Как передать приватный ключ ssh через переменную в докер образ?

Question

Елена @Elena0394

Как передать приватный ключ ssh через переменную в докер образ?

Запускаю CI/CD через гитхаб. В github-workflow.yml отправляю приватный ключ через переменную

build-args: |
  ID_RSA=${{ secrets.ID_RSA }}

в докер файле добавляю его в образ

ARG ID_RSA
RUN mkdir -p /root/.ssh
RUN echo "$ID_RSA" > /root/.ssh/id_rsa
RUN chmod 600 /root/.ssh/id_rsa
RUN ssh-keyscan github.com >> /root/.ssh/known_hosts

RUN npm install

и когда скачивается пакет в package.json то приходит отказ в доступе к приватному репозиторию.

Попробовала физически добавить файл id_rsa в каталог и потом его просто скопировать в образ

COPY id_rsa /root/.ssh/id_rsa
RUN chmod 600 /root/.ssh/id_rsa
RUN ssh-keyscan github.com >> /root/.ssh/known_hosts

в таком варианте работает.

В чем проблема при передачи через переменную? Пробовала передавать ключ в base64, эффект тот же - отказано в доступе

Вопрос задан 25 окт.
491 просмотр

15 комментариев

Подписаться 3 Сложный 15 комментариев

d'Ivan @2ord

Перед npm install добавь
ssh -vT git@github.com
Что выводит?

Написано 25 окт.
Valentin Barbolin @dronmaxman
попробуй так

RUN printf "%s" "$ID_RSA" > /root/.ssh/id_rsa RUN GIT_SSH_COMMAND="ssh -i /root/.ssh/id_rsa -o StrictHostKeyChecking=no" git clone git@github.com:your-repo

еще можно попробовать добавить
RUN chmod 700 /root/.ssh
Написано 25 окт.
Елена @Elena0394 Автор вопроса

Everything_is_not_so_bad, вывел, что подключена

Hi Elena0394! You've successfully authenticated, but GitHub does not provide shell access.

Написано 25 окт.
Елена @Elena0394 Автор вопроса

Everything_is_not_so_bad, хотя нет. Еще раз проверила, пишет отказ

INFO[0027] Running: [/bin/sh -c ssh -T git@github.com]
Load key "/root/.ssh/id_rsa": error in libcrypto
git@github.com: Permission denied (publickey).

Написано 25 окт.
Елена @Elena0394 Автор вопроса
Valentin Barbolin, сделала так

ARG ID_RSA RUN mkdir -p /root/.ssh RUN printf "%s" "$ID_RSA" > /root/.ssh/id_rsa RUN chmod 600 /root/.ssh/id_rsa RUN ssh-keyscan github.com >> /root/.ssh/known_hosts RUN ssh -o StrictHostKeyChecking=no -T git@github.com

он выдает ошибку

INFO[0029] Running: [/bin/sh -c ssh -o StrictHostKeyChecking=no -T git@github.com]
Load key "/root/.ssh/id_rsa": error in libcrypto
git@github.com: Permission denied (publickey).
Написано 25 окт.

Alexey Dmitriev @SignFinder

Вот точно рабочий вариант

- eval $(ssh-agent -s)
    - echo "$SSH_PRIVATE_KEY" | tr -d '\r' | ssh-add -
    - mkdir -p ~/.ssh
    - chmod 700 ~/.ssh

Написано 25 окт.

Елена @Elena0394 Автор вопроса
Alexey Dmitriev, не работает. Сделала так

ARG ID_RSA RUN mkdir -p /root/.ssh && chmod 700 /root/.ssh RUN echo "$ID_RSA" | tr -d '\r' | ssh-add - RUN eval $(ssh-agent -s)

выдает ошибку

INFO[0026] Running: [/bin/sh -c echo "$ID_RSA" | tr -d '\r' | ssh-add -]
Could not open a connection to your authentication agent.
Написано 25 окт.
Сергей Соколов @sergiks

Елена наивные вопросы:
1. ключ разбит на несколько строк?
2. после RUN echo "$KEY" > keyfile – проверяли, что оказывается в файле?

Просто, чтобы исключить ошибки в этом..

Написано 25 окт.

Valentin Barbolin @dronmaxman

Елена, Так?

