Как передать приватный ключ ssh через переменную в докер образ?

Question

[Елена]

Запускаю CI/CD через гитхаб. В github-workflow.yml отправляю приватный ключ через переменную

build-args: |
  ID_RSA=${{ secrets.ID_RSA }}

в докер файле добавляю его в образ

ARG ID_RSA
RUN mkdir -p /root/.ssh
RUN echo "$ID_RSA" > /root/.ssh/id_rsa
RUN chmod 600 /root/.ssh/id_rsa
RUN ssh-keyscan github.com >> /root/.ssh/known_hosts

RUN npm install

и когда скачивается пакет в package.json то приходит отказ в доступе к приватному репозиторию.

Попробовала физически добавить файл id_rsa в каталог и потом его просто скопировать в образ

COPY id_rsa /root/.ssh/id_rsa
RUN chmod 600 /root/.ssh/id_rsa
RUN ssh-keyscan github.com >> /root/.ssh/known_hosts

в таком варианте работает.

В чем проблема при передачи через переменную? Пробовала передавать ключ в base64, эффект тот же - отказано в доступе

Comments

[Everything_is_not_so_bad]

Перед npm install добавь
ssh -vT git@github.com
Что выводит?

[Valentin Barbolin]

попробуй так

RUN printf "%s" "$ID_RSA" > /root/.ssh/id_rsa
RUN GIT_SSH_COMMAND="ssh -i /root/.ssh/id_rsa -o StrictHostKeyChecking=no" git clone git@github.com:your-repo

еще можно попробовать добавить
RUN chmod 700 /root/.ssh

[Елена]

Everything_is_not_so_bad, вывел, что подключена

Hi Elena0394! You've successfully authenticated, but GitHub does not provide shell access.

[Елена]

Everything_is_not_so_bad, хотя нет. Еще раз проверила, пишет отказ

INFO[0027] Running: [/bin/sh -c ssh -T git@github.com]
Load key "/root/.ssh/id_rsa": error in libcrypto
git@github.com: Permission denied (publickey).

[Елена]

Valentin Barbolin, сделала так

ARG ID_RSA
RUN mkdir -p /root/.ssh
RUN printf "%s" "$ID_RSA" > /root/.ssh/id_rsa
RUN chmod 600 /root/.ssh/id_rsa
RUN ssh-keyscan github.com >> /root/.ssh/known_hosts
RUN ssh -o StrictHostKeyChecking=no -T git@github.com

он выдает ошибку

INFO[0029] Running: [/bin/sh -c ssh -o StrictHostKeyChecking=no -T git@github.com]
Load key "/root/.ssh/id_rsa": error in libcrypto
git@github.com: Permission denied (publickey).

[Alexey Dmitriev]

Вот точно рабочий вариант

- eval $(ssh-agent -s)
    - echo "$SSH_PRIVATE_KEY" | tr -d '\r' | ssh-add -
    - mkdir -p ~/.ssh
    - chmod 700 ~/.ssh

[Елена]

Alexey Dmitriev, не работает. Сделала так

ARG ID_RSA
RUN mkdir -p /root/.ssh && chmod 700 /root/.ssh
RUN echo "$ID_RSA" | tr -d '\r' | ssh-add -
RUN eval $(ssh-agent -s)

выдает ошибку

INFO[0026] Running: [/bin/sh -c echo "$ID_RSA" | tr -d '\r' | ssh-add -]
Could not open a connection to your authentication agent.

[Сергей Соколов]

Елена наивные вопросы:
1. ключ разбит на несколько строк?
2. после RUN echo "$KEY" > keyfile – проверяли, что оказывается в файле?

Просто, чтобы исключить ошибки в этом..

[Valentin Barbolin]

Елена, Так?

ARG ID_RSA
RUN mkdir -p /root/.ssh
RUN chmod 700 /root/.ssh
RUN printf "%s" "$ID_RSA" > /root/.ssh/id_rsa
RUN chmod 600 /root/.ssh/id_rsa
RUN ssh-keyscan github.com >> /root/.ssh/known_hosts
RUN ssh -o StrictHostKeyChecking=no -T git@github.com

[Елена]

Сергей Соколов, Да ключ разбит на строки. Выводила, но там секретные ключи выводятся как ***. Пробовала развернуть первую строку, чтоб проверить хоть ее

RUN mkdir -p /root/.ssh
RUN echo "$ID_RSA" > /root/.ssh/id_rsa && rev /root/.ssh/id_rsa

выводит -----YEK ETAVIRP HSSNEPO NIGEB----- и по размеру смотрела, совпадает с реальным ключом

[Елена]

Valentin Barbolin, неа, все тоже самое выводит

INFO[0029] Running: [/bin/sh -c ssh -o StrictHostKeyChecking=no -T git@github.com]
Load key "/root/.ssh/id_rsa": error in libcrypto
git@github.com: Permission denied (publickey).

[Valentin Barbolin]

Елена, Похоже на проблемы с ключем. Выведи ключ в консоль что бы убериться что он корректно перенесся.

[Елена]

Valentin Barbolin, он не выводится как есть. Т.к. это из секрета берется, то выводит так: ***

[Сергей Соколов]

Елена, может все-таки «из переменной» буквально звёздочки и записываются в файл? Я б попробовал скопировать и из переменной, и из файла в папке, и сделать RUN diff id_rsa_var id_rsa_file