME/.vault_password 2> /dev/null`

if echo "$CONTENT" | grep 'ERROR: data is not encrypted' > /dev/null; then
  cat "$1"
else
  echo "$CONTENT"
fi

ปัญหาที่นี่เกิดจากการสุ่มเกลือในการเข้ารหัส ansible-vault คุณสามารถแฮ็กคลาส VaultEditor เพื่อส่งเกลือนั้นจากอาร์กิวเมนต์ใน ansible-vault เกลือสุ่มถูกสร้างขึ้นในlib/ansible/parsing/vault/__init__.pyเกี่ยวกับเรื่องนี้บรรทัด มันถูกเรียกจากlib / ansible / cli / vault.pyซึ่งคุณสามารถเพิ่มอาร์กิวเมนต์สำหรับเกลือคงที่ได้อย่างง่ายดาย หากคุณเปลี่ยนแปลงโปรดส่งแพทช์อัปสตรีมไปยัง Ansible ฉันชอบที่จะใช้

ปัญหานี้จะกล่าวถึงต่อไปที่นี่ในข่าวแฮ็กเกอร์ และมีการใช้งานอื่น ๆ ที่มีเครื่องมือที่ใช้คงเกลือคือgitcrypt , transcrypt นี่คือลิงค์ไปสู่การใช้งานอีกหนึ่งอย่างโดยใช้ ansible-vault ที่เรียกว่าansible-vault-toolsแต่อันนี้มีปัญหาเรื่องเกลือเท่าที่ฉันรู้