ARG ID_RSA
RUN mkdir -p /root/.ssh
RUN chmod 700 /root/.ssh
RUN printf "%s" "$ID_RSA" > /root/.ssh/id_rsa
RUN chmod 600 /root/.ssh/id_rsa
RUN ssh-keyscan github.com >> /root/.ssh/known_hosts
RUN ssh -o StrictHostKeyChecking=no -T git@github.com

Написано 25 окт.

Елена @Elena0394 Автор вопроса
Сергей Соколов, Да ключ разбит на строки. Выводила, но там секретные ключи выводятся как ***. Пробовала развернуть первую строку, чтоб проверить хоть ее

RUN mkdir -p /root/.ssh RUN echo "$ID_RSA" > /root/.ssh/id_rsa && rev /root/.ssh/id_rsa

выводит -----YEK ETAVIRP HSSNEPO NIGEB----- и по размеру смотрела, совпадает с реальным ключом
Написано 25 окт.
Елена @Elena0394 Автор вопроса

Valentin Barbolin, неа, все тоже самое выводит

INFO[0029] Running: [/bin/sh -c ssh -o StrictHostKeyChecking=no -T git@github.com]
Load key "/root/.ssh/id_rsa": error in libcrypto
git@github.com: Permission denied (publickey).

Написано 25 окт.
Valentin Barbolin @dronmaxman

Елена, Похоже на проблемы с ключем. Выведи ключ в консоль что бы убериться что он корректно перенесся.

Написано 25 окт.
Елена @Elena0394 Автор вопроса

Valentin Barbolin, он не выводится как есть. Т.к. это из секрета берется, то выводит так: ***

Написано 25 окт.
Сергей Соколов @sergiks

Елена, может все-таки «из переменной» буквально звёздочки и записываются в файл? Я б попробовал скопировать и из переменной, и из файла в папке, и сделать RUN diff id_rsa_var id_rsa_file

Написано 25 окт.
Елена @Elena0394 Автор вопроса

Сергей Соколов, спасибо тебе огромное за подсказку. Они реально разные оказались. А прикол в том, что разность оказалось только в пустой строки в конце. В ключе ее не было)

Написано 26 окт.

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Docker

+2 ещё

Средний
Почему не могу подключиться к Clickhouse из интерфейса PHPStorm?
- 1 подписчик
- 4 часа назад
- 31 просмотр
1

ответ
C++

+2 ещё

Простой
Возможно ли подключиться в qt к БД, которая развернута в Docker?
- 1 подписчик
- вчера
- 66 просмотров
0

ответов
GitHub

Простой
Как скопировать не все файлы из github?
- 1 подписчик
- вчера
- 89 просмотров
1

ответ
Docker

+3 ещё

Средний
Ошибка с неизвестной таймзоной?
- 1 подписчик
- 19 нояб.
- 132 просмотра
2

ответа
Ubuntu

+1 ещё

Средний
Почему не видны снаружи порты докера в Ubuntu?
- 1 подписчик
- 17 нояб.
- 131 просмотр
3

ответа
MySQL

+3 ещё

Простой
Как запустить приложение на SpringBoot с MySql и Docker Compose?
- 1 подписчик
- 17 нояб.
- 91 просмотр
0

ответов
PHP

+3 ещё

Средний
Как деплоить php приложение вместе с docker?
- 3 подписчика
- 14 нояб.
- 274 просмотра
2

ответа
Ubuntu

+2 ещё

Простой
Как запустить VueJs в Docker на Ubuntu 14.04?
- 1 подписчик
- 12 нояб.
- 116 просмотров
2

ответа
Docker

Средний
Как отредактировать контейнер с VaultWarden чтоб отключить админку сайта и еще внести доп.коррективы?
- 1 подписчик
- 12 нояб.
- 28 просмотров
0

ответов
Nginx

+2 ещё

Простой
Как совместить traefik в докере и nginx на хосте?
- 1 подписчик
- 10 нояб.
- 91 просмотр
1

