468 votes

ebensing avatar

Utilisation de clés SSH dans un conteneur docker

Demandé el 8 de Août, 2013
Quand la question a-t-elle été
9702 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai une application qui exécute divers trucs amusants avec Git (comme exécuter git clone et git push) et j'essaie de la dockeriser.

Je rencontre cependant un problème : je dois pouvoir ajouter une clé SSH au conteneur pour que l'"utilisateur" du conteneur puisse l'utiliser.

J'ai essayé de le copier dans /root/.ssh/ en changeant $HOME créer un wrapper git ssh, et toujours pas de chance.

Voici le Dockerfile pour référence :

#DOCKER-VERSION 0.3.4                                                           

from  ubuntu:12.04                                                              

RUN  apt-get update                                                             
RUN  apt-get install python-software-properties python g++ make git-core openssh-server -y
RUN  add-apt-repository ppa:chris-lea/node.js                                   
RUN  echo "deb http://archive.ubuntu.com/ubuntu precise universe" >> /etc/apt/sources.list
RUN  apt-get update                                                             
RUN  apt-get install nodejs -y                                                  

ADD . /src                                                                       
ADD ../../home/ubuntu/.ssh/id_rsa /root/.ssh/id_rsa                             
RUN   cd /src; npm install                                                      

EXPOSE  808:808                                                                 

CMD   [ "node", "/src/app.js"]

app.js exécute les commandes git comme git pull

Demandé el 8 de Août, 2013 par ebensing

29 votes

Avatar de Josh H

Quiconque aborde cette question doit penser à la finalité du jeu, car il est facile de créer une faille de sécurité et de l'oublier si l'on ne fait pas attention. Lisez toutes les réponses et choisissez judicieusement.

Commenté el 17 de Septembre, 2019 par Josh H

0 votes

Avatar de funnydman

Il est disponible dès maintenant, voir stackoverflow.com/a/66301568/9926721

Commenté el 28 de Mars, 2021 par funnydman

0 votes

Avatar de Alexis Wilke

J'ai une réponse aquí en utilisant ssh-add qui est considéré comme sûr (comme Josh Habdas le dit plus haut, choisissez judicieusement). J'ai eu de réelles difficultés à le faire fonctionner sur Ubuntu 20.04, principalement à cause du fait que le débogage de Docker est difficile (cf. Débogage de la construction Docker ) mais aussi à cause d'AppArmor et du nom de la clé qui par défaut doit être id_rsa .

Commenté el 29 de Octobre, 2021 par Alexis Wilke

Réponses

Trop de publicités?

102voto

ebensing avatar
ebensing Points 377

Il s'avère que lorsqu'on utilise Ubuntu, le ssh_config n'est pas correct. Vous devez ajouter

RUN  echo "    IdentityFile ~/.ssh/id_rsa" >> /etc/ssh/ssh_config

à votre Dockerfile afin qu'il reconnaisse votre clé ssh.

Répondu el 9 de Août, 2013 par ebensing (377 Points )

2 votes

Avatar de monofone

Vous devez probablement aussi définir le nom d'utilisateur correct comme ceci RUN echo " Host example.com" >> /root/.ssh/config RUN echo " User <someusername>" >> /root/.ssh/config

Commenté el 14 de Septembre, 2016 par monofone

3 votes

Avatar de miles bennet

Pourquoi quelqu'un copierait-il une clé privée d'une machine hôte à un conteneur. La commande est OK, mais je ne vois pas le sens de faire ce qui est mentionné ci-dessus...

Commenté el 14 de Mars, 2017 par miles bennet

21 votes

Avatar de Daniel van Flymen

Ce n'est pas sécurisé ! Voir ma solution ci-dessous pour la dernière version 1.13 de Docker. @ebensing

Commenté el 20 de Mars, 2017 par Daniel van Flymen
Afficher 2 autres commentaires

94voto

yellowcap avatar
yellowcap Points 789

Nota : n'utilisez cette approche que pour les images qui sont privé et sera toujours !

La clé ssh reste stockée dans l'image, même si vous la supprimez dans une commande de calque après l'avoir ajoutée (voir les commentaires dans la section ce poste ).

Dans mon cas, cela convient, c'est donc ce que j'utilise :

# Setup for ssh onto github
RUN mkdir -p /root/.ssh
ADD id_rsa /root/.ssh/id_rsa
RUN chmod 700 /root/.ssh/id_rsa
RUN echo "Host github.com\n\tStrictHostKeyChecking no\n" >> /root/.ssh/config
Répondu el 24 de Juillet, 2014 par yellowcap (789 Points )

123 votes

Avatar de CppLearner

Cela permettra de garder votre clé dans l'image, ne le faites pas.

