Microsoft MVP성태의 닷넷 이야기
홈 주인모아 놓은 자료프로그래밍질문/답변사용자 관리 RSS OPML Link
개발 환경 구성: 613. git clone 실행 시 fingerprint 묻는 단계를 생략하는 방법 [링크 복사], [링크+제목 복사],
조회: 16613
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
http://www.sysnet.pe.kr
첨부 파일
 

git clone 실행 시 fingerprint 묻는 단계를 생략하는 방법

간혹, git clone을 배치 작업에서 수행해야 할 때가 있습니다. 재사용하는 경우라면 상관없지만, clean 환경에서 매번 수행해야 하는 경우라면 다음과 같이 묻는 단계가 반가울 수 없는데요,

# git clone ssh://git@git.gittest.com:5000/testusr/test-prj.git
The authenticity of host '[git.gittest.com]:5000 ([192.168.100.50]:5000)' can't be established.
ECDSA key fingerprint is SHA256:isRS/NFBHOPqelb+Vf2zAAVinVBHqC7G/xw4vfWss+U.
Are you sure you want to continue connecting (yes/no)?

이 질문을 없애고 싶다면 서버 측의 "ECDSA key fingerprint" 값을 클라이언트의 known_hosts 파일에 미리 등록해 주면 됩니다. 이에 대해서는 다음의 글에서 설명하고 있는데요,

Non-interactive git clone (ssh fingerprint prompt)
; https://ao.ms/non-interactive-git-clone-ssh-fingerprint-prompt/

그래서 다음과 같은 식으로 실행해 둔 후,

# ssh-keyscan -p 5000 git.gittest.com >> ~/.ssh/known_hosts
 git.gittest.com:5000 SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.3
 git.gittest.com:5000 SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.3
 git.gittest.com:5000 SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.3

git clone을 하면 fingerprint를 묻는 단계를 없애줍니다.



"Non-interactive git clone (ssh fingerprint prompt)" 글에서는 해당 명령어를 수행 시 known_hosts에 그때마다 추가를 하므로 이를 방지하기 위한 명령어를 다음과 같이 친절하게 소개하고 있습니다.

$ ssh-keygen -F git.gittest.com:5000 || ssh-keyscan -p 5000 git.gittest.com >> ~/.ssh/known_hosts

그런데, 실제로 해보니까 중복 추가가 됩니다. 원인 분석을 해보면 "포트"가 명시된 경우에는 항목을 구분하는 키 값이 달라지기 때문입니다. 가령 위의 경우에는 git.gittest.com:5000으로 지정했는데 known_hosts를 보면,

[git.gittest.com]:5000 ssh-rsa AA...[생략]...T6Ae5
...[생략]...

단순히 "git.gittset.com"이 아니므로 ssh-keygen으로 체크를 할 때 다음과 같은 식으로 인자를 넣어야 합니다.

$ ssh-keygen -F [git.gittest.com]:5000 || ssh-keyscan -p 5000 git.gittest.com >> ~/.ssh/known_hosts



리눅스 shell에서 명령어의 결괏값을 알고 싶은 경우 (윈도우라면 ERRORLEVEL) "$?"를 사용하면 됩니다. 

$ echo $?

ssh-keygen이라면 해당 항목을 찾은 경우에는 0, 찾지 못한 경우에는 1을 반환하므로,

$ ssh-keygen -F github.com -f ~/.ssh/known_hosts
$ echo $?
0

$ ssh-keygen -F test.com -f ~/.ssh/known_hosts
$ echo $?
1

그에 따라 "||" 파이프라인 이후의 명령어 사용 유무가 결정됩니다.



참고로, dockerfile 빌드 시 ssh-keyscan을 실행하면 다음과 같은 식으로 오류가 발생합니다.

 > [8/9] RUN ssh-keyscan -p 5000 git.gittest.com >> ~/.ssh/known_hosts:
#15 1.835 /bin/sh: 1: cannot create /root/.ssh/known_hosts: Directory nonexistent
------
executor failed running [/bin/sh -c ssh-keyscan -p 5000 git.gittest.com >> ~/.ssh/known_hosts]: exit code: 2

실제로 docker container 내에 sh 실행으로 들어가 루트 권한으로 실행하려는 경우 유사한 오류가 발생합니다.

