Eliminar archivos confidenciales y sus confirmaciones del historial de Git

Question

Me gustaría poner un proyecto Git en GitHub pero contiene ciertos archivos con datos confidenciales (nombres de usuario y contraseñas, como /config/deploy.rb para capistrano).

Sé que puedo agregar estos nombres de archivo a .gitignore, pero esto no eliminaría su historial dentro de Git.

Tampoco quiero volver a empezar eliminando el directorio /.git.

¿Hay alguna manera de eliminar todas las huellas de de un archivo en particular en el historial de Git?

Answer 1

Para todos los efectos prácticos, la primera que debe estar preocupado es Cambiar sus contraseñas! No está claro a partir de su pregunta si su repositorio de git es completamente local o si aún tiene un repositorio remoto en otro lugar; si es remoto y no está protegido de los demás, tienes un problema. Si alguien ha clonado ese repositorio antes de arreglarlo, tendrá una copia de sus contraseñas en su máquina local, y no hay forma de que pueda obligarlos a actualizar a su versión "fija" sin que haya pasado del historial. Lo único seguro que puede hacer es cambiar su contraseña por otra cosa dondequiera que la haya usado.

---

Con eso fuera del camino, aquí está cómo solucionarlo. GitHub answered exactly that question as an FAQ:

Nota para usuarios de Windows: usar comillas (") en lugar de sencillos en este comando

git filter-branch --index-filter \ 
'git update-index --remove filename' <introduction-revision-sha1>..HEAD 
git push --force --verbose --dry-run 
git push --force 

Tenga en cuenta que una vez que ha empujado este código a un repositorio remoto como GitHub y otros han clonado ese repositorio remoto, ahora se encuentra en una situación en la que está reescribiendo el historial. Cuando otros intenten desplegar sus últimos cambios después de esto, recibirán un mensaje que indica que los cambios no se pueden aplicar porque no es un avance rápido.

Para solucionar esto, deberán eliminar su repositorio existente y volver a clonarlo, o seguir las instrucciones en "RECUPERACIÓN DE UPSTREAM REBASE" en el git-rebase manpage.

---

En el futuro, si accidentalmente cometer algunos cambios con información sensible, pero se nota antes empujando a un repositorio remoto, existen algunas soluciones más sencillas. Si la última confirmación es la de añadir la información confidencial, puede simplemente eliminar la información sensible, a continuación, ejecuta:

git commit -a --amend 

que modificará la confirmación anterior con los nuevos cambios que ha realizado, incluyendo el traslado de archivos completos hecho con un git rm. Si los cambios son más atrás en la historia, pero todavía no empujado a un repositorio remoto, se puede hacer un rebase interactivo:

git rebase -i origin/master 

que se abre un editor con las confirmaciones que ha realizado desde el último ancestro común con el mando a distancia repositorio. Cambie "pick" por "edit" en cualquier línea que represente una confirmación con información confidencial, y guárdela y salga.Git le guiará a través de los cambios, y dejar en un lugar donde puede:

$EDITOR file-to-fix 
git commit -a --amend 
git rebase --continue 

Para cada cambio con información sensible. Eventualmente, terminará de nuevo en su sucursal, y puede presionar con seguridad los nuevos cambios.

Answer 2

Recomiendo this script por David Underhill, funcionó como un encanto para mí.

Se añade estos comandos en el filtro de la rama además de natacado a limpiar el desorden que deja tras de sí:

rm -rf .git/refs/original/ 
git reflog expire --all 
git gc --aggressive --prune 

guión completo (todo el crédito a David Underhill)

#!/bin/bash 
set -o errexit 

# Author: David Underhill 
# Script to permanently delete files/folders from your git repository. To use 
# it, cd to your repository's root and then run the script with a list of paths 
# you want to delete, e.g., git-delete-history path1 path2 

if [ $# -eq 0 ]; then 
    exit 0 
fi 

# make sure we're at the root of git repo 
if [ ! -d .git ]; then 
    echo "Error: must run this script from the root of a git repository" 
    exit 1 
fi 

# remove all paths passed as arguments from the history of the repo 
files=$@ 
git filter-branch --index-filter \ 
"git rm -rf --cached --ignore-unmatch $files" HEAD 

# remove the temporary history git-filter-branch 
# otherwise leaves behind for a long time 
rm -rf .git/refs/original/ && \ 
git reflog expire --all && \ 
git gc --aggressive --prune 

Los últimos dos comandos puede funcionar mejor si se ha cambiado a lo siguiente:

git reflog expire --expire=now --all && \ 
git gc --aggressive --prune=now 

Answer 3

Cambiar su pa sswords es una buena idea, pero para el proceso de eliminación de contraseñas del historial de su repositorio, recomiendo el BFG Repo-Cleaner, una alternativa más rápida y sencilla al git-filter-branch explícitamente diseñado para eliminar datos privados de repositorios Git.

Crear un archivo private.txt lista de las contraseñas, etc, que desea eliminar (una entrada por línea) y luego ejecutar este comando:

$ java -jar bfg.jar --replace-text private.txt my-repo.git 

Todos los archivos bajo un umbral de tamaño (1 MB por defecto) en se escaneará el historial de su repositorio, y cualquier cadena coincidente (que no esté en su última confirmación) se reemplazará por la cadena "*** REMOVED ***". A continuación, puede utilizar git gc para limpiar los datos muerta:

$ git gc --prune=now --aggressive 

El BFG es típicamente 10-50x más rápido que ejecutar git-filter-branch y las opciones se han simplificado y adaptado en torno a estos dos casos de uso comunes:

• Eliminación de archivos loco grande
• Extracción contraseñas, credenciales & otros datos privados

La revelación completa: Soy el autor de la BFG Repo-Cleaner.

Answer 4

Por lo tanto, se ve algo como esto:

git rm --cached /config/deploy.rb 
echo /config/deploy.rb >> .gitignore 

Eliminar caché para el archivo de seguimiento de Git y añadir el archivo a .gitignore lista

Answer 5

Para que quede claro: La respuesta aceptada es correcto. Pruébalo primero. Sin embargo, puede ser innecesariamente complejo para algunos casos de uso, especialmente si encuentra errores desagradables como "fatal: bad revision - run-empty", o realmente no le importa el historial de su repositorio.

Una alternativa sería:

1. cd a la rama de base del proyecto
2. eliminar el código/archivo sensible
3. rm-rf .git/# elimina toda la información de git su código
4. Vaya a github y elimine su repositorio
5. Siga esta guía para enviar su código a un nuevo repositorio como lo haría normalmente: https://help.github.com/articles/adding-an-existing-project-to-github-using-the-command-line/

Esto, por supuesto, eliminará todas las ramas del historial de confirmaciones y los problemas tanto del repositorio github como del repositorio git local. Si esto es inaceptable, deberá usar un enfoque alternativo.

Llama a esto la opción nuclear.

Answer 6

Si ya ha empujado a GitHub, los datos se ve comprometida, incluso si se fuerza alejarlo un segundo más tarde porque:

• GitHub mantiene colgando compromete durante mucho tiempo.

  No está claro si para siempre, ni si tienen un procedimiento manual estándar que se puede hacer poniéndose en contacto con el soporte. Ver: How to remove a dangling commit from GitHub?

  compromete cuelgan se pueden ver bien a través de:

  • la interfaz web comprometerse: https://github.com/cirosantilli/test-dangling/commit/53df36c09f092bbb59f2faa34eba15cd89ef8e83 (Wayback machine)
  • la API: https://api.github.com/repos/cirosantilli/test-dangling/commits/53df36c09f092bbb59f2faa34eba15cd89ef8e83 (Wayback machine)

  Una forma conveniente obtener la fuente en ese compromiso, entonces es usar el método de descarga zip, que puede aceptar cualquier referencia, por ejemplo: https://github.com/cirosantilli/myrepo/archive/SHA.zip

• Es posible acceder a la falta SHA ya sea por:

  • sucesos de API anuncio como type": "PushEvent". P.ej. mía: https://api.github.com/users/cirosantilli/events/public (Wayback machine)
  • más convenientemente a veces, mirando el SHA de las solicitudes de extracción que intentó quitar el contenido

• Hay raspadores como http://ghtorrent.org/ y https://www.githubarchive.org/ que reúnen periódicamente los datos de GitHub y almacenarla en otros lugares .

  No pude encontrar si raspan la diferencia de compromiso real, pero es técnicamente posible.

Para probar esto, he creado un acuerdo de recompra: https://github.com/cirosantilli/test-dangling y hecho:

git init 
git remote add origin git@github.com:cirosantilli/test-dangling.git 

touch a 
git add . 
git commit -m 0 
git push 

touch b 
git add . 
git commit -m 1 
git push 

touch c 
git rm b 
git add . 
git commit --amend --no-edit 
git push -f 

Si eliminar el repositorio sin embargo, se compromete hacer desaparecer incluso de la API de inmediato y darle 404, p.ej https://api.github.com/repos/cirosantilli/test-dangling-delete/commits/8c08448b5fbf0f891696819f3b2b2d653f7a3824 Esto funciona incluso si recrea otro repositorio con el mismo nombre.

Así que mi curso de acción recomendado es:

• cambiar sus credenciales

• si eso no es suficiente (por ejemplo, fotos desnuda):

  • eliminar el repositorio
  • contacto de soporte

Answer 7

Aquí está mi solución en ventanas

git filter-branch --tree-filtro "rm -f 'filedir/nombre de archivo'" CABEZA

git push --force

asegúrese de que la ruta es correcta de lo contrario no funcionará

espero que ayude

Answer 8

Puede usar git forget-blob.

El uso es bastante simple git forget-blob file-to-forget. Puede obtener más información aquí

https://ownyourbits.com/2017/01/18/completely-remove-a-file-from-a-git-repository-with-git-forget-blob/

desaparecerá de todas las confirmaciones en el historial, reflog, etiquetas, etc.

me encuentro con el mismo problema de vez en cuando, y cada vez que Tengo que volver a este post y a otros, es por eso que automaticé el proceso.

Créditos a contribuyentes de desbordamiento de pila que me permitieron armar esto

Answer 9

he tenido que hacer esto un par de veces al día. Tenga en cuenta que esto solo funciona en 1 archivo a la vez.

1. Obtenga una lista de todas las confirmaciones que modificaron un archivo.El que está en la parte inferior será la primera comprometerse:

   git log --pretty=oneline --branches -- pathToFile

2. Para eliminar el archivo de historial de uso de la primera cometen sha1 y la ruta al archivo de la orden anterior, y llenarlos en este comando:

   git filter-branch --index-filter 'git rm --cached --ignore-unmatch <path-to-file>' -- <sha1-where-the-file-was-first-added>..

Answer 10

uso filter-branch:

git filter-branch --force --index-filter 'git rm --cached --ignore-unmatch *file_path_relative_to_git_repo*' --prune-empty --tag-name-filter cat -- --all 

git push origin *branch_name* -f