简单搜了一下,貌似还没人在 V2 发过相关话题?
刚才正在搬砖,突然收到一个新邮件提醒(全英文的)。下意识以为是垃圾邮件,但并不是。
仔细一看,原始是我管理的某个网站被 Repo Lookout 扫出了 .git 目录安全隐患。具体而言就是,该网站下的这 2 个 URL 路径是可以直接被任何人访问的:
http://网站域名/.git/config
http://网站域名/.git/logs/HEAD
Repo Lookout 就是从这个文件里找到我的邮箱,给我发了一封告警邮件。
虽然这个问题暂时没要命,但的确能够看到不少相对敏感的信息。你也赶紧去检查一下吧!
如何解决?在他们网站都已经介绍了,去看看便知。简言之,就是设置你的 web server 限制 .git 路径访问。
Nginx 配置加上
location ~ /\.git {
deny all;
}
或
location ~ /\.git {
return 404;
}
Apache 配置加上
<DirectoryMatch "/\.git">
Require all denied
</DirectoryMatch>
<DirectoryMatch "/\.git">
Deny from all
</DirectoryMatch>
Caddy 配置加上
respond /.git* 403
或
respond /.git* 404
最后记得修改完配置后要重启 web server 哈。
1
drymonfidelia 216 天前
纯静态网站还没用 webpack 之类的打包工具吗,实在想不到 .git 出现在 wwwroot 应该有问题吧
|
2
crysislinux 216 天前 via Android
@drymonfidelia 古时候很多人是直接在服务器 git pull 的,尤其是 PHP 这种文件到位就能跑的
|
3
rekulas 216 天前 30
这样的非盈利组织真是令人敬佩
|
4
cdlnls 216 天前 via Android
一些 github 上面的项目,web 相关的项目,大多数都是放在一个单独的目录下,比如/html 或者/src 。
如果直接 index.html 在跟目录下,很多人代码 clone 下来直接就设置成根目录了,.git 就被暴露出来了,在项目里面额外加一层目录就是为了加了一道防线。 几年前看日志的时候发现过这种请求日志,从那以后,只要是类似这种项目,都会额外加一层目录。 我一般是只要路径中带点符号,一律 ban 掉。 |
5
ysc3839 216 天前 via Android 2
最好是 http 服务器直接禁止访问“.”开头的文件,不应该只禁止.git 。同时 package.json 以及 composer.json 等文件最好也禁止访问。
|
6
mingl0280 216 天前 via Android
为什么你会把.git 放进网站目录……
|
8
crackidz 215 天前
因为很少会有人直接 git clone 下来一个静态网站....
|
9
szdosar 215 天前
受教了。谢谢 up 主提供信息。
|
10
yc8332 215 天前
有点安全意识的人谁会直接用 git 去拉代码?不都是发布系统搞吗
|
11
Xc1Ym 215 天前
git 文件泄露是非常常见的漏洞,属于源码泄露的一种,同时还仍需注意 svn 、idea 、DS_Store 、网站备份文件、web.xml 、js.map 等
|
12
malaohu 215 天前
不仅仅是 Git
location ~ /(\.user\.ini|\.ht|\.git|\.svn|\.project|LICENSE|README\.md) { deny all; } |
13
laobobo 215 天前
正常情况下 .git 不会放到发布目录下吧?
|
14
mingl0280 215 天前
@likayi 正确做法:git clone 以后选择性将文件链接/复制到网站目录(大部分 IDE 都可以做到,webstorm 就可以)
错误做法:直接 git clone 到网站目录然后用 IDE 打开 |
15
Jack927 215 天前
不只是 git ,web 目录直接 .开头的目录都禁止访问完事。
|
16
proxytoworld 215 天前
以前面试过,怎么通过.git 还原源码
|
17
Jesmora 215 天前
这个是吧 git 下来的整个目录当 wwwroot 了吧,被编译过的项目很少出现这个问题
|
18
A1exL 215 天前
# . files
location ~ /\.(?!well-known) { deny all; } 推荐一下 DO 的 config generator https://www.digitalocean.com/community/tools/nginx?global.app.lang=zhCN |
19
YuukiHibiki 215 天前
.git 放在网站目录
location 也配置到能够访问到.git 目录 这算两个最基本的安全疏忽吧 |
20
lyxxxh2 215 天前
php:
.git 正常都在 public 。 tp3 这种老年代产品才会,网站目录 = 项目根目录。 |
21
kenvix 215 天前
直接禁止.well-known 以外的所有点开头的目录就行了🌚
|
23
lichao 215 天前
说明根本没有做 deploy 流程
|
24
wtfedc 215 天前
用个工具叫 githacker ,6 年前我用来 copy 过一个老的 php 站点。刚看了一眼那个工具,1 年前就不维护了。
现在前端基本都流程化了,很少有前后端一体化的项目,直接把文件夹丢上去了。 |
25
melkor 215 天前 via iPhone
最好用打包工具走一个“编译”过程,只保留需要的部分,这样不仅少暴露文件,还可以提高性能
|
26
baobao1270 214 天前 via Android
@crysislinux 也就 10 年前吧,现在很多 php 项目依然是这样部署的。坏了我成古人了。
@rekulas 也不一定是非赢利组织,也有公司这样扫,邮件点进去就是卖他的安全产品 @cdlnls @ysc3839 .well-known/acme-challenge: ? |
27
ysc3839 214 天前 via Android
@baobao1270 .well-known 是在 http 下的,和 https 配置是分开的。
|
28
baobao1270 214 天前
@ysc3839
我自己的配置都是没有 HTTP ,只有 HTTPS 的。类似这样: server { listen 80 default_server; listen [::]:80 default_server; location / { return 301 https://$host$request_uri; } } server { listen 443 ssl http2; listen [::]:443 ssl http2; } 这个时候只要管 HTTPS 就行了,不需要管两套配置增加心智负担。而且这样也不影响 ACME 验证,主流的 CA ( LE 、Google 、Zerossl )都支持重定向的时候切换到 TLS-01 验证,而且不会管证书错误(只要域名对就行) |
29
kasusa 134 天前
坏了我成古人了
|