记一次 github 泄漏 accessKey

2021-04-19 10:41:49 +08:00
 AoEiuV020

突然看到阿里云的 accessKey 泄漏邮件才发现自己不小心把 key 传到 github 上了,

赶紧从床上爬起来开电脑准备删文件,第一反应就是用 filter-branch 彻底删除历史中的这个文件,强制推送覆盖 github 上的版本,

命令随便就能搜到,

git filter-branch --force --index-filter \
  "git rm --cached --ignore-unmatch PATH-TO-YOUR-FILE-WITH-SENSITIVE-DATA" \
  --prune-empty --tag-name-filter cat -- --all

但是,但是从阿里云给的泄漏地址打开居然还能打开泄漏 key 的文件,

仔细一看阿里云打开的是特定版本的文件,哪怕这个版本已经不在最终仓库里了,github 还是能打开的,

也就是说光自己删除数据是没用的,这看起来是 github 缓存已经删除了的 commit,

肯定要想办法删除这些缓存才行,

于是找到 github 官方文档,

https://docs.github.com/cn/github/authenticating-to-github/removing-sensitive-data-from-a-repository

其中第 8 点明确说了要联系 GitHub 支持删除缓存之类,

赶紧设置成 private 仓库,然后睡觉去了,

第二天起来发支持工单,让 github 帮忙删除,

04.18 11:39

标题:

Removing sensitive data from a repository

内容:

I submitted sensitive data to these two commits,

https://github.com/AoEiuV020/LetsEncryptManualHook/tree/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx https://github.com/AoEiuV020/LetsEncryptManualHook/tree/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

I found that I cannot delete them completely,I have used filter-branch to completely delete sensitive data and force push, But these two commits can still be accessed, Please help me to delete these two commits completely,

04.18 22:19

收到工单回复,说缓存清除了,

Hi 啊 o 额 iu 鱼,

Thank you for contacting GitHub Support!

I have gone ahead and cleared the cache for you.

Please let me know what else I can assist with!

Cheers,
J.J.

至此才完成彻底删除 github 上的敏感数据,光等工单就等了十个半小时,

大家要是有删除过 github 上的却没有发工单的可以试一下删除了的 commit 还能不能打开的,

notion

5697 次点击
所在节点    程序员
30 条回复
learningman
2021-04-19 10:44:20 +08:00
你知道有多少 bot 在扫 GitHub 吗。。。
正确做法是销毁对应的 key 吧,你把 git 历史删了不是掩耳盗铃
yanqiyu
2021-04-19 10:49:25 +08:00
accessKey 一旦泄露就应该吊销,因为泄露的范围不可预知
AoEiuV020
2021-04-19 10:49:38 +08:00
@learningman 因为我看阿里云 accessKey 泄漏点处理推荐做法就是手动删除泄露代码,其次才是重置 key, 我就信了,
而且同时泄露的不只阿里云一个 key,感觉不是很必要全部重置,
我想着就算有 bot 扫到,也不会知道我这 key 是啥吧,而且应该也不至于有 bot 把 github 上所有项目所有 commit 包括已经删除了的都缓存起来分析,
Rheinmetal
2021-04-19 10:51:13 +08:00
警告:将提交推送到 GitHub 后,应考虑其包含的任何数据都将受到影响。如果您提交了密码,请更改密码! 如果您提交了密钥,请生成新密钥。

为什么不能修改 或者再生成 还是生成过了 但是还是洁癖?
AoEiuV020
2021-04-19 10:55:32 +08:00
@Rheinmetal 也有道理,我还是去重置一下吧,主要是泄露了不只一个 key,所以第一个想法是删除泄露代码而不是重置,
AoEiuV020
2021-04-19 11:12:45 +08:00
好了,全部重置了,确实放心一些,就是有些麻烦,尤其国内的平台,动 key 都要额外的验证,
yiXu
2021-04-19 11:13:52 +08:00
@AoEiuV020 我最近有使用 GitHub action 然后,不小心把 GitHub 的 token 传到了仓库中,在上传通过后,GitHub 直接邮件告知我该 token 被吊销。应该是 GitHub 自动检测到了自家生成的 token 。感觉这种直接吊销才更好点。
AoEiuV020
2021-04-19 11:21:34 +08:00
@yiXu 阿里云的 key 检测甚至有白名单功能,可以把泄露的 key 添加到白名单就不会检测了,不知道什么场景会用到这个白名单,但既然做了,应该有人需要吧,公开后继续生效的情况,
ck65
2021-04-19 11:29:43 +08:00
最近不小心在 GitHub 提交历史里泄了个废弃很久了的 ssh key,于是我把那台主机删掉了(
AoEiuV020
2021-04-19 11:31:33 +08:00
特地建了个没权限的 key 故意泄露一次再看看,果然阿里云这里是有手动删除建议,单选的,
虽然已经重置了,但我确实也觉得马上彻底删除了应该就可以了的,
laoyur
2021-04-19 11:40:53 +08:00
Hi 啊 o 额 iu 鱼

笑出声
konnnnn
2021-04-19 12:15:12 +08:00
“啊 o 额 iu 鱼”这个 id,c4driod 吧?
AoEiuV020
2021-04-19 12:19:59 +08:00
@konnnnn 哇,居然还有人记得,好多年了,现在我贴吧基本只逛游戏吧了,
WishMeLz
2021-04-19 12:27:55 +08:00
直接私有最简单
whileFalse
2021-04-19 13:13:31 +08:00
@AoEiuV020 你根本想不到国内用户会提出什么样的需求……
而国内厂商也很难站着把钱挣了。
q197
2021-04-19 13:33:28 +08:00
感觉 GitHub 网页版功能太少了,删除 commit,删除敏感信息泄露都只能用 git 操作,一看教程那么复杂,只好删库重开或者改私有库了。
seki
2021-04-19 13:38:49 +08:00
@AoEiuV020 有时候还是会用到的。比如你写了一个脚本用来检测代码里面是否有 token 泄露,然后写测试的时候就需要有一个泄漏了 token 的样例代码文件
Felldeadbird
2021-04-19 14:10:26 +08:00
上次我推送就把 小程序的 key 丢上去了。github 马上就提示我泄露信息了。 我第一时间是去小程序后台 修改了 key 。然后强推版本。

不过我发现貌似强推后,只要有之前的值,还是可以查到历史的 commit 信息。
AoEiuV020
2021-04-19 14:17:31 +08:00
@Felldeadbird 是的,我说的就是这个问题,要彻底删除只能工单联系 github 的人,等他们处理,
cco
2021-04-19 14:21:09 +08:00
建议重写生成吧。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/771582

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX