我想在GitHub上放置一个Git项目,但它包含某些包含敏感数据的文件(用户名和密码,例如Capistrano的/config/deploy.rb)。
我知道我可以将这些文件名添加到.gitignore,但这不会删除它们在Git中的历史记录。
我也不想通过删除/.git目录重新开始。
有没有一种方法可以删除您Git历史记录中特定文件的所有痕迹?
相关:如何从Git存储库中的提交历史记录中删除/删除大文件?并从所有Git存储库提交历史记录中完全删除文件。
我想在GitHub上放置一个Git项目,但它包含某些包含敏感数据的文件(用户名和密码,例如Capistrano的/config/deploy.rb)。
我知道我可以将这些文件名添加到.gitignore,但这不会删除它们在Git中的历史记录。
我也不想通过删除/.git目录重新开始。
有没有一种方法可以删除您Git历史记录中特定文件的所有痕迹?
Answers:
出于所有实际目的,您首先要担心的是更改密码!从您的问题尚不清楚,您的git存储库是完全本地的还是在其他地方是否有远程存储库;如果它是远程的并且不受他人的保护,则您有问题。如果在修复此问题之前有人克隆了该存储库,他们将在其本地计算机上拥有您的密码副本,并且您无法强迫他们将其历史记录更新为“固定”版本。您唯一可以做的安全的事就是将您的密码更改为在您使用过的所有其他地方使用的密码。
解决了这个问题,下面是解决方法。GitHub作为FAQ完全回答了这个问题:
Windows用户注意事项:在此命令中使用双引号(“)而不是单引号
git filter-branch --index-filter \
'git update-index --remove PATH-TO-YOUR-FILE-WITH-SENSITIVE-DATA' <introduction-revision-sha1>..HEAD
git push --force --verbose --dry-run
git push --force
更新2019:
这是常见问题解答中的当前代码:
git filter-branch --force --index-filter \
"git rm --cached --ignore-unmatch PATH-TO-YOUR-FILE-WITH-SENSITIVE-DATA" \
--prune-empty --tag-name-filter cat -- --all
git push --force --verbose --dry-run
git push --force
请记住,一旦将此代码推送到GitHub之类的远程存储库,而其他人又克隆了该远程存储库,您现在就处于重写历史记录的状态。当其他人在此之后尝试提取您的最新更改时,他们会收到一条消息,指示无法应用更改,因为这不是一个快进操作。
要解决此问题,他们必须删除其现有存储库并重新克隆它,或者按照git-rebase联机帮助页中 “从UPSTREAM REBASE恢复”下的说明进行操作。
提示:执行git rebase --interactive
将来,如果您不小心对敏感信息进行了某些更改,但在推送到远程存储库之前注意到了,则有一些更简单的修复程序。如果您最后一次提交是添加敏感信息的提交,则只需删除敏感信息,然后运行:
git commit -a --amend
这将使用您所做的任何新更改来修改先前的提交,包括使用删除整个文件git rm。如果更改已恢复到历史记录,但仍未推送到远程存储库,则可以进行交互式变基:
git rebase -i origin/master
这将打开一个编辑器,其中包含自您上次使用远程存储库的共同祖先以来所做的提交。在代表包含敏感信息的提交的任何行上,将“ pick”更改为“ edit”,然后保存并退出。Git将逐步进行更改,并将您留在一个可以进行以下操作的地方:
$EDITOR file-to-fix
git commit -a --amend
git rebase --continue
对于每次更改都带有敏感信息。最终,您将回到分支上,并且可以安全地推送新更改。
filter-branch代码与链接到的github页面中的代码之间似乎存在实质性差异。例如他们的第三条线--prune-empty --tag-name-filter cat -- --all。解决方案是否已更改,或者我缺少什么?
<introduction-revision-sha1>..HEAD中删除的文件,将无法正常工作。它仅从第二次提交以后删除文件。(如何将初始提交包含在提交范围内?)在这里指出了保存方法:help.github.com/articles/…– git filter-branch --force --index-filter \ 'git rm --cached --ignore-unmatch PATH-TO-YOUR-FILE-WITH-SENSITIVE-DATA' \ --prune-empty --tag-name-filter cat -- --all
更改密码是一个好主意,但是对于从存储库历史记录中删除密码的过程,我建议使用BFG Repo-Cleaner,这是一种快速,简单的替代方法,可以git-filter-branch明确地从Git存储库中删除私有数据。
创建一个private.txt列出要删除的密码等的文件(每行一个),然后运行以下命令:
$ java -jar bfg.jar --replace-text private.txt my-repo.git
存储库历史记录中所有阈值大小(默认为1MB以下)的文件都将被扫描,并且所有匹配的字符串(不在您的最新提交中)都将替换为字符串“ *** REMOVED ***”。然后,您可以git gc用来清除无效数据:
$ git gc --prune=now --aggressive
BFG通常比运行速度快10到50倍git-filter-branch,并且围绕以下两种常见用例对选项进行了简化和定制:
完全公开:我是BFG Repo-Cleaner的作者。
git commit。否则,请为开发人员工具箱中的新工具+1 :)
These are your protected commits, and so their contents will NOT be altered在遍历和修订其余提交历史记录时显式报告您的最后一次提交。但是,如果需要回滚,则可以,只需***REMOVED***在刚刚回滚的提交中进行搜索。
如果您推送到GitHub,则强行推送还不够,请删除存储库或联系支持部门
即使您随后强行按下一秒钟,也不足以按以下说明进行操作。
唯一有效的措施是:
什么泄露了诸如密码之类的可更改凭证?
