Microsoft MVP성태의 닷넷 이야기
홈 주인모아 놓은 자료프로그래밍질문/답변사용자 관리 RSS OPML Link
개발 환경 구성: 613. git clone 실행 시 fingerprint 묻는 단계를 생략하는 방법 [링크 복사], [링크+제목 복사],
조회: 16649
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
http://www.sysnet.pe.kr
첨부 파일
 

git clone 실행 시 fingerprint 묻는 단계를 생략하는 방법

간혹, git clone을 배치 작업에서 수행해야 할 때가 있습니다. 재사용하는 경우라면 상관없지만, clean 환경에서 매번 수행해야 하는 경우라면 다음과 같이 묻는 단계가 반가울 수 없는데요,

# git clone ssh://git@git.gittest.com:5000/testusr/test-prj.git
The authenticity of host '[git.gittest.com]:5000 ([192.168.100.50]:5000)' can't be established.
ECDSA key fingerprint is SHA256:isRS/NFBHOPqelb+Vf2zAAVinVBHqC7G/xw4vfWss+U.
Are you sure you want to continue connecting (yes/no)?

이 질문을 없애고 싶다면 서버 측의 "ECDSA key fingerprint" 값을 클라이언트의 known_hosts 파일에 미리 등록해 주면 됩니다. 이에 대해서는 다음의 글에서 설명하고 있는데요,

Non-interactive git clone (ssh fingerprint prompt)
; https://ao.ms/non-interactive-git-clone-ssh-fingerprint-prompt/

그래서 다음과 같은 식으로 실행해 둔 후,

# ssh-keyscan -p 5000 git.gittest.com >> ~/.ssh/known_hosts
 git.gittest.com:5000 SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.3
 git.gittest.com:5000 SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.3
 git.gittest.com:5000 SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.3

git clone을 하면 fingerprint를 묻는 단계를 없애줍니다.



"Non-interactive git clone (ssh fingerprint prompt)" 글에서는 해당 명령어를 수행 시 known_hosts에 그때마다 추가를 하므로 이를 방지하기 위한 명령어를 다음과 같이 친절하게 소개하고 있습니다.

$ ssh-keygen -F git.gittest.com:5000 || ssh-keyscan -p 5000 git.gittest.com >> ~/.ssh/known_hosts

그런데, 실제로 해보니까 중복 추가가 됩니다. 원인 분석을 해보면 "포트"가 명시된 경우에는 항목을 구분하는 키 값이 달라지기 때문입니다. 가령 위의 경우에는 git.gittest.com:5000으로 지정했는데 known_hosts를 보면,

[git.gittest.com]:5000 ssh-rsa AA...[생략]...T6Ae5
...[생략]...

단순히 "git.gittset.com"이 아니므로 ssh-keygen으로 체크를 할 때 다음과 같은 식으로 인자를 넣어야 합니다.

$ ssh-keygen -F [git.gittest.com]:5000 || ssh-keyscan -p 5000 git.gittest.com >> ~/.ssh/known_hosts



리눅스 shell에서 명령어의 결괏값을 알고 싶은 경우 (윈도우라면 ERRORLEVEL) "$?"를 사용하면 됩니다. 

$ echo $?

ssh-keygen이라면 해당 항목을 찾은 경우에는 0, 찾지 못한 경우에는 1을 반환하므로,

$ ssh-keygen -F github.com -f ~/.ssh/known_hosts
$ echo $?
0

$ ssh-keygen -F test.com -f ~/.ssh/known_hosts
$ echo $?
1

그에 따라 "||" 파이프라인 이후의 명령어 사용 유무가 결정됩니다.



참고로, dockerfile 빌드 시 ssh-keyscan을 실행하면 다음과 같은 식으로 오류가 발생합니다.

 > [8/9] RUN ssh-keyscan -p 5000 git.gittest.com >> ~/.ssh/known_hosts:
#15 1.835 /bin/sh: 1: cannot create /root/.ssh/known_hosts: Directory nonexistent
------
executor failed running [/bin/sh -c ssh-keyscan -p 5000 git.gittest.com >> ~/.ssh/known_hosts]: exit code: 2

실제로 docker container 내에 sh 실행으로 들어가 루트 권한으로 실행하려는 경우 유사한 오류가 발생합니다.

