Docker 加载键“/root/.ssh/id_rsa”：格式无效

Question

我正在尝试克隆其中包含子模块的存储库。主仓库可以很好地克隆，但是当我在 dockerfile 中执行 git submodule update --init --recursive 时，子模块会抛出错误。

fatal: clone of 'git@github.com:jkeys089/lua-resty-hmac.git' into submodule path '/tmp/third-party/lua-resty-hmac' failed
Failed to clone 'third-party/lua-resty-hmac'. Retry scheduled
Cloning into '/tmp/third-party/lua-resty-jwt'...
load pubkey "/root/.ssh/id_rsa": invalid format
Warning: Permanently added the RSA host key for IP address '140.82.118.3' to the list of known hosts.
Load key "/root/.ssh/id_rsa": invalid format
git@github.com: Permission denied (publickey).

在图片中我有这个

# authorise ssh host
RUN mkdir /root/.ssh/ \
    && chmod 700 /root/.ssh \
    && ssh-keyscan github.com > /root/.ssh/known_hosts

# add key and set permission
RUN echo "${SSH_PRIVATE_KEY}" >> /root/.ssh/id_rsa \
    && echo "$ssh_pub_key" > /root/.ssh/id_rsa.pub \
    && chmod 600 /root/.ssh/id_rsa.pub \
    && chmod 600 /root/.ssh/id_rsa

我无法控制子模块。我不确定是否可以从 git@github.com 更改为 https 以获取子模块。

我什至尝试过使用GITHUB_TOKEN 路由

# start up git and clone
RUN git config --global url."https://${GITHUB_TOKEN}@github.com/".insteadOf "https://github.com/" \
    && git clone https://github.com/GluuFederation/gluu-gateway.git /tmp \
    && cd /tmp/ \
    && git submodule update --init --recursive

下面是构建命令的一部分。 build --build-arg GITHUB_TOKEN=${GITHUB_TOKEN} --build-arg SSH_PRIVATE_KEY="$(cat ~/.ssh/id_rsa)" --build-arg ssh_pub_key="$(cat ~/.ssh/id_rsa.pub)"

请帮忙解决这个问题。这非常令人沮丧。 :(

Answer 1

另一个可能的问题是，如果您使用 Makefile 来运行 docker build 命令。在这种情况下，Makefile 中的命令如下所示：

docker-build:
    docker build --build-arg SSH_PRIVATE_KEY="$(shell cat ~/.ssh/id_rsa)"

Make 不幸地将换行符替换为空格 (make shell)

这意味着写入容器中的ssh密钥格式不同，产生上述错误。

我无法找到在 Makefile 命令中保留换行符的方法，因此我采用了一种解决方法，将 .ssh 目录复制到 docker build 上下文中，通过 Dockerfile 复制文件，然后删除它们。

Answer 2

如果密钥是“无效格式”，请尝试使用old PEM format 重新生成它。

ssh-keygen -m PEM -t rsa -P "" 

确保将公钥添加到您的 GitHub 帐户以进行正确的身份验证。

OP Shammir 加上in the comments：

我认为问题是在构建过程中没有任何内容从主机复制到 docker 映像。

在“docker build --build-arg SSH_PRIVATE_KEY="$(cat ~/.ssh/id_rsa)" returning empty”中，Shammir 使用dockito/vault 管理私钥，但也将其配置为“AddKeysToAgent”：如果私钥没有密码保护（如我上面的命令），则不需要/p>

Answer 3

不要使用echo "${SSH_PRIVATE_KEY}" >> /root/.ssh/id_rsa 传递私钥（公钥也一样）。我尝试时遇到了类似的错误Load key "/root/.ssh/id_rsa": invalid format

RUN echo "$ssh_prv_key" > /root/.ssh/id_rsa &&     chmod 600 /root/.ssh/id_rsa

这导致了像identity file /root/.ssh/id_rsa type -1 invalid format 和read_passphrase: can't open /dev/tty 这样的错误。

正确的方法是使用

COPY id_rsa /root/.ssh/id_rsa
RUN chmod 600 /root/.ssh/id_rsa

解决方案解释：我的私钥格式错误 - 它不是多行，而是作为单行传递，您可能有任何其他格式问题，例如在开头或结尾忘记了“-”，或其他行尾错误，例如缺少换行符格式或行尾多了一个字母。

更多详情请参见Dockerfile: clone repo with passwordless private key. Errors: “authentication agent” or “read_passphrase: can't open /dev/tty”，主要思想来自Add private key to ssh-agent in docker file，其思想又来自Gitlab CI/Docker: ssh-add keeps asking for passphrase。

Answer 4

仅供参考。

我手动创建了一个私钥文件key.id_rsa 并将内容粘贴到其中。但是当我用它来克隆 git 存储库时：

$ git clone my_repo
Cloning into 'my_repo'...
Load key "/path/to/key.id_rsa": invalid format

密钥的内容绝对正确。然后我尝试将我的密钥与ssh-keygen 生成的另一个密钥进行比较，它确实是无效格式。

我的钥匙中只有没有换行符的结尾。

在key末尾添加新行后，一切都很顺利~惊喜！

[更新]：记得使用 \n 而不是 \r\n，即使在 Windows 上也是如此。

Answer 5

此答案适用于 Windows 用户（未在 linux 上尝试过）。

我搜索了许多答案和文章，但在构建我的 docker 映像时仍然遇到格式无效错误。

实际原因是当我们将私钥文件的内容作为参数传递时，它们是在一行中传递的。转义字符被转换为空格，这对于键来说基本上是无效的格式。为了避免这个错误，有两种方法可以将私钥传递给 docker 镜像：

1. 在docker文件中使用COPY命令复制私钥文件并在docker镜像中使用。这不是一个好的选择，因为它可能会暴露您的私钥。示例：COPY id_rsa /root/.ssh/id_rsa
2. 这是我使用的一种 hack，它很有效。在文本编辑器中打开私钥文件并在私钥的每一行末尾添加\n，然后将每一行连接起来以在一行中创建整个密钥。例如，您生成的密钥如下所示：

-----开始打开SSH私钥----- b3BlbnNzaC1redjEAAAAABG5vvmUAAAAEbm9uZQAAAAAAAAABAAAAMwAAAAtzc2gtZW QyNTUxOQAAACdmF7/Vo4m2FWPf+8uZRRF88dnsyj+z+lCWNWBrT8gAAAJh1tssodbbL -----结束 OPENSSH 私钥-----

让它看起来像这样：

----- BEGIN OpenSSH的私钥----- \n b3BlbnNzaC1redjEAAAAABG5vvmUAAAAEbm9uZQAAAAAAAAABAAAAMwAAAAtzc2gtZW \n QyNTUxOQAAACdmF7 / Vo4m2FWPf + 8uZRRF88dnsyj + Z + lCWNWBrT8gAAAJh1tssodbbL \n ----- END OPENSSH 私钥-----\n

将其保存在密钥文件中，并在构建 docker 映像时将修改后的文件传递到参数中。

Answer 6

确保在最后一行之后有一个 \n。 我花了太长时间才弄清楚这一点。