git clone 실행 시 fingerprint 묻는 단계를 생략하는 방법
간혹, git clone을 배치 작업에서 수행해야 할 때가 있습니다. 재사용하는 경우라면 상관없지만, clean 환경에서 매번 수행해야 하는 경우라면 다음과 같이 묻는 단계가 반가울 수 없는데요,
# git clone ssh://git@git.gittest.com:5000/testusr/test-prj.git
The authenticity of host '[git.gittest.com]:5000 ([192.168.100.50]:5000)' can't be established.
ECDSA key fingerprint is SHA256:isRS/NFBHOPqelb+Vf2zAAVinVBHqC7G/xw4vfWss+U.
Are you sure you want to continue connecting (yes/no)?
이 질문을 없애고 싶다면 서버 측의 "ECDSA key fingerprint" 값을 클라이언트의 known_hosts 파일에 미리 등록해 주면 됩니다. 이에 대해서는 다음의 글에서 설명하고 있는데요,
Non-interactive git clone (ssh fingerprint prompt)
; https://ao.ms/non-interactive-git-clone-ssh-fingerprint-prompt/
그래서 다음과 같은 식으로 실행해 둔 후,
# ssh-keyscan -p 5000 git.gittest.com >> ~/.ssh/known_hosts
git.gittest.com:5000 SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.3
git.gittest.com:5000 SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.3
git.gittest.com:5000 SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.3
git clone을 하면 fingerprint를 묻는 단계를 없애줍니다.
"
Non-interactive git clone (ssh fingerprint prompt)" 글에서는 해당 명령어를 수행 시 known_hosts에 그때마다 추가를 하므로 이를 방지하기 위한 명령어를 다음과 같이 친절하게 소개하고 있습니다.
$ ssh-keygen -F git.gittest.com:5000 || ssh-keyscan -p 5000 git.gittest.com >> ~/.ssh/known_hosts
그런데, 실제로 해보니까 중복 추가가 됩니다. 원인 분석을 해보면 "포트"가 명시된 경우에는 항목을 구분하는 키 값이 달라지기 때문입니다. 가령 위의 경우에는 git.gittest.com:5000으로 지정했는데 known_hosts를 보면,
[git.gittest.com]:5000 ssh-rsa AA...[생략]...T6Ae5
...[생략]...
단순히 "git.gittset.com"이 아니므로 ssh-keygen으로 체크를 할 때 다음과 같은 식으로 인자를 넣어야 합니다.
$ ssh-keygen -F [git.gittest.com]:5000 || ssh-keyscan -p 5000 git.gittest.com >> ~/.ssh/known_hosts
리눅스 shell에서 명령어의 결괏값을 알고 싶은 경우 (윈도우라면 ERRORLEVEL) "
$?"를 사용하면 됩니다.
$ echo $?
ssh-keygen이라면 해당 항목을 찾은 경우에는 0, 찾지 못한 경우에는 1을 반환하므로,
$ ssh-keygen -F github.com -f ~/.ssh/known_hosts
$ echo $?
0
$ ssh-keygen -F test.com -f ~/.ssh/known_hosts
$ echo $?
1
그에 따라 "||" 파이프라인 이후의 명령어 사용 유무가 결정됩니다.
참고로, dockerfile 빌드 시 ssh-keyscan을 실행하면 다음과 같은 식으로 오류가 발생합니다.
> [8/9] RUN ssh-keyscan -p 5000 git.gittest.com >> ~/.ssh/known_hosts:
#15 1.835 /bin/sh: 1: cannot create /root/.ssh/known_hosts: Directory nonexistent
------
executor failed running [/bin/sh -c ssh-keyscan -p 5000 git.gittest.com >> ~/.ssh/known_hosts]: exit code: 2
실제로 docker container 내에 sh 실행으로 들어가 루트 권한으로 실행하려는 경우 유사한 오류가 발생합니다.
# ssh-keyscan -p 5000 git.gittest.com >> ~/.ssh/known_hosts
/bin/sh: 2: cannot create /root/.ssh/known_hosts: Directory nonexistent
할 수 없습니다. 이런 경우에는 명시적으로 디렉터리를 만들어야 합니다.
