git clone 실행 시 fingerprint 묻는 단계를 생략하는 방법

간혹, git clone을 배치 작업에서 수행해야 할 때가 있습니다. 재사용하는 경우라면 상관없지만, clean 환경에서 매번 수행해야 하는 경우라면 다음과 같이 묻는 단계가 반가울 수 없는데요,

# git clone ssh://git@git.gittest.com:5000/testusr/test-prj.git
The authenticity of host '[git.gittest.com]:5000 ([192.168.100.50]:5000)' can't be established.
ECDSA key fingerprint is SHA256:isRS/NFBHOPqelb+Vf2zAAVinVBHqC7G/xw4vfWss+U.
Are you sure you want to continue connecting (yes/no)?

이 질문을 없애고 싶다면 서버 측의 "ECDSA key fingerprint" 값을 클라이언트의 known_hosts 파일에 미리 등록해 주면 됩니다. 이에 대해서는 다음의 글에서 설명하고 있는데요,

Non-interactive git clone (ssh fingerprint prompt)
; https://ao.ms/non-interactive-git-clone-ssh-fingerprint-prompt/

그래서 다음과 같은 식으로 실행해 둔 후,

# ssh-keyscan -p 5000 git.gittest.com >> ~/.ssh/known_hosts
 git.gittest.com:5000 SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.3
 git.gittest.com:5000 SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.3
 git.gittest.com:5000 SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.3

git clone을 하면 fingerprint를 묻는 단계를 없애줍니다.

"Non-interactive git clone (ssh fingerprint prompt)" 글에서는 해당 명령어를 수행 시 known_hosts에 그때마다 추가를 하므로 이를 방지하기 위한 명령어를 다음과 같이 친절하게 소개하고 있습니다.

$ ssh-keygen -F git.gittest.com:5000 || ssh-keyscan -p 5000 git.gittest.com >> ~/.ssh/known_hosts

그런데, 실제로 해보니까 중복 추가가 됩니다. 원인 분석을 해보면 "포트"가 명시된 경우에는 항목을 구분하는 키 값이 달라지기 때문입니다. 가령 위의 경우에는 git.gittest.com:5000으로 지정했는데 known_hosts를 보면,

[git.gittest.com]:5000 ssh-rsa AA...[생략]...T6Ae5
...[생략]...

단순히 "git.gittset.com"이 아니므로 ssh-keygen으로 체크를 할 때 다음과 같은 식으로 인자를 넣어야 합니다.

$ ssh-keygen -F [git.gittest.com]:5000 || ssh-keyscan -p 5000 git.gittest.com >> ~/.ssh/known_hosts

리눅스 shell에서 명령어의 결괏값을 알고 싶은 경우 (윈도우라면 ERRORLEVEL) "$?"를 사용하면 됩니다.

$ echo $?

ssh-keygen이라면 해당 항목을 찾은 경우에는 0, 찾지 못한 경우에는 1을 반환하므로,

$ ssh-keygen -F github.com -f ~/.ssh/known_hosts
$ echo $?
0

$ ssh-keygen -F test.com -f ~/.ssh/known_hosts
$ echo $?
1

그에 따라 "||" 파이프라인 이후의 명령어 사용 유무가 결정됩니다.

참고로, dockerfile 빌드 시 ssh-keyscan을 실행하면 다음과 같은 식으로 오류가 발생합니다.

 > [8/9] RUN ssh-keyscan -p 5000 git.gittest.com >> ~/.ssh/known_hosts:
#15 1.835 /bin/sh: 1: cannot create /root/.ssh/known_hosts: Directory nonexistent
------
executor failed running [/bin/sh -c ssh-keyscan -p 5000 git.gittest.com >> ~/.ssh/known_hosts]: exit code: 2

실제로 docker container 내에 sh 실행으로 들어가 루트 권한으로 실행하려는 경우 유사한 오류가 발생합니다.

# ssh-keyscan -p 5000 git.gittest.com >> ~/.ssh/known_hosts
/bin/sh: 2: cannot create /root/.ssh/known_hosts: Directory nonexistent

할 수 없습니다. 이런 경우에는 명시적으로 디렉터리를 만들어야 합니다.

RUN mkdir /root/.ssh && chmod 0700 /root/.ssh
RUN ssh-keygen -F test.com -f ~/.ssh/known_hosts

아마도, git clone의 fingerprint를 해결했다면 이제 대부분 다음과 같은 "Permission Denied" 오류를 보게 될 것입니다.

# git clone ssh://git@...[생략]...:5000/testusr/test-prj.git
Cloning into 'test-prj'...
Warning: Permanently added the ECDSA host key for IP address '[192.168.100.50]:5000' to the list of known hosts.
git@..[생략]...: Permission denied (publickey).
fatal: Could not read from remote repository.

Please make sure you have the correct access rights and the repository exists.

이에 관해서는 다음의 글을 참고하시고,

로컬의 Visual Studio Code로 원격 리눅스 머신에 접속해 개발하는 방법
; https://www.sysnet.pe.kr/2/0/11942

따라서, 유효한 컴퓨터에 있는 %USERPROFILE%\.ssh\id_rsa(또는, $HOME\.ssh\id_rsa) 파일을 위의 git clone을 수행하는 머신에 미리 복사하는 절차만 거치면 됩니다.

그런데, 윈도우 환경에서는 이 과정이 dockerfile과 연결되면 그다지 매끄럽지 않습니다. 처음에는 다음과 같이 junction을 이용해 진행을 했었는데,

C:\temp> junction ssh_dir "%USERPROFILE%\.ssh"
C:\temp> docker build -t py38agent-build-machine -f c:\temp\my.dockerfile .
C:\temp> junction /d ssh_dir

/* my.dockerfile
...[생략]...
COPY ssh_dir/id_rsa /root/.ssh/id_rsa
*/

아쉽게도 (Docker for Windows 내부의 어떤 문제인지는 모르겠지만) junction을 인식하지 못해 오류가 발생합니다.

...[생략]...
 => ERROR [10/11] COPY ssh_dir/id_rsa /root/.ssh/id_rsa                       0.0s
------
 > [10/11] COPY ssh_dir/id_rsa /root/.ssh/id_rsa:
------
failed to compute cache key: "/ssh_dir/id_rsa" not found: not found

검색해 보면, junction으로 연결한 디렉터리 자체도 아예 "<JUNCTION>" 링크만을 단독으로 취급하는 문제가 나옵니다.

docker COPY and Windows Directory Junction (symlinks)
; https://stackoverflow.com/questions/48666290/docker-copy-and-windows-directory-junction-symlinks

어쩔 수 없습니다. 좀 없어 보이지만 ^^; 아래와 같은 식으로 처리하는 수밖에.

C:\temp> copy "%USERPROFILE%\.ssh\id_rsa" .
C:\temp> docker build -t py38agent-build-machine -f c:\temp\my.dockerfile .
C:\temp> del id_rsa

/* my.dockerfile
COPY id_rsa /root/.ssh/id_rsa

# COPY 명령에서 "~/.ssh/id_rsa"와 같이 "~" 경로를 사용하면 안 됩니다. 그런 경우 정말로 "~"라는 이름의 디렉터리가 생깁니다.
*/

그런데 여기까지 했는데도 다음과 같은 식으로 git clone 시에 오류가 발생합니다.

# git clone ssh://git@...[생략]...:5000/testusr/test-prj.git
Cloning into 'test-prj'...
Warning: Permanently added the ECDSA host key for IP address '[192.168.100.50]:5000' to the list of known hosts.
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0755 for '/root/.ssh/id_rsa' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "/root/.ssh/id_rsa": bad permissions
git@...[생략]...: Permission denied (publickey).
fatal: Could not read from remote repository.

Please make sure you have the correct access rights
and the repository exists.

id_rsa 파일의 보안이 너무 취약하므로 신뢰할 수 없기 때문에 그냥 무시하겠다는 의도로 보입니다. ^^; 따라서, dockerfile의 COPY 명령 뒤에 다음과 같은 권한 조정을 함께 해야 합니다.

