我在centOS机器上有一个私人.git回购。上周我意识到我在我的public_html目录中公开了我的.git文件夹。没有入侵的证据,但我总是被教导假设最坏的情况。
我已删除目录。如果有人下载了我的.git目录,他们还可以继续使用它吗?他们可以永远克隆我的源代码吗?什么是阻止该存储库未来克隆的最佳方法?
由于所有开发都在一台服务器上,我认为一种解决方案是阻止克隆或从任何远程机器检出(即只允许本地克隆)。这可能吗?
编辑:我的配置文件不包含用户或令牌。
答案 0 :(得分:5)
没有入侵的证据,但我总是被教导假设最坏的情况。
您可能需要检查您的网络服务器访问日志,如果通过网络访问该目录,它应该有该目录的条目。
我删除了该目录。如果有人下载了我的.git目录,他们还可以继续使用它吗?他们可以永远克隆我的源代码吗?
不,当然不是。当它消失(移到另一个地方)时,它消失了。
阻止该存储库未来克隆的最佳方法是什么?
不要将web访问目录(也就是web服务器的文档根目录下的目录)用于git-repositorys(或者更确切地说,对于任何不应公开访问的目录)。只需将您的主目录用于您自己的私人文件。
由于所有开发都在一台服务器上,我认为一种解决方案是阻止克隆或从任何远程机器检出(即只允许本地克隆)。这可能吗?
Git本身没有这样的功能,但只要无法访问 git-directory ,就无法克隆它。因此,如果您将私有git-repository保留在主目录中(假设主目录不是您的文档根目录),那么除非他们可以访问您的帐户,否则任何人都无法克隆git-repository(可以例如,使用您的凭据连接到ssh)或该服务器上的root权限。