Commenté el 10 de Août, 2016 par CppLearner

23 votes

Avatar de yellowcap

@CppLearner vous avez raison, cela stocke la clé dans l'image, et cela peut être un problème de sécurité dans certains cas. Merci de l'avoir souligné. Cependant, il y a de nombreuses situations où cela est parfaitement sûr. Par exemple pour les images qui sont stockées dans un dépôt privé, ou les images qui sont construites directement sur un serveur de production en copiant les clés locales sur l'image.

Commenté el 22 de Août, 2016 par yellowcap

2 votes

Avatar de SebScoFr

En outre, si vous installez vos fournisseurs dans le Dockerfile, rien ne vous empêche de supprimer la clé ssh une fois les fournisseurs installés.

Commenté el 11 de Octobre, 2016 par SebScoFr
Afficher 7 autres commentaires

41voto

creack avatar
creack Points 11635

Afin d'injecter votre clé ssh, dans un conteneur, vous avez plusieurs solutions :

  1. Utilisation d'un Dockerfile avec le ADD vous pouvez l'injecter pendant votre processus de construction.

  2. Il suffit de faire quelque chose comme cat id_rsa | docker run -i <image> sh -c 'cat > /root/.ssh/id_rsa'

  3. Utilisation de la docker cp qui vous permet d'injecter des fichiers pendant l'exécution d'un conteneur.

Répondu el 8 de Août, 2013 par creack (11635 Points )

2 votes

Avatar de ebensing

Pour l'instant, j'ai essayé de la copier dans /Root/.ssh/id_rsa mais je reçois toujours des erreurs "Host key verification failed. fatal : The remote end hung up unexpectedly" de la part de Git, ce qui, j'en suis sûr, signifie que la clé n'est pas utilisée pour une raison quelconque. Je pense donc qu'il y a quelque chose d'autre que je dois faire pour dire au système de l'utiliser comme clé ssh ? Je ne sais pas exactement comment déboguer cette situation. (et je sais que cette clé fonctionne car elle s'exécute sans problème depuis l'hôte).

Commenté el 9 de Août, 2013 par ebensing

0 votes

Avatar de creack

Pouvez-vous vous assurer que le fichier /etc/ssh/ssh_config cible le bon fichier clé ?

Commenté el 9 de Août, 2013 par creack

1 votes

Avatar de ebensing

Existe-t-il un bon moyen d'inspecter les fichiers du conteneur docker ? Ou dois-je simplement essayer de copier une configuration valide ?

Commenté el 9 de Août, 2013 par ebensing
Afficher 8 autres commentaires

15voto

Dan Keder avatar
Dan Keder Points 101

Cette ligne est un problème :

ADD ../../home/ubuntu/.ssh/id_rsa /root/.ssh/id_rsa

Lorsque vous spécifiez les fichiers que vous souhaitez copier dans l'image, vous ne pouvez utiliser que des chemins relatifs - relatifs au répertoire où se trouve votre Dockerfile. Vous devez donc plutôt utiliser :

ADD id_rsa /root/.ssh/id_rsa

Et mettez le fichier id_rsa dans le même répertoire que celui où se trouve votre Dockerfile.

Consultez cette page pour plus de détails : http://docs.docker.io/reference/builder/#add

Répondu el 17 de Avril, 2014 par Dan Keder (101 Points )

7 votes

Avatar de Mike D

Cela pose également un problème de sécurité, car cela place une clé privée dans une image qui peut être facilement oubliée.

Commenté el 8 de Avril, 2017 par Mike D

0 votes

Avatar de Alex Mills

docker cp le met juste dans le conteneur et non dans l'image, n'est-ce pas ?

Commenté el 12 de Janvier, 2018 par Alex Mills

8voto

arreche avatar
arreche Points 55

Vous pouvez sélectivement laisser des serveurs distants accéder à votre agent ssh local comme s'il était exécuté sur le serveur".

https://developer.github.com/guides/using-ssh-agent-forwarding/

Répondu el 15 de Janvier, 2014 par arreche (55 Points )

4 votes

Avatar de Pavel Hlobil

Docker run -i -t -v $(readlink -f $SSH_AUTH_SOCK):/ssh-agent -e SSH_AUTH_SOCK=/ssh-agent ubuntu /bin/bash

Commenté el 3 de Octobre, 2014 par Pavel Hlobil

2 votes

Avatar de Martin Su

Fruitl00p a créé un conteneur docker-tunnel de cette manière : github.com/kingsquare/docker-tunnel

Commenté el 20 de Juillet, 2015 par Martin Su

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X