ответ
Показать ещё Загружается…

Ведущий питонист

Федя и Самат

от 150 000 до 250 000 ₽

Yii2 Fullstack-разработчик, middle+

MKOMOV Studio

До 190 000 ₽

Yii2 Бекенд-разработчик backend middle+

MKOMOV Studio

До 190 000 ₽

Обработка альбомов с одеждой

21 нояб. 2024, в 14:46

8000 руб./за проект

Требуется помощь с администрированием Windows Server 2016 DC

21 нояб. 2024, в 14:40

10000 руб./за проект

Авитолог

21 нояб. 2024, в 14:31

10000 руб./за проект

Перед npm install добавь
ssh -vT git@github.com
Что выводит?
попробуй так

RUN printf "%s" "$ID_RSA" > /root/.ssh/id_rsa RUN GIT_SSH_COMMAND="ssh -i /root/.ssh/id_rsa -o StrictHostKeyChecking=no" git clone git@github.com:your-repo

еще можно попробовать добавить
RUN chmod 700 /root/.ssh
Everything_is_not_so_bad, вывел, что подключена

Hi Elena0394! You've successfully authenticated, but GitHub does not provide shell access.
Everything_is_not_so_bad, хотя нет. Еще раз проверила, пишет отказ

INFO[0027] Running: [/bin/sh -c ssh -T git@github.com]
Load key "/root/.ssh/id_rsa": error in libcrypto
git@github.com: Permission denied (publickey).
Valentin Barbolin, сделала так

ARG ID_RSA RUN mkdir -p /root/.ssh RUN printf "%s" "$ID_RSA" > /root/.ssh/id_rsa RUN chmod 600 /root/.ssh/id_rsa RUN ssh-keyscan github.com >> /root/.ssh/known_hosts RUN ssh -o StrictHostKeyChecking=no -T git@github.com

он выдает ошибку

INFO[0029] Running: [/bin/sh -c ssh -o StrictHostKeyChecking=no -T git@github.com]
Load key "/root/.ssh/id_rsa": error in libcrypto
git@github.com: Permission denied (publickey).
Вот точно рабочий вариант

- eval $(ssh-agent -s) - echo "$SSH_PRIVATE_KEY" | tr -d '\r' | ssh-add - - mkdir -p ~/.ssh - chmod 700 ~/.ssh
Alexey Dmitriev, не работает. Сделала так

ARG ID_RSA RUN mkdir -p /root/.ssh && chmod 700 /root/.ssh RUN echo "$ID_RSA" | tr -d '\r' | ssh-add - RUN eval $(ssh-agent -s)

выдает ошибку

INFO[0026] Running: [/bin/sh -c echo "$ID_RSA" | tr -d '\r' | ssh-add -]
Could not open a connection to your authentication agent.
Елена наивные вопросы:
1. ключ разбит на несколько строк?
2. после RUN echo "$KEY" > keyfile – проверяли, что оказывается в файле?

Просто, чтобы исключить ошибки в этом..
Елена, Так?

ARG ID_RSA RUN mkdir -p /root/.ssh RUN chmod 700 /root/.ssh RUN printf "%s" "$ID_RSA" > /root/.ssh/id_rsa RUN chmod 600 /root/.ssh/id_rsa RUN ssh-keyscan github.com >> /root/.ssh/known_hosts RUN ssh -o StrictHostKeyChecking=no -T git@github.com
Сергей Соколов, Да ключ разбит на строки. Выводила, но там секретные ключи выводятся как ***. Пробовала развернуть первую строку, чтоб проверить хоть ее

RUN mkdir -p /root/.ssh RUN echo "$ID_RSA" > /root/.ssh/id_rsa && rev /root/.ssh/id_rsa

выводит -----YEK ETAVIRP HSSNEPO NIGEB----- и по размеру смотрела, совпадает с реальным ключом
Valentin Barbolin, неа, все тоже самое выводит

INFO[0029] Running: [/bin/sh -c ssh -o StrictHostKeyChecking=no -T git@github.com]
Load key "/root/.ssh/id_rsa": error in libcrypto
git@github.com: Permission denied (publickey).
Елена, Похоже на проблемы с ключем. Выведи ключ в консоль что бы убериться что он корректно перенесся.
Valentin Barbolin, он не выводится как есть. Т.к. это из секрета берется, то выводит так: ***
Елена, может все-таки «из переменной» буквально звёздочки и записываются в файл? Я б попробовал скопировать и из переменной, и из файла в папке, и сделать RUN diff id_rsa_var id_rsa_file
Сергей Соколов, спасибо тебе огромное за подсказку. Они реально разные оказались. А прикол в том, что разность оказалось только в пустой строки в конце. В ключе ее не было)

Как передать приватный ключ ssh через переменную в докер образ?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт