Не открывайте папку .git, которая может содержать конфиденциальную информацию.
Когда вы инициализируете и разворачиваете свое приложение через Git, он создает папку .git, содержащую необходимую информацию.
Если папка .git доступна через веб-сервер или интерфейс через Интернет, это потенциально может привести к утечке конфиденциальных данных.
Еще хуже, если у вас есть учетные данные, хранящиеся в каком-то файле конфигурации.
Если вы не уверены, есть ли у вас .git где-нибудь в ваших веб-приложениях, вы можете использовать сканер уязвимостей безопасности, такой как OpenVAS, Gitjacker или другие, упомянутые здесь.
Есть несколько способов справиться с этим.
Вы можете не хранить папку .git на сервере или заблокировать любой запрос к ней.
Заблокировать запросы довольно просто, и этого можно добиться разными путями в зависимости от используемого веб-сервера.
Содержание
Nginx
Если вы используете Nginx, вы можете добавить следующую директиву location в файле nginx.conf
location ~ /\.git {
deny all;
}
Вышеупомянутая настройка заставит Nginx выдавать ошибку 403, как показано ниже, всякий раз, когда есть запрос, содержащий .git
Как вариант, вы можете вернуть ошибку 404, если не хотите, чтобы злоумышленник предполагал, что у вас есть .git на вашем сервере.
location ~ /\.git {
return 404;
}
В этом случае сервер вернет код состояния HTTP 404.
Что бы вы ни выбрали, не забудьте перезапустить Nginx после изменения конфигурации.
service nginx restart
Заключение
Я надеюсь, что приведенные выше методы помогут вам снизить риск раскрытия каталога .git.
а есть возможность сделать тоже для https без правки отдельных конфигов сайтов
А какая CMS?
Как перезапустить Nginx? Сайт на vds сервере, и я не понимаю как мне перезапустить nginx и возможно ли это
Почему нет?