Как передать приватный ключ ssh через переменную в докер образ?

Question

Елена @Elena0394

Как передать приватный ключ ssh через переменную в докер образ?

Запускаю CI/CD через гитхаб. В github-workflow.yml отправляю приватный ключ через переменную

build-args: |
  ID_RSA=${{ secrets.ID_RSA }}

в докер файле добавляю его в образ

ARG ID_RSA
RUN mkdir -p /root/.ssh
RUN echo "$ID_RSA" > /root/.ssh/id_rsa
RUN chmod 600 /root/.ssh/id_rsa
RUN ssh-keyscan github.com >> /root/.ssh/known_hosts

RUN npm install

и когда скачивается пакет в package.json то приходит отказ в доступе к приватному репозиторию.

Попробовала физически добавить файл id_rsa в каталог и потом его просто скопировать в образ

COPY id_rsa /root/.ssh/id_rsa
RUN chmod 600 /root/.ssh/id_rsa
RUN ssh-keyscan github.com >> /root/.ssh/known_hosts

в таком варианте работает.

В чем проблема при передачи через переменную? Пробовала передавать ключ в base64, эффект тот же - отказано в доступе

Вопрос задан более года назад
644 просмотра

15 комментариев

Подписаться 3 Сложный 15 комментариев

d'Ivan @2ord

Перед npm install добавь
ssh -vT git@github.com
Что выводит?

Написано более года назад
Valentin Barbolin @dronmaxman
попробуй так

RUN printf "%s" "$ID_RSA" > /root/.ssh/id_rsa RUN GIT_SSH_COMMAND="ssh -i /root/.ssh/id_rsa -o StrictHostKeyChecking=no" git clone git@github.com:your-repo

еще можно попробовать добавить
RUN chmod 700 /root/.ssh
Написано более года назад
Елена @Elena0394 Автор вопроса

Everything_is_not_so_bad, вывел, что подключена

Hi Elena0394! You've successfully authenticated, but GitHub does not provide shell access.

Написано более года назад
Елена @Elena0394 Автор вопроса

Everything_is_not_so_bad, хотя нет. Еще раз проверила, пишет отказ

INFO[0027] Running: [/bin/sh -c ssh -T git@github.com]
Load key "/root/.ssh/id_rsa": error in libcrypto
git@github.com: Permission denied (publickey).

Написано более года назад
Елена @Elena0394 Автор вопроса
Valentin Barbolin, сделала так

ARG ID_RSA RUN mkdir -p /root/.ssh RUN printf "%s" "$ID_RSA" > /root/.ssh/id_rsa RUN chmod 600 /root/.ssh/id_rsa RUN ssh-keyscan github.com >> /root/.ssh/known_hosts RUN ssh -o StrictHostKeyChecking=no -T git@github.com

он выдает ошибку

INFO[0029] Running: [/bin/sh -c ssh -o StrictHostKeyChecking=no -T git@github.com]
Load key "/root/.ssh/id_rsa": error in libcrypto
git@github.com: Permission denied (publickey).
Написано более года назад

Alexey Dmitriev @SignFinder

Вот точно рабочий вариант

- eval $(ssh-agent -s)
    - echo "$SSH_PRIVATE_KEY" | tr -d '\r' | ssh-add -
    - mkdir -p ~/.ssh
    - chmod 700 ~/.ssh

Написано более года назад

Елена @Elena0394 Автор вопроса
Alexey Dmitriev, не работает. Сделала так

ARG ID_RSA RUN mkdir -p /root/.ssh && chmod 700 /root/.ssh RUN echo "$ID_RSA" | tr -d '\r' | ssh-add - RUN eval $(ssh-agent -s)

выдает ошибку

INFO[0026] Running: [/bin/sh -c echo "$ID_RSA" | tr -d '\r' | ssh-add -]
Could not open a connection to your authentication agent.
Написано более года назад
Сергей Соколов @sergiks

Елена наивные вопросы:
1. ключ разбит на несколько строк?
2. после RUN echo "$KEY" > keyfile – проверяли, что оказывается в файле?

Просто, чтобы исключить ошибки в этом..

Написано более года назад

Valentin Barbolin @dronmaxman

Елена, Так?

