Estou tentando configurar o filtro clean / smudge no git para ter criptografia e descriptografia automáticas de arquivos que contêm segredos através do comando ansible-vault .
A peculiaridade do comando ansible-vault é que ele não é idempotente (ele cria um binário diferente cada vez que é invocado nos mesmos dados).
Comecei com a implementação sugerida nesta página do blog . Infelizmente, ele não funcionou corretamente, pois sempre que uma mancha é chamada (seja um checkout do git ou apenas um status do git), os arquivos secretos parecem modificados para o git, mesmo que não o sejam.
Então, me perguntei se o git compararia o binário que ele possui no índice com o arquivo atual filtrado e limpo, e tentei criar esses scripts da seguinte maneira:
#!/bin/sh -x
# clean filter, it is invoked with %f
if [ ! -r "$HOME/.vault_password" ]; then
exit 1
fi
tmp=`mktemp`
cat > $tmp
# get the plain text from the binary in the index
tmphead=`mktemp`
git show HEAD:$1 > $tmphead
contenthead=`echo "embedded" | ansible-vault view $tmphead --vault-password-file=$HOME/.vault_password`
export PAGER=cat
echo -n "$contenthead" | tee $tmphead
# if current and index plain text version differ
if [ "`md5sum $tmp | cut -d' ' -f1`" != "`md5sum $tmphead | cut -d' ' -f1`" ]; then
tmpcrypt=`mktemp`
cp $tmp $tmpcrypt
# generate a new crypted blob
echo "embedded" | ansible-vault encrypt $tmpcrypt --vault-password-file=$HOME/.vault_password > /dev/null 2>&1
cat "$tmpcrypt"
else
# just return the HEAD version
cat "$tmphead"
fi
rm $tmp $tmphead $tmpcrypt
A diferença aqui é que ele tenta comparar as versões atual e HEAD dos arquivos secretos de texto sem formatação (não criptografados), e somente no caso de divergir eles produzem um novo blob binário criptografado com o ansible-vault.
Infelizmente, após essa alteração, o git continua pensando que o arquivo secreto é sempre modificado. Mesmo depois de git add
inserir o arquivo novamente, para que o blob git seja computado, o git acha que o arquivo é diferente e deixa a alteração entrar no commit. Observe que git diff
retorne alterações vazias, como deveria.
Para referência, isso é mancha:
#!/bin/sh
if [ ! -r "$HOME/.vault_password" ]; then
exit 1
fi
tmp=`mktemp`
cat > $tmp
export PAGER='cat'
CONTENT="`echo "embedded" | ansible-vault view "$tmp" --vault-password-file=$HOME/.vault_password 2> /dev/null`"
if echo "$CONTENT" | grep 'ERROR: data is not encrypted' > /dev/null; then
echo "Looks like one file was commited clear text"
echo "Please fix this before continuing !"
exit 1
else
echo -n "$CONTENT"
fi
rm $tmp
e isso é diff:
#!/bin/sh
if [ ! -r "$HOME/.vault_password" ]; then
exit 1
fi
export PAGER='cat'
CONTENT=`echo "embedded" | ansible-vault view "$1" --vault-password-file=$HOME/.vault_password 2> /dev/null`
if echo "$CONTENT" | grep 'ERROR: data is not encrypted' > /dev/null; then
cat "$1"
else
echo "$CONTENT"
fi
fonte
-n
eco da mancha, mas isso é um palpite. Nenhuma opção oculta para o diff do git dizendo para ignorar finais de linha única?Respostas:
O problema aqui é causado pelo sal aleatório na criptografia do ansible-vault. Você pode hackear a classe VaultEditor para passar o sal a partir de um argumento no ansible-vault. O sal aleatório é gerado
lib/ansible/parsing/vault/__init__.py
nesta linha . É chamado de lib / ansible / cli / vault.py, onde você pode adicionar facilmente o argumento para o salt fixo. Se você o alterar, envie um patch upstream para o Ansible, eu adoraria usá-lo.Este problema é discutido aqui em notícias de hackers . E existem outras implementações com ferramentas que usam sal fixo, como gitcrypt , transcrypt . Aqui também está um link para mais uma implementação usando o ansible-vault chamado ansible-vault-tools , mas este tem o mesmo problema de sal, até onde eu sei.
fonte