SSH không cho phép sử dụng khóa có quyền đọc được theo nhóm

Tôi có một máy chủ git phát triển triển khai đến một máy chủ trực tiếp khi livechi nhánh được đẩy tới. Mỗi người dùng có thông tin đăng nhập riêng của họ và do đó, post-receivehook mà việc triển khai trực tiếp được chạy dưới chính người dùng của họ.

Vì tôi không muốn duy trì khóa công khai của người dùng dưới dạng khóa được ủy quyền trên máy chủ trực tiếp từ xa, tôi đã tạo một bộ khóa thuộc hệ thống git để thêm vào máy chủ trực tiếp từ xa (Trong post-receivehook tôi đang sử dụng $GIT_SSHđể đặt khóa riêng với -itùy chọn).

Vấn đề của tôi là bởi vì tất cả người dùng có thể muốn triển khai để tồn tại, khóa riêng của hệ thống git phải có ít nhất là nhóm có thể đọc được và SSH thực sự không thích điều này.

Đây là một mẫu lỗi:

XXXX@XXXX /srv/git/identity % ssh -i id_rsa XXXXX@XXXXX
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0640 for 'id_rsa' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
bad permissions: ignore key: id_rsa

Tôi đã nhìn xung quanh để mong tìm thấy thứ gì đó theo cách buộc ssh chỉ đi qua kết nối nhưng tôi không tìm thấy gì ngoài việc mọi người nói một cách mù quáng rằng bạn chỉ không nên cho phép truy cập vào bất cứ thứ gì ngoại trừ một người dùng.

Đây là một cách đơn giản và an toàn.

Tạo người dùng mới để chuyển ssh, tôi sẽ gọi nó là git-sync. Tạo một người dùng tương tự trên máy chủ với tư cách thành viên nhóm cho kho git. Thêm khóa chung cho người dùng đồng bộ hóa vào tệp ủy quyền của người dùng đó. Tôi cho rằng người dùng git đều là thành viên của nhóm git. Đảm bảo người dùng đồng bộ git cũng là thành viên của nhóm này.

Bây giờ chỉnh sửa tệp / etc / sudoers của bạn để bao gồm một dòng như:

%gitgroup ALL=(git-sync) NOPASSWD: /usr/bin/git

Điều này sẽ cho phép bất kỳ thành viên nào trong nhóm gitgroup chạy lệnh / usr / bin / bit dưới dạng git-sync mà không cần mật khẩu.

Bây giờ đặt một cái gì đó như thế này trong hook sau nhận của bạn:

sudo -u git-sync /usr/bin/git push origin

Bạn CÓ THỂ sử dụng các tệp nhận dạng nhóm có thể đọc được, KHÔNG GIỚI HẠN bạn là chủ sở hữu của khóa. Vì vậy, chỉ cần đặt tệp nhận dạng được sở hữu, ví dụ: người dùng root và sau đó tất cả người dùng kho git của bạn sẽ được đặt.

Một lợi ích tốt cho việc này là bạn không cần sudo - giải pháp sẽ đơn giản hơn.

Lưu ý rằng điều này sẽ gặp lại vấn đề ban đầu nếu bạn đang sử dụng root để chuyển sang repo git của mình.

Permissions 0640 for 'id_rsa' are too open.

Khóa riêng phải được giữ riêng tư. Bạn không nên cho phép bất cứ ai đọc nó.

Vì tôi không muốn duy trì khóa công khai của người dùng dưới dạng khóa được ủy quyền trên máy chủ trực tiếp từ xa, tôi đã tạo một bộ khóa thuộc hệ thống git để thêm vào máy chủ trực tiếp từ xa (Trong post-receivehook tôi đang sử dụng $GIT_SSHđể đặt khóa riêng với -itùy chọn).

1. thiết lập một cặp khóa để ssh từ nhà phát triển đến máy chủ sản xuất

2. trong post-receivetập lệnh hook, hãy thử một cái gì đó như thế này:

   if [ "live" == "$branch" ]; then
       ssh -t user@prod "git --work-tree=... --git-dir=... checkout -f"
   fi