# ssh-keyscan -p 5000 git.gittest.com >> ~/.ssh/known_hosts
/bin/sh: 2: cannot create /root/.ssh/known_hosts: Directory nonexistent

할 수 없습니다. 이런 경우에는 명시적으로 디렉터리를 만들어야 합니다.

RUN mkdir /root/.ssh && chmod 0700 /root/.ssh
RUN ssh-keygen -F test.com -f ~/.ssh/known_hosts



아마도, git clone의 fingerprint를 해결했다면 이제 대부분 다음과 같은 "Permission Denied" 오류를 보게 될 것입니다.

# git clone ssh://git@...[생략]...:5000/testusr/test-prj.git
Cloning into 'test-prj'...
Warning: Permanently added the ECDSA host key for IP address '[192.168.100.50]:5000' to the list of known hosts.
git@..[생략]...: Permission denied (publickey).
fatal: Could not read from remote repository.

Please make sure you have the correct access rights and the repository exists.

이에 관해서는 다음의 글을 참고하시고,

로컬의 Visual Studio Code로 원격 리눅스 머신에 접속해 개발하는 방법
; https://www.sysnet.pe.kr/2/0/11942

따라서, 유효한 컴퓨터에 있는 %USERPROFILE%\.ssh\id_rsa(또는, $HOME\.ssh\id_rsa) 파일을 위의 git clone을 수행하는 머신에 미리 복사하는 절차만 거치면 됩니다.

그런데, 윈도우 환경에서는 이 과정이 dockerfile과 연결되면 그다지 매끄럽지 않습니다. 처음에는 다음과 같이 junction을 이용해 진행을 했었는데,

C:\temp> junction ssh_dir "%USERPROFILE%\.ssh"
C:\temp> docker build -t py38agent-build-machine -f c:\temp\my.dockerfile .
C:\temp> junction /d ssh_dir

/* my.dockerfile
...[생략]...
COPY ssh_dir/id_rsa /root/.ssh/id_rsa
*/

아쉽게도 (Docker for Windows 내부의 어떤 문제인지는 모르겠지만) junction을 인식하지 못해 오류가 발생합니다.

...[생략]...
 => ERROR [10/11] COPY ssh_dir/id_rsa /root/.ssh/id_rsa                       0.0s
------
 > [10/11] COPY ssh_dir/id_rsa /root/.ssh/id_rsa:
------
failed to compute cache key: "/ssh_dir/id_rsa" not found: not found

검색해 보면, junction으로 연결한 디렉터리 자체도 아예 "<JUNCTION>" 링크만을 단독으로 취급하는 문제가 나옵니다.

docker COPY and Windows Directory Junction (symlinks)
; https://stackoverflow.com/questions/48666290/docker-copy-and-windows-directory-junction-symlinks

어쩔 수 없습니다. 좀 없어 보이지만 ^^; 아래와 같은 식으로 처리하는 수밖에.

C:\temp> copy "%USERPROFILE%\.ssh\id_rsa" .
C:\temp> docker build -t py38agent-build-machine -f c:\temp\my.dockerfile .
C:\temp> del id_rsa

/* my.dockerfile
COPY id_rsa /root/.ssh/id_rsa

# COPY 명령에서 "~/.ssh/id_rsa"와 같이 "~" 경로를 사용하면 안 됩니다. 그런 경우 정말로 "~"라는 이름의 디렉터리가 생깁니다.
*/

그런데 여기까지 했는데도 다음과 같은 식으로 git clone 시에 오류가 발생합니다.

# git clone ssh://git@...[생략]...:5000/testusr/test-prj.git
Cloning into 'test-prj'...
Warning: Permanently added the ECDSA host key for IP address '[192.168.100.50]:5000' to the list of known hosts.
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0755 for '/root/.ssh/id_rsa' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "/root/.ssh/id_rsa": bad permissions
git@...[생략]...: Permission denied (publickey).
fatal: Could not read from remote repository.