RUN mkdir /root/.ssh && chmod 0700 /root/.ssh
RUN ssh-keygen -F test.com -f ~/.ssh/known_hosts
아마도, git clone의 fingerprint를 해결했다면 이제 대부분 다음과 같은 "Permission Denied" 오류를 보게 될 것입니다.
# git clone ssh://git@...[생략]...:5000/testusr/test-prj.git
Cloning into 'test-prj'...
Warning: Permanently added the ECDSA host key for IP address '[192.168.100.50]:5000' to the list of known hosts.
git@..[생략]...: Permission denied (publickey).
fatal: Could not read from remote repository.
Please make sure you have the correct access rights and the repository exists.
이에 관해서는 다음의 글을 참고하시고,
로컬의 Visual Studio Code로 원격 리눅스 머신에 접속해 개발하는 방법
; https://www.sysnet.pe.kr/2/0/11942
따라서, 유효한 컴퓨터에 있는 %USERPROFILE%\.ssh\id_rsa(또는,
$HOME\.ssh\id_rsa) 파일을 위의 git clone을 수행하는 머신에 미리 복사하는 절차만 거치면 됩니다.
그런데, 윈도우 환경에서는 이 과정이 dockerfile과 연결되면 그다지 매끄럽지 않습니다. 처음에는 다음과 같이 junction을 이용해 진행을 했었는데,
C:\temp> junction ssh_dir "%USERPROFILE%\.ssh"
C:\temp> docker build -t py38agent-build-machine -f c:\temp\my.dockerfile .
C:\temp> junction /d ssh_dir
/* my.dockerfile
...[생략]...
COPY ssh_dir/id_rsa /root/.ssh/id_rsa
*/
아쉽게도 (Docker for Windows 내부의 어떤 문제인지는 모르겠지만) junction을 인식하지 못해 오류가 발생합니다.
...[생략]...
=> ERROR [10/11] COPY ssh_dir/id_rsa /root/.ssh/id_rsa 0.0s
------
> [10/11] COPY ssh_dir/id_rsa /root/.ssh/id_rsa:
------
failed to compute cache key: "/ssh_dir/id_rsa" not found: not found
검색해 보면, junction으로 연결한 디렉터리 자체도 아예 "<JUNCTION>" 링크만을 단독으로 취급하는 문제가 나옵니다.
docker COPY and Windows Directory Junction (symlinks)
; https://stackoverflow.com/questions/48666290/docker-copy-and-windows-directory-junction-symlinks
어쩔 수 없습니다. 좀 없어 보이지만 ^^; 아래와 같은 식으로 처리하는 수밖에.
C:\temp> copy "%USERPROFILE%\.ssh\id_rsa" .
C:\temp> docker build -t py38agent-build-machine -f c:\temp\my.dockerfile .
C:\temp> del id_rsa
/* my.dockerfile
COPY id_rsa /root/.ssh/id_rsa
# COPY 명령에서 "~/.ssh/id_rsa"와 같이 "~" 경로를 사용하면 안 됩니다. 그런 경우 정말로 "~"라는 이름의 디렉터리가 생깁니다.
*/
그런데 여기까지 했는데도 다음과 같은 식으로 git clone 시에 오류가 발생합니다.
# git clone ssh://git@...[생략]...:5000/testusr/test-prj.git
Cloning into 'test-prj'...
Warning: Permanently added the ECDSA host key for IP address '[192.168.100.50]:5000' to the list of known hosts.
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0755 for '/root/.ssh/id_rsa' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "/root/.ssh/id_rsa": bad permissions
git@...[생략]...: Permission denied (publickey).
fatal: Could not read from remote repository.
Please make sure you have the correct access rights
and the repository exists.
id_rsa 파일의 보안이 너무 취약하므로 신뢰할 수 없기 때문에 그냥 무시하겠다는 의도로 보입니다. ^^; 따라서, dockerfile의 COPY 명령 뒤에 다음과 같은 권한 조정을 함께 해야 합니다.
RUN mkdir /root/.ssh
COPY id_rsa /root/.ssh/id_rsa
RUN chmod 0700 /root/.ssh
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]