# ssh-keyscan -p 5000 git.gittest.com >> ~/.ssh/known_hosts
/bin/sh: 2: cannot create /root/.ssh/known_hosts: Directory nonexistent

할 수 없습니다. 이런 경우에는 명시적으로 디렉터리를 만들어야 합니다.

RUN mkdir /root/.ssh && chmod 0700 /root/.ssh
RUN ssh-keygen -F test.com -f ~/.ssh/known_hosts



아마도, git clone의 fingerprint를 해결했다면 이제 대부분 다음과 같은 "Permission Denied" 오류를 보게 될 것입니다.

# git clone ssh://git@...[생략]...:5000/testusr/test-prj.git
Cloning into 'test-prj'...
Warning: Permanently added the ECDSA host key for IP address '[192.168.100.50]:5000' to the list of known hosts.
git@..[생략]...: Permission denied (publickey).
fatal: Could not read from remote repository.

Please make sure you have the correct access rights and the repository exists.

이에 관해서는 다음의 글을 참고하시고,

로컬의 Visual Studio Code로 원격 리눅스 머신에 접속해 개발하는 방법
; https://www.sysnet.pe.kr/2/0/11942

따라서, 유효한 컴퓨터에 있는 %USERPROFILE%\.ssh\id_rsa(또는, $HOME\.ssh\id_rsa) 파일을 위의 git clone을 수행하는 머신에 미리 복사하는 절차만 거치면 됩니다.

그런데, 윈도우 환경에서는 이 과정이 dockerfile과 연결되면 그다지 매끄럽지 않습니다. 처음에는 다음과 같이 junction을 이용해 진행을 했었는데,

C:\temp> junction ssh_dir "%USERPROFILE%\.ssh"
C:\temp> docker build -t py38agent-build-machine -f c:\temp\my.dockerfile .
C:\temp> junction /d ssh_dir

/* my.dockerfile
...[생략]...
COPY ssh_dir/id_rsa /root/.ssh/id_rsa
*/

아쉽게도 (Docker for Windows 내부의 어떤 문제인지는 모르겠지만) junction을 인식하지 못해 오류가 발생합니다.

...[생략]...
 => ERROR [10/11] COPY ssh_dir/id_rsa /root/.ssh/id_rsa                       0.0s
------
 > [10/11] COPY ssh_dir/id_rsa /root/.ssh/id_rsa:
------
failed to compute cache key: "/ssh_dir/id_rsa" not found: not found

검색해 보면, junction으로 연결한 디렉터리 자체도 아예 "<JUNCTION>" 링크만을 단독으로 취급하는 문제가 나옵니다.

docker COPY and Windows Directory Junction (symlinks)
; https://stackoverflow.com/questions/48666290/docker-copy-and-windows-directory-junction-symlinks

어쩔 수 없습니다. 좀 없어 보이지만 ^^; 아래와 같은 식으로 처리하는 수밖에.

C:\temp> copy "%USERPROFILE%\.ssh\id_rsa" .
C:\temp> docker build -t py38agent-build-machine -f c:\temp\my.dockerfile .
C:\temp> del id_rsa

/* my.dockerfile
COPY id_rsa /root/.ssh/id_rsa

# COPY 명령에서 "~/.ssh/id_rsa"와 같이 "~" 경로를 사용하면 안 됩니다. 그런 경우 정말로 "~"라는 이름의 디렉터리가 생깁니다.
*/

그런데 여기까지 했는데도 다음과 같은 식으로 git clone 시에 오류가 발생합니다.

# git clone ssh://git@...[생략]...:5000/testusr/test-prj.git
Cloning into 'test-prj'...
Warning: Permanently added the ECDSA host key for IP address '[192.168.100.50]:5000' to the list of known hosts.
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0755 for '/root/.ssh/id_rsa' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "/root/.ssh/id_rsa": bad permissions
git@...[생략]...: Permission denied (publickey).
fatal: Could not read from remote repository.

Please make sure you have the correct access rights
and the repository exists.

id_rsa 파일의 보안이 너무 취약하므로 신뢰할 수 없기 때문에 그냥 무시하겠다는 의도로 보입니다. ^^; 따라서, dockerfile의 COPY 명령 뒤에 다음과 같은 권한 조정을 함께 해야 합니다.