Please make sure you have the correct access rights
and the repository exists.

id_rsa 파일의 보안이 너무 취약하므로 신뢰할 수 없기 때문에 그냥 무시하겠다는 의도로 보입니다. ^^; 따라서, dockerfile의 COPY 명령 뒤에 다음과 같은 권한 조정을 함께 해야 합니다.

RUN mkdir /root/.ssh
COPY id_rsa /root/.ssh/id_rsa
RUN chmod 0700 /root/.ssh



[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]





[최초 등록일: ]
[최종 수정일: 12/9/2021]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com
비밀번호
댓글 작성자
 


... 181  182  183  [184]  185  186  187  188  189  190  191  192  193  194  195  ...
NoWriterDateCnt.TitleFile(s)
390정성태11/6/200626879    답변글 .NET Framework: 74.9. WCF에 SSL 적용 (2) - 서비스 제작파일 다운로드1
356정성태10/7/200622429COM 개체 관련: 19. COM의 Apartment를 이해해 보자. [8]
386light10/30/200617389    답변글 COM 개체 관련: 19.1. [답변]: COM 객체를 글로벌마샬으로 만든후, 사용한다.
355정성태10/9/200625159개발 환경 구성: 19. Internet_Zone 하위에 새로운 코드 그룹을 추가하는 예제 [4]파일 다운로드2
353정성태12/31/200633451개발 환경 구성: 18. 윈도우즈 인증서 서비스 이야기 [3]
354정성태10/23/200635994    답변글 개발 환경 구성: 18.1. 윈도우즈 인증서 서비스 설치
372정성태12/31/200637860    답변글 개발 환경 구성: 18.2. 웹 사이트에 SSL을 적용 [3]
373정성태10/24/200629259    답변글 개발 환경 구성: 18.3. 사용자 입장에서의 HTTPS 접근 (1)
374정성태10/25/200626521    답변글 개발 환경 구성: 18.4. 사용자 입장에서의 HTTPS 접근 (2)
391정성태11/7/200630652    답변글 개발 환경 구성: 18.5. 사용자 인증서 발급
392정성태11/11/200643856    답변글 개발 환경 구성: 18.6. 인증서 관리 (1) - 내보내기/가져오기
394정성태11/9/200628355    답변글 개발 환경 구성: 18.7. 인증서 관리 (2) - 개인키를 내보낼 수 있는 유형의 인증서 발급 [1]
395정성태11/9/200640481    답변글 개발 환경 구성: 18.8. 인증서 관리 (3) - 인증서 MMC 관리자 사용
414정성태12/23/200632176    답변글 개발 환경 구성: 18.9. CRL(Certificate Revocation List) 관리
428정성태12/31/200645054    답변글 개발 환경 구성: 18.10. IIS 7 - SSL 사이트 설정하는 방법 [4]
429정성태12/31/200631071    답변글 개발 환경 구성: 18.11. 서비스를 위한 인증서 설치
352정성태10/2/200620774개발 환경 구성: 17. VPC에 Linux 설치하는 방법 [1]
351정성태10/8/200623329개발 환경 구성: 16. 성태의 무식한(!) 리눅스 탐방기. [4]
349정성태9/26/200622012디버깅 기술: 10. C++/CLI에서 제공되는 명시적인 파괴자의 비밀
347정성태10/6/200625782디버깅 기술: 9. .NET IDisposable 처리 정리 [1]
346정성태9/23/200619272개발 환경 구성: 15. 툴박스에 컨트롤이 자동으로 나타나도록 해주는 옵션 설정
345정성태9/20/200618486오류 유형: 12. WCF 오류 메시지 - Error while trying to reflect on attribute 'MessageContractAttribute'
343정성태10/18/200630347개발 환경 구성: 14. SandCastle 사용법 (NDoc을 대체하는 문서화 도구) [1]파일 다운로드1
344정성태9/20/200620554    답변글 개발 환경 구성: 14.1. 오류 유형 - GAC 에 등록된 DLL 에 대한 문서화 시 오류
340정성태9/15/200619818개발 환경 구성: 13. ISO 파일을 가상 CD-ROM으로 매핑해주는 프로그램
339정성태9/14/200619293오류 유형: 11. ProtocolsSection?
... 181  182  183  [184]  185  186  187  188  189  190  191  192  193  194  195  ...