我有一堆运行 Ubuntu 20.04 服务器的树莓派,我希望通过 Git 以非交互方式自动更新。
该脚本执行以下操作:
eval "$(ssh-agent -s)" ; ssh-add /home/michael/.ssh/terminal_github_deploy_key ; git -C /home/michael/terminal/src pull
该脚本实际上是用 Python 编写的,但其作用与上面相同:
cmds = []
cmds.append('eval "$(ssh-agent -s)"')
cmds.append(f'ssh-add {HOME_DPATH}/.ssh/terminal_github_deploy_key')
cmds.append(f'git -C {CHECKOUT_DPATH} pull')
cmd = ' ; '.join(cmds)
subprocess.check_call(cmd, shell=True)
除了引发此交互式警告之外,它工作正常:
The authenticity of host 'github.com (140.82.121.3)' can't be established.
ECDSA key fingerprint is SHA256:...
Are you sure you want to continue connecting (yes/no/[fingerprint])?
根据研究,出于安全原因,它故意不接受管道(因此yes | ...不起作用)。我不确定是什么引发了警告,我猜测是 SSH,被 Git 调用,但不知道如何忽略它?我不必使用,ssh-add但这就是我设法让它工作的方式。
答案1
无需编写类似的另一个脚本预计,当你处于香草。
最简单的方法是添加Github 主机密钥到
.ssh/known_hosts
编辑:由于有很多服务器,这是不可能的,该站点上的内容不是单独的主机密钥
否则,您也许可以使用GitPython自动化
答案2
与上面 @Wieland 的答案类似,但稍微好一些 - 您可以请求 SSH 在尝试连接之前获取公钥,而不是禁用脚本主机密钥检查:
$ export MACHINE_IP=...
$ ssh-keyscan "$MACHINE_IP" | tee -a ~/.ssh/known_hosts
$ ./path/to/script
这就是我设置需要 SSH 访问(例如 Ansible)的 CICD 工作流程的方式。在这种情况下,IP 是静态的,因此我将其存储在某处,并让 CICD 管道~/.ssh/known_hosts在运行脚本之前将它们添加到文件中。
我相信您甚至可以使用 FQDN 而不是 IP 地址,但是您必须注意任何可能导致您的主机解析为多个 IP 地址的动态 DNS 行为(无论是现在还是将来)
答案3
您可以通过设置禁用 SSH-through-git 的主机密钥验证StrictHostKeyChecking=no:
此选项强制用户手动添加所有新主机。如果此标志设置为“否”,ssh 将自动将新的主机密钥添加到用户已知的主机文件中。
(从ssh 配置(5))。如果您像git -c core.sshCommand='ssh -o StrictHostKeyChecking=no' pullSSH 命令一样调用 git,git 会将该标志传递给 SSH。