RUN mkdir /root/.ssh
COPY id_rsa /root/.ssh/id_rsa
RUN chmod 0700 /root/.ssh

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[최초 등록일: 12/8/2021]
[최종 수정일: 12/9/2021]

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com

No	Writer	Date	Cnt.	Title
411	정성태	12/16/2006	20795	오류 유형: 21. TFS SP1 설치 관련 오류 (2) - KB919156 패치 이후 TFS 접근 문제
410	정성태	12/16/2006	22029	오류 유형: 20. TFS SP1 설치 관련 오류 (1) - KB919156 패치
408	정성태	12/10/2006	24346	Windows: 7. USB 드라이브 내용 암호화
407	정성태	12/10/2006	21744	오류 유형: 19. Vista 에서의 VS.NET 2005 로 개발한 어셈블리에 대한 서명 확인 오류
406	정성태	12/10/2006	26573	Windows: 6. IE 7 검색 공급자 - 영한 사전
403	정성태	12/6/2006	33727	Windows: 5. Vista 와 웹 인증 등록 서비스의 문제 [5]
402	정성태	12/11/2006	24709	Windows: 4. Vista 설치 후기 [1]
409	정성태	12/11/2006	28724	Windows: 4.1. Vista 설치 후기 - 두 번째 이야기 [3]
396	정성태	2/13/2007	31281	오류 유형: 18. "Automatic Updates" 서비스 CPU 100% 점유 현상
393	정성태	11/8/2006	20865	오류 유형: 17. Unable to start debugging - The binding handle is invalid.
371	정성태	10/23/2006	20132	오류 유형: 16. STS Communication failed.
370	정성태	11/12/2006	23960	.NET Framework: 75. Windows CardSpace 이야기 (이 글의 내용은 재작성되어질 예정입니다.)
375	정성태	10/25/2006	25856	.NET Framework: 75.1. 개인 발행 카드에 대한 Microsoft 예제 실습(이 글의 내용은 재작성되어질 예정입니다.)
376	정성태	10/27/2006	25558	.NET Framework: 75.2. "Windows CardSpace"와 "인증서 서비스"의 만남(이 글의 내용은 재작성되어질 예정입니다.)
377	정성태	10/26/2006	25416	.NET Framework: 75.3. Managed Card 발행에 대한 Microsoft 예제 실습 (1) - CardWriter (이 글의 내용은 재작성되어질 예정입니다.)
385	정성태	11/6/2006	27827	.NET Framework: 75.4. Managed Card 발행에 대한 Microsoft 예제 실습 (2) - STS 구현 (이 글의 내용은 재작성되어질 예정입니다.) [7]
387	정성태	11/2/2006	28674	.NET Framework: 75.5. Windows CardSpace와 SYSNET 사이트의 만남 (이 글의 내용은 재작성되어질 예정입니다.) [1]
397	정성태	11/11/2006	26240	.NET Framework: 75.6. CardWriter.csproj와 함께 알아보는 인증서 식별 방법(이 글의 내용은 재작성되어질 예정입니다.)
398	정성태	11/12/2006	24682	.NET Framework: 75.7. 카드에 암호 거는 방법(이 글의 내용은 재작성되어질 예정입니다.)
399	정성태	11/12/2006	26886	.NET Framework: 75.8. 인증서/스마트 카드에 기반한 Managed Card - STS 구현(이 글의 내용은 재작성되어질 예정입니다.) [5]
369	정성태	10/22/2006	22326	오류 유형: 15. 자동 업데이트 실패
367	정성태	10/22/2006	38236	Windows: 3. IIS 7.0 다중 바인딩 설정하는 방법 [1]
365	정성태	10/21/2006	21661	Windows: 2. 서버(build 5600)에 IIS 7.0 서비스와 .NET 3.0 설치 방법
359	정성태	10/17/2006	17875	오류 유형: 14. VS.NET 빌드 오류 - FxCopCmd.exe returned error code 65.
358	정성태	10/17/2006	23168	오류 유형: 13. WSE 3.0 서비스 관련 WSE101 오류 / Destination Unreachable
357	정성태	12/1/2006	25420	.NET Framework: 74. WCF 이야기 [4]

AD BLOCK 해제 요청

git clone 실행 시 fingerprint 묻는 단계를 생략하는 방법