RUN mkdir /root/.ssh
COPY id_rsa /root/.ssh/id_rsa
RUN chmod 0700 /root/.ssh



[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]





[최초 등록일: ]
[최종 수정일: 12/9/2021]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com
비밀번호
댓글 작성자
 


... 121  122  123  124  125  126  127  [128]  129  130  131  132  133  134  135  ...
NoWriterDateCnt.TitleFile(s)
1855정성태2/10/201520777개발 환경 구성: 256. WebDAV Redirector - Sysinternals 폴더 연결 시 "The network path was not found" 오류 해결 방법
1854정성태2/10/201521733Windows: 104. 폴더는 삭제할 수 없지만, 그 하위 폴더/파일은 생성/삭제/변경하는 보안 설정
1853정성태2/6/201552054웹: 29. 여신금융협회 웹 사이트의 "Netscape 6.0은 지원하지 않습니다." 오류 메시지 [5]
1852정성태2/5/201522447.NET Framework: 492. .NET CLR Memory 성능 카운터의 의미파일 다운로드1
1851정성태2/5/201523383VC++: 88. 하룻밤의 꿈 - 인텔 하스웰의 TSX Instruction 지원 [2]
1850정성태2/4/201544169Windows: 103. 작업 관리자에서의 "Commit size"가 가리키는 메모리의 의미 [4]
1849정성태2/4/201524148기타: 51. DropBox의 CPU 100% 현상 [1]파일 다운로드1
1848정성태2/4/201519391.NET Framework: 491. 닷넷 Generic 타입의 메타 데이터 토큰 값 알아내는 방법 [2]
1847정성태2/3/201522681기타: 50. C# - 윈도우에서 dropbox 동기화 폴더 경로 및 종료하는 방법
1846정성태2/2/201531994Windows: 102. 제어판의 프로그램 추가/삭제 항목을 수동으로 실행하고 싶다면? [1]
1845정성태1/26/201532871Windows: 101. 제어판의 "Windows 자격 증명 관리(Manage your credentials)"를 금지시키는 방법
1844정성태1/26/201530835오류 유형: 269. USB 메모리의 용량이 비정상적으로 보여진다면? [7]
1843정성태1/24/201521880VC++: 87. 무시할 수 없는 Visual C++ 런타임 함수 성능
1842정성태1/23/201544380개발 환경 구성: 255. 노트북 키보드에 없는 BREAK 키를 다른 키로 대체하는 방법
1841정성태1/21/201519352오류 유형: 268. Win32 핸들 관련 CLR4 보안 오류 사례
1840정성태1/8/201527587오류 유형: 267. Visual Studio - CodeLens 사용 시 CPU 100% 현상
1839정성태1/5/201520468디버깅 기술: 69. windbg 분석 사례 - cpu 100% 현상 (2)
1838정성태1/4/201540223기타: 49. 윈도우 내레이터(Narrator) 기능 끄는 방법(윈도우에 파란색의 굵은 테두리 선이 나타난다면?) [4]
1837정성태1/4/201526323디버깅 기술: 68. windbg 분석 사례 - 메모리 부족 [1]
1836정성태1/4/201526331디버깅 기술: 67. windbg - 덤프 파일과 handle 정보
1835정성태1/3/201526804개발 환경 구성: 254. SQL 서버 역시 SSL 3.0/TLS 1.0만을 지원하는 듯!
1834정성태1/3/201551434개발 환경 구성: 253. TLS 1.2를 적용한 IIS 웹 사이트 구성
1833정성태1/3/201527496.NET Framework: 490. System.Data.SqlClient는 SSL 3.0/TLS 1.0만 지원하는 듯! [3]
1832정성태1/2/201520581오류 유형: 266. Azure에 응용 프로그램 게시 중 로그인 오류
1831정성태1/1/201528486디버깅 기술: 66. windbg 분석 사례 - cpu 100% 현상 (1) [1]
1830정성태1/1/201527523오류 유형: 265. svchost.exe 프로세스(IP Helper: IPHLPSVC)의 CPU 100% 현상
... 121  122  123  124  125  126  127  [128]  129  130  131  132  133  134  135  ...