ARG ID_RSA
RUN mkdir -p /root/.ssh
RUN chmod 700 /root/.ssh
RUN printf "%s" "$ID_RSA" > /root/.ssh/id_rsa
RUN chmod 600 /root/.ssh/id_rsa
RUN ssh-keyscan github.com >> /root/.ssh/known_hosts
RUN ssh -o StrictHostKeyChecking=no -T git@github.com

Написано более года назад

Елена @Elena0394 Автор вопроса
Сергей Соколов, Да ключ разбит на строки. Выводила, но там секретные ключи выводятся как ***. Пробовала развернуть первую строку, чтоб проверить хоть ее

RUN mkdir -p /root/.ssh RUN echo "$ID_RSA" > /root/.ssh/id_rsa && rev /root/.ssh/id_rsa

выводит -----YEK ETAVIRP HSSNEPO NIGEB----- и по размеру смотрела, совпадает с реальным ключом
Написано более года назад
Елена @Elena0394 Автор вопроса

Valentin Barbolin, неа, все тоже самое выводит

INFO[0029] Running: [/bin/sh -c ssh -o StrictHostKeyChecking=no -T git@github.com]
Load key "/root/.ssh/id_rsa": error in libcrypto
git@github.com: Permission denied (publickey).

Написано более года назад
Valentin Barbolin @dronmaxman

Елена, Похоже на проблемы с ключем. Выведи ключ в консоль что бы убериться что он корректно перенесся.

Написано более года назад
Елена @Elena0394 Автор вопроса

Valentin Barbolin, он не выводится как есть. Т.к. это из секрета берется, то выводит так: ***

Написано более года назад
Сергей Соколов @sergiks

Елена, может все-таки «из переменной» буквально звёздочки и записываются в файл? Я б попробовал скопировать и из переменной, и из файла в папке, и сделать RUN diff id_rsa_var id_rsa_file

Написано более года назад
Елена @Elena0394 Автор вопроса

Сергей Соколов, спасибо тебе огромное за подсказку. Они реально разные оказались. А прикол в том, что разность оказалось только в пустой строки в конце. В ключе ее не было)

Написано более года назад

Помогут разобраться в теме Все курсы

Stepik

Docker + Ansible - с нуля, деплой и управление Swarm

1 неделя

Далее
Учебный центр IBS

ADM-019 Основы Docker

1 неделя

Далее
Слёрм

Docker для админов и разработчиков

4 недели

Далее

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Docker

Простой
Почему не стартуют контейнеры Docker Desktop?
- 1 подписчик
- 19 часов назад
- 89 просмотров
2

ответа
Docker

+1 ещё

Средний
Почему не работает healthcheck внутри Docker-контейнера?
- 1 подписчик
- 14 дек.
- 155 просмотров
2

ответа
Ubuntu

+2 ещё

Средний
Кто сталкивался с 'Nginx invalid URL prefix' и 'Promtail client version too old' после обновления Docker на Ubuntu 24.04?
- 1 подписчик
- 13 дек.
- 140 просмотров
0

ответов
Docker

+1 ещё

Средний
Как настроить авторизацию через ansible community.docker.docker_login?
- 1 подписчик
- 11 дек.
- 65 просмотров
1

ответ
Docker

+1 ещё

Простой
Docker, forgejo, как подключить woodpecker-ci?
- 2 подписчика
- 07 дек.
- 62 просмотра
0

ответов
GitHub

Простой
Как подключить github репозиторий к хостингу?
- 1 подписчик
- 06 дек.
- 159 просмотров
1

ответ
GitHub

Простой
Как восстановить доступ к гитхаб-аккаунту?
- 1 подписчик
- 11 нояб.
- 238 просмотров
2

ответа
Docker

+1 ещё

Простой
Откуда скачивать bitnami/kafka?
- 1 подписчик
- 29 окт.
- 727 просмотров
1

ответ
GitHub

Средний
Github перестал отправлять sms на российские номера?
- 1 подписчик
- 29 окт.
- 630 просмотров
0

ответов
Nginx

+2 ещё

Простой
Контейнер rabbitmq docker стартует раньше чем сервис nginx. Как указать согласованность запуска?
- 6 подписчиков
- 26 окт.
- 991 просмотр
4

ответа
Показать ещё Загружается…

Fullstack разработчик (TypeScript+React). Свободный график. Фулл тайм.

