我在这个论坛上的一个问题中通过了关于密码管理程序的红色并决定尝试一下。
我从下载页面(tarball 1.6.3)安装。我创建了一些测试条目,然后创建了一些真实条目并将它们提交到 git 并将它们推送到 github。当我查看我的 github 存储库时,我确实看到了一些非.gpg文件,其中包含推送到 github 的密码的纯文本版本。那些文件也存在于本地。我已从以下位置删除了我的真实密码~/.password-store:
$ pass
Password Store
??? test
? ??? test
? ??? test
??? test1
? ??? test2
??? test3
??? test4
doubletest已经很奇怪了:
$ ls ~/.password-store/test
test test.gpg
$ more !$/test
more ~/.password-store/test/test
uJ94!qmv}E\41GjLxJx`
$ gpg -dq < ~/.password-store/test/test.gpg
uJ94!qmv}E\41GjLxJx`
这是正常的吗?我可以对存储的密码的纯文本版本做些什么?
我已经看到该应用程序也这样做了。pass我认为这是 bash 脚本(即程序)没有捕获一些错误的结果。对我来说,这是不开始真正使用该程序的原因。
.gitignore如果您可以接受本地存储的纯文本文件,您可以通过在您的 中设置一个文件来阻止它们存储在 git 中(并推送到 github)~/.password-store:
*
!*/
!.gitignore
!.gpg-id
!*.gpg
(这首先忽略要存储的所有内容,然后允许子目录并允许配置文件以及以 结尾的所有文件.gpg)。
如果您还没有这样做,您应该立即更改推送到 github 的所有密码。同时删除~/password-store/.git下面的所有内容并重新初始化pass git init密码存储的 git (),因为旧的、已提交的纯文本文件仍将在那里。