否(裸照):
您是否关心存储库中的所有问题是否都受到影响?
是:
强行推一秒钟还不够,因为:
GitHub长时间保持悬空提交。
但是,如果您与GitHub工作人员联系,则可以删除此类悬空的提交。
当我将所有GitHub提交电子邮件上载到一个回购中时,我亲身经历了这件事,他们要求我将其删除,所以我做到了,他们做到了gc。但是,必须删除包含数据的提取请求:因此,回购数据在首次删除后长达一年仍可访问。
悬挂的提交可以通过以下两种方式看到:
然后,获取该提交源的一种简便方法是使用zip下载方法,该方法可以接受任何引用,例如:https : //github.com/cirosantilli/myrepo/archive/SHA.zip
可以通过以下方式获取丢失的SHA:
type": "PushEvent"。例如我的:https : //api.github.com/users/cirosantilli/events/public(回溯机)有一些诸如http://ghtorrent.org/和https://www.githubarchive.org/之类的爬虫,它们会定期汇集GitHub数据并将其存储在其他位置。
我找不到他们是否抓取了实际的提交差异,这不太可能,因为会有太多的数据,但是从技术上讲是可能的,而且NSA和朋友可能拥有过滤器,仅将与人或感兴趣的提交相关的内容存档。
如果删除了存储库,而不是仅仅力的推动。然而,提交你从API马上甚至消失,并给404,如https://api.github.com/repos/cirosantilli/test-dangling-delete/commits/8c08448b5fbf0f891696819f3b2b2d653f7a3824该作品即使您重新创建另一个具有相同名称的存储库。
为了测试这一点,我创建了一个仓库:https : //github.com/cirosantilli/test-dangling并做到了:
git init
git remote add origin git@github.com:cirosantilli/test-dangling.git
touch a
git add .
git commit -m 0
git push
touch b
git add .
git commit -m 1
git push
touch c
git rm b
git add .
git commit --amend --no-edit
git push -f
另请参阅:如何从GitHub删除悬空的提交?
我推荐大卫·安德希尔(David Underhill)创作的这个剧本,对我来说就像一个魅力。
除了natacado的filter-branch之外,它还添加了以下命令来清理它留下的混乱:
rm -rf .git/refs/original/
git reflog expire --all
git gc --aggressive --prune完整脚本(全部归David Underhill所有)
#!/bin/bash
set -o errexit
# Author: David Underhill
# Script to permanently delete files/folders from your git repository. To use
# it, cd to your repository's root and then run the script with a list of paths
# you want to delete, e.g., git-delete-history path1 path2
if [ $# -eq 0 ]; then
exit 0
fi
# make sure we're at the root of git repo
if [ ! -d .git ]; then
echo "Error: must run this script from the root of a git repository"
exit 1
fi
# remove all paths passed as arguments from the history of the repo
files=$@
git filter-branch --index-filter \
"git rm -rf --cached --ignore-unmatch $files" HEAD
# remove the temporary history git-filter-branch
# otherwise leaves behind for a long time
rm -rf .git/refs/original/ && \
git reflog expire --all && \
git gc --aggressive --prune如果更改为以下内容,则后两个命令可能会更好地工作:
git reflog expire --expire=now --all && \
git gc --aggressive --prune=now
git gc --aggressive --prune=now
要明确:接受的答案是正确的。请先尝试。但是,对于某些用例而言,它可能会不必要地变得复杂,尤其是当您遇到令人讨厌的错误(例如“致命:错误的修订版-删节-清空”),或者真的不在乎您的回购记录时。
一种替代方法是:
当然,这将删除所有提交历史分支,以及来自github存储库和本地git存储库的问题。如果这是不可接受的,则必须使用其他方法。
将此称为核选项。
您可以使用git forget-blob。
用法很简单git forget-blob file-to-forget。您可以在此处获取更多信息
它会从您的历史记录,引用日志,标签等所有提交中消失
我时不时遇到相同的问题,每次不得不回到这篇文章和其他文章时,这就是我使流程自动化的原因。
归功于Stack Overflow的贡献者,这使我可以将它们放在一起
使用filter-branch:
git filter-branch --force --index-filter 'git rm --cached --ignore-unmatch *file_path_relative_to_git_repo*' --prune-empty --tag-name-filter cat -- --all
git push origin *branch_name* -f