Круглый Квадрат

от 300 000 до 450 000 ₽

Junior Backend Developer (NestJS) One Day Offer

critica agency

До 50 000 ₽

Senior Golang Developer

SMALL

от 280 000 до 350 000 ₽

Перед npm install добавь
ssh -vT git@github.com
Что выводит?
попробуй так

RUN printf "%s" "$ID_RSA" > /root/.ssh/id_rsa RUN GIT_SSH_COMMAND="ssh -i /root/.ssh/id_rsa -o StrictHostKeyChecking=no" git clone git@github.com:your-repo

еще можно попробовать добавить
RUN chmod 700 /root/.ssh
Everything_is_not_so_bad, вывел, что подключена

Hi Elena0394! You've successfully authenticated, but GitHub does not provide shell access.
Everything_is_not_so_bad, хотя нет. Еще раз проверила, пишет отказ

INFO[0027] Running: [/bin/sh -c ssh -T git@github.com]
Load key "/root/.ssh/id_rsa": error in libcrypto
git@github.com: Permission denied (publickey).
Valentin Barbolin, сделала так

ARG ID_RSA RUN mkdir -p /root/.ssh RUN printf "%s" "$ID_RSA" > /root/.ssh/id_rsa RUN chmod 600 /root/.ssh/id_rsa RUN ssh-keyscan github.com >> /root/.ssh/known_hosts RUN ssh -o StrictHostKeyChecking=no -T git@github.com

он выдает ошибку

INFO[0029] Running: [/bin/sh -c ssh -o StrictHostKeyChecking=no -T git@github.com]
Load key "/root/.ssh/id_rsa": error in libcrypto
git@github.com: Permission denied (publickey).
Вот точно рабочий вариант

- eval $(ssh-agent -s) - echo "$SSH_PRIVATE_KEY" | tr -d '\r' | ssh-add - - mkdir -p ~/.ssh - chmod 700 ~/.ssh
Alexey Dmitriev, не работает. Сделала так

ARG ID_RSA RUN mkdir -p /root/.ssh && chmod 700 /root/.ssh RUN echo "$ID_RSA" | tr -d '\r' | ssh-add - RUN eval $(ssh-agent -s)

выдает ошибку

INFO[0026] Running: [/bin/sh -c echo "$ID_RSA" | tr -d '\r' | ssh-add -]
Could not open a connection to your authentication agent.
Елена наивные вопросы:
1. ключ разбит на несколько строк?
2. после RUN echo "$KEY" > keyfile – проверяли, что оказывается в файле?

Просто, чтобы исключить ошибки в этом..
Елена, Так?

ARG ID_RSA RUN mkdir -p /root/.ssh RUN chmod 700 /root/.ssh RUN printf "%s" "$ID_RSA" > /root/.ssh/id_rsa RUN chmod 600 /root/.ssh/id_rsa RUN ssh-keyscan github.com >> /root/.ssh/known_hosts RUN ssh -o StrictHostKeyChecking=no -T git@github.com
Сергей Соколов, Да ключ разбит на строки. Выводила, но там секретные ключи выводятся как ***. Пробовала развернуть первую строку, чтоб проверить хоть ее

RUN mkdir -p /root/.ssh RUN echo "$ID_RSA" > /root/.ssh/id_rsa && rev /root/.ssh/id_rsa

выводит -----YEK ETAVIRP HSSNEPO NIGEB----- и по размеру смотрела, совпадает с реальным ключом
Valentin Barbolin, неа, все тоже самое выводит

INFO[0029] Running: [/bin/sh -c ssh -o StrictHostKeyChecking=no -T git@github.com]
Load key "/root/.ssh/id_rsa": error in libcrypto
git@github.com: Permission denied (publickey).
Елена, Похоже на проблемы с ключем. Выведи ключ в консоль что бы убериться что он корректно перенесся.
Valentin Barbolin, он не выводится как есть. Т.к. это из секрета берется, то выводит так: ***
Елена, может все-таки «из переменной» буквально звёздочки и записываются в файл? Я б попробовал скопировать и из переменной, и из файла в папке, и сделать RUN diff id_rsa_var id_rsa_file
Сергей Соколов, спасибо тебе огромное за подсказку. Они реально разные оказались. А прикол в том, что разность оказалось только в пустой строки в конце. В ключе ее не было)

Как передать приватный ключ ssh через переменную в докер образ?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт