git-secret:在 Git 存储库中加密和存储密钥(上)
2022/12/5 6:24:00
本文主要是介绍git-secret:在 Git 存储库中加密和存储密钥(上),对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
当涉及处理机密信息(如密码、令牌、密钥文件等)等,以下问题值得考虑:
-
安全性十分重要,但高安全性往往伴随着高度的不便。
-
在团队中,共享某些密钥有时无法避免(因此现在我们需要考虑在多人之间分发和更新密钥的安全方法)。
-
具体的密钥通常取决于环境。
目前市面上已经存在许多较为成熟的密钥管理产品,比如 HashiCorp Vault,AWS Secrets Manager 以及 GCP Secret Manager。由于这些产品需要集成和维护等服务,因此在项目中引入会增加一定成本和开销。阅读本文,将带你了解如何在 Docker 容器中设置 git-secret
和 gpg
。
本文将对以下几点展开讲解:
-
识别包含密钥的文件
-
确保将密钥添加到
.gitignore
-
通过
git-secret
进行加密 -
将加密文件提交到存储库
在最后我们将能够调用:
make secret-decrypt
这将会披露代码库中的密钥,在必要时对其进行修改,然后运行:
make secret-encrypt
需要再次加密密钥,以便提交(并推送到远程存储库),要查看实际效果请运行以下命令:
# checkout the branch git checkout part-6-git-secret-encrypt-repository-docker # build and start the docker setup make make-init make docker-build make docker-up # "create" the secret key - the file "secret.gpg.example" would usually NOT live in the repo! cp secret.gpg.example secret.gpg # initialize gpg make gpg-init # ensure that the decrypted secret file does not exist ls passwords.txt # decrypt the secret file make secret-decrypt # show the content of the secret file cat passwords.txt
Tooling
我们在 PHP base
镜像中设置 gpg
和 git-secret
以便这些工具在所有其他容器中都可用。以下所有命令都在 application
容器中执行。
请注意,git-secret
在主机系统和 docker 容器之间共享的文件夹中使用时需要注意。将在下面称为 “git-secret
目录和 gpg-agent
socket”的部分中更详细地解释这一点。
gpg
gpg 是The GNU Privacy Guard的缩写,是 OpenPGP 标准的开源实践。简而言之,GNU允许我们创建一个个人密钥文件对(类似于 SSH 密钥),其中包含一个私有密钥和一个可以与您想要解密其消息的其他方共享的公共密钥。
gpg 安装
关于安装,我们可以简单地运行 apk add gnupg
并相应更新 .docker/images/php/base/Dockerfile
:
# File: .docker/images/php/base/DockerfileRUN apk add --update --no-cache \ bash \ gnupg \ make \ #...
创建 gpg 密钥对
我们需要通过以下方式创建 gpg
密钥对(Key Pair):
name="Pascal Landau" email="pascal.landau@example.com" gpg --batch --gen-key <<EOF Key-Type: 1 Key-Length: 2048 Subkey-Type: 1 Subkey-Length: 2048 Name-Real: $name Name-Email: $email Expire-Date: 0 %no-protection EOF
%no-protection
创建一个没有密码的key。
输出:
$ name="Pascal Landau" $ email="pascal.landau@example.com" $ gpg --batch --gen-key <<EOF > Key-Type: 1 > Key-Length: 2048 > Subkey-Type: 1 > Subkey-Length: 2048 > Name-Real: $name > Name-Email: $email > Expire-Date: 0 > %no-protection > EOF gpg: key E1E734E00B611C26 marked as ultimately trusted gpg: revocation certificate stored as '/root/.gnupg/opengpg-revocs.d/74082D81525723F5BF5B2099E1E734E00B611C26.rev'
也可以在没有 --batch
标志的情况下以交互方式引导整个过程运行gpg --gen-key
,然后导出、列出和导入私有 gpg
Key,可以通过以下方式导出:
email="pascal.landau@example.com" path="secret.gpg" gpg --output "$path" --armor --export-secret-key "$email"
记住不能共享此密钥。
-----BEGIN PGP PRIVATE KEY BLOCK----- lQOYBF7VVBwBCADo9un+SySu/InHSkPDpFVKuZXg/s4BbZmqFtYjvUUSoRAeSejv G21nwttQGut+F+GdpDJL6W4pmLS31Kxpt6LCAxhID+PRYiJQ4k3inJfeUx7Ws339 XDPO3Rys+CmnZchcEgnbOfQlEqo51DMj6mRF2Ra/6svh7lqhrixGx1BaKn6VlHkC ... ncIcHxNZt7eK644nWDn7j52HsRi+wcWsZ9mjkUgZLtyMPJNB5qlKQ18QgVdEAhuZ xT3SieoBPd+tZikhu3BqyIifmLnxOJOjOIhbQrgFiblvzU1iOUOTOcSIB+7A =YmRm -----END PGP PRIVATE KEY BLOCK-----
所有密钥都可以通过以下方式列出:
gpg --list-secret-keys
输出:
$ gpg --list-secret-keys /root/.gnupg/pubring.kbx ------------------------ sec rsa2048 2022-03-27 [SCEA] 74082D81525723F5BF5B2099E1E734E00B611C26 uid [ultimate] Pascal Landau <pascal.landau@example.com> ssb rsa2048 2022-03-27 [SEA]
可以通过以下方式导入私钥:
path="secret.gpg" gpg --import "$path"
得到以下输出:
$ path="secret.gpg" $ gpg --import "$path" gpg: key E1E734E00B611C26: "Pascal Landau <pascal.landau@example.com>" not changed gpg: key E1E734E00B611C26: secret key imported gpg: Total number processed: 1 gpg: unchanged: 1 gpg: secret keys read: 1 gpg: secret keys unchanged: 1
注意:如果secret key需要密码,这里会提示输入密码。我们可以使用以下方法绕过提示--batch --yes --pinentry-mode loopback
:
path="secret.gpg" gpg --import --batch --yes --pinentry-mode loopback "$path"
目前还不需要提供密码,但需要在稍后尝试解密文件时提供。
导出、列出和导入gpg
公钥,可以通过以下方式导出public.gpg
:
email="pascal.landau@example.com" path="public.gpg" gpg --armor --export "$email" > "$path"
导出如下:
-----BEGIN PGP PUBLIC KEY BLOCK----- mQENBF7VVBwBCADo9un+SySu/InHSkPDpFVKuZXg/s4BbZmqFtYjvUUSoRAeSejv G21nwttQGut+F+GdpDJL6W4pmLS31Kxpt6LCAxhID+PRYiJQ4k3inJfeUx7Ws339 ... 3LLbK7Qxz0cV12K7B+n2ei466QAYXo03a7WlsPWn0JTFCsHoCOphjaVsncIcHxNZ t7eK644nWDn7j52HsRi+wcWsZ9mjkUgZLtyMPJNB5qlKQ18QgVdEAhuZxT3SieoB Pd+tZikhu3BqyIifmLnxOJOjOIhbQrgFiblvzU1iOUOTOcSIB+7A =g0hF -----END PGP PUBLIC KEY BLOCK-----
通过以下方式列出所有公钥:
gpg --list-keys
输出:
$ gpg --list-keys /root/.gnupg/pubring.kbx ------------------------ pub rsa2048 2022-03-27 [SCEA] 74082D81525723F5BF5B2099E1E734E00B611C26 uid [ultimate] Pascal Landau <pascal.landau@example.com> sub rsa2048 2022-03-27 [SEA]
通过以下方式以与私钥相同的方式导入公钥:
path="public.gpg" gpg --import "$path"
例如:
$ gpg --import /var/www/app/public.gpg gpg: key E1E734E00B611C26: "Pascal Landau <pascal.landau@example.com>" not changed gpg: Total number processed: 1 gpg: unchanged: 1
git-secret
git-secret的官方网站可以找到详细介绍该工具的内容。git-secret允许将某些文件声明为“secret”并通过 gpg
加密。然后可以将加密的文件直接安全地存储在 Git 存储库中,并在需要时进行解密。
标签:secret,存储密钥,令牌,加密文件,make,decrypt,icode9 来源:
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。
这篇关于git-secret:在 Git 存储库中加密和存储密钥(上)的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-11-23增量更新怎么做?-icode9专业技术文章分享
- 2024-11-23压缩包加密方案有哪些?-icode9专业技术文章分享
- 2024-11-23用shell怎么写一个开机时自动同步远程仓库的代码?-icode9专业技术文章分享
- 2024-11-23webman可以同步自己的仓库吗?-icode9专业技术文章分享
- 2024-11-23在 Webman 中怎么判断是否有某命令进程正在运行?-icode9专业技术文章分享
- 2024-11-23如何重置new Swiper?-icode9专业技术文章分享
- 2024-11-23oss直传有什么好处?-icode9专业技术文章分享
- 2024-11-23如何将oss直传封装成一个组件在其他页面调用时都可以使用?-icode9专业技术文章分享
- 2024-11-23怎么使用laravel 11在代码里获取路由列表?-icode9专业技术文章分享
- 2024-11-22怎么实现ansible playbook 备份代码中命名包含时间戳功能?-icode9专业技术文章分享