多ssh key部署同一台server以及ssh-agent的最佳实践

原文:多ssh key部署同一台server以及ssh-agent的最佳实践 - Noosphere


有些时候,我们需要在一台服务器里拉取github的项目,由于安全考虑,github的规定一个deploy key只能用在一个项目里面。 所以多个项目就需要我们用多个ssh key

而我们如果只在一台服务器,除了默认生成的id_rsa,则需要为每个项目加入生成一个独立的ssh key,这样就存在多个秘钥和公钥对,那么我们执行git pull或者git push这样的命令的时候,ssh如何找到正确的key呢?

这个时候需要用到ssh的config以及ssh-agent来解决这个问题,下面我们一步步来说明这个过程。

生成新的密钥对

ssh-keygen -f ~/.ssh/project1_rsa
ssh-keygen -f ~/.ssh/project2_rsa

上面这个命令,一路回车的话,当然也可以输入密码,如果使用密码,那么在使用的时候则需要输入这个密码(通过ssh-agent这个代理程序可以帮你记住密码,则可以不用每次都输入),这个会在用户的目录下生成2个密码对,生成的内容如下:

ls ~/.ssh
project1_rsa # project1 的私钥
project1_rsa.pub # project2 的公钥
project2_rsa
project2_rsa.pub

然后,接下来,为了让ssh知道我们生成的密钥对里面的私钥,需要用ssh-add命令加入

ssh-add ~/.ssh/project1_rsa

如果报下面这个错误:

Could not open a connection to your authentication agent.

则说明ssh-agent代理程序没有启动,那么再返回来启动这个代理程序,然后再加入

eval `ssh-agent -s` # 启动代理
ssh-add ~/.ssh/project1_rsa
ssh-add ~/.ssh/project2_rsa

这里有个问题,ssh-agent不一定是默认启动的,这个agent在下一个终端会话进来后可能用不了,这个问题我们后面在说。

接下来,为了完成让git pull的时候,自动认得目录,接下来,我们要做两个配置

1. 创建~/.ssh/config

touch ~/.ssh/config

把下面内容贴进去

Host project1
 HostName github.com
 User git
 IdentityFile /home/ubuntu/.ssh/project1_rsa
Host project2
 HostName github.com
 User git
 IdentityFile /home/ubuntu/.ssh/project2_rsa

这个配置的意思是,当ssh碰到要去连接的Host为project1的时候,会把HostName 设置为 github.com,并且使用git用户,私钥使用的是IdentityFile /home/ubuntu/.ssh/project1_rsa

2. 修改git remote

进入你的github项目

git remote set-url origin git@project1:/project1.git
  • your github name: 是你在github注册的名字

由于这里使用的git ssh协议,那么在你执行git pull这些命令的时候,它会去寻找命令~/.ssh/config里面的配置,然后找到根据git@project1来找到Host project1的配置,然后机会ssh会使用这些配置来执行命令。

ssh-agent自动启动

ssh-agent进程一般来说会自动启动,并会自动加载~/.ssh/id_rsa,它启动的时候,创建一个继承SSH_AUTH_SOCKSSH_AGENT_PID环境变量的进程,那么如果你开的会话并没有这些环境变量,那么你的会话无法正确的链接到ssh-agent,即使你用ps -aux | grep ssh-agent可以看到有这个进程,甚至可能有多个ssh-agent(因为你在多个会话里面执行过多次”eval ssh-agent -s“)也无济于事。

如果没有这些环境变量,你执行ssh-add命令的时候,它连不到已经启动的ssh-agent,所以会报Could not open a connection to your authentication agent.这样的错误。

所以我们确保我们启动会话的时候启动ssh-agent。为了实现这个你可以在~/.bashrc或者~/.bash_profile或者~/.profile这些会话启动的时候会加载shell里面加入启动命令,实现的方法有多种,比如你可以直接加入evalssh-agent -s``. 那么而每次启动,然后同时加入trap 'kill $SSH_AGENT_PID' EXIT,让会话退出的时候kill掉这个启动的经常。 然而这样做,每当你其他一个shell就会创建一个ssh-agent的进程。

为了解决这个问题,可以用封装成下面的命令,加入到~/.bashrc(~/.bash_profile或者~/.profile)

SSH_ENV="$HOME/.ssh/agent-environment"

function addAdditionSSHKey {
 /usr/bin/ssh-add $HOME/.ssh/project1_rsa;
 /usr/bin/ssh-add $HOME/.ssh/project2_rsa;
}

function start_agent {
 echo "Initialising new SSH agent..."
 /usr/bin/ssh-agent | sed 's/^echo/#echo/' > "${SSH_ENV}"
 echo succeeded
 chmod 600 "${SSH_ENV}"
 . "${SSH_ENV}" > /dev/null
 /usr/bin/ssh-add; # add default id
 addAdditionSSHKey; # add addition ids
}

# Source SSH settings, if applicable

if [ -f "${SSH_ENV}" ]; then
 . "${SSH_ENV}" > /dev/null
 #ps ${SSH_AGENT_PID} doesn't work under cywgin
 ps -ef | grep ${SSH_AGENT_PID} | grep ssh-agent$ > /dev/null || {
 start_agent;
 }
else
 start_agent;
fi

其中addAdditionSSHKey可以配置你要加入的私钥,每次你加入新的私钥的后,都可以直接在新的会话窗口直接执行addAdditionSSHKey帮助你加入新的key

这个段shell会先判断~/.ssh目录下面存储的agent-environment环境变量信息是否存在,如果存在,说明之前已经启动了一个ssh-agent进程,只需要把它的变量export到当前的会话即可,如果没有,则启动一个新的ssh-agent,并把相关环境变量保存下来

这个agent-environment环境变量存储的信息大约如下,

SSH_AUTH_SOCK=/tmp/ssh-qyakUB3GkFmc/agent.9914; export SSH_AUTH_SOCK;
SSH_AGENT_PID=9916; export SSH_AGENT_PID;
#echo Agent pid 9916;

. "${SSH_ENV}" > /dev/null则个语句就是执行命令,把已经保存的环境变量export到当前的会话。

你可能感兴趣的:(多ssh key部署同一台server以及ssh-agent的最佳实践)