Упростить доступ к ssh-ключам при сборке

[alexey-igrychev]

Как релиз-инженер приложения, я хочу чтобы ssh-ключи были доступны под любым пользователем в сборочном контейнере, а не только под пользователем root, чтобы упростить и сделать более универсальными правила сборки образов.

[distorhead]

Насколько удалось выяснить с доступом к ключам ssh-agent из под произвольного пользователя: нельзя. Доступ разрешен только root или пользователю, который запустил ssh-agent: https://github.com/openssh/openssh-portable/blob/master/ssh-agent.c#L854.

Варианты:

• Помимо ssh-auth-sock пробрасывать в контейнер те ключи, которые указали через опции ssh-key, просто как файлы, а дальше уже пользователь сам разберется
  • Если не использовали ssh-key, а использовали уже запущенный ssh-agent — тогда непонятно что делать — получается не очень прозрачная схема.
• Написать proxy-демон с подключением через файловый socket, который на каждое подключение к оригинальному ssh-agent притворяется тем пользователем, под которым запущен оригинальный ssh-agent, или подключается тупо как root
  • Запускать этот демон в сборочном контейнере перед запуском инструкций по сборке образа
  • Демон будет работать под root