Проверить authorized_keys, чтобы узнать, какой ключ использовался для нажатия фиксации

Question

Скажите, что имеется большой список открытых ключей ssh ​​в ~/.ssh/authorized_keys на сервере с репозиториями Git с общим форматом «user@mail.com»,

Я хочу написать сценарий bash для крюка pre-receive, который проверяет, какой ключ SSH использовался для толкания фиксации, а затем выполняет определенные операции над фиксацией до его получения. Таким образом, план сценария будет ..

#!/bin/sh 
# 
<Check key which was used from authorized_keys for the commit> 
<Print email corresponding to the SSH key to a file as a log> 
<Do some other stuff here> 

Но поскольку сервер хранит открытые ключи и закрытые ключи используются, чтобы раздвинуть фиксаций, можно проверить, какой ключ был использован? Если да, то как?

Извините, если мне не хватает чего-то очевидного, просто нужно какое-то направление, чтобы начать.

Любая помощь приветствуется, спасибо.

Answer 1

Вы можете отредактировать файл ~/.ssh/authorized_keys, чтобы включить переменную окружения или пользовательскую команду для запуска, связанные с каждым ключом.

Допустим, у вас есть следующие открытые ключи в файле authorized_keys:

ssh-rsa AAAA.... usera@hosta 
ssh-rsa AAAA.... usera@hostb 
ssh-rsa AAAA.... userb@hostc 

И вы хотите, чтобы быть в состоянии получить электронную почту пользователя, связанные с каждым из них. Вы можете редактировать authorized_keys вместо этого прочитать:

environment="EMAIL=usera@example.com" ssh-rsa AAAA.... usera@hosta 
environment="EMAIL=usera@example.com" ssh-rsa AAAA.... usera@hostb 
environment="EMAIL=userb@example.com" ssh-rsa AAAA.... userb@hostc 

Теперь в сценарии, вы можете просто получить доступ к EMAIL переменной:

#!/bin/sh 

sendmail "$EMAIL" <<EOF 
To: $EMAIL 
From: admin@example.com 

This is a test message 
EOF 

Обратите внимание, что этот механизм должен использоваться для удобства, если вы доверяете своим пользователям, а не безопасность, если вы хотите, чтобы это не могло быть искажено. Если вы хотите, чтобы это было безопасно, чтобы пользователи не могли вмешиваться в него, вам нужно использовать функцию принудительной команды, в которой весь доступ проходит через команду оболочки, которая позволяет запускать только определенные команды Git. Вы можете написать свой собственный обертку для этого, но если вы собираетесь спуститься по этому маршруту, то просто используйте gitolite, вероятно, лучшее решение. Если вы действительно хотели реализовать это, gitolite has a page explaining how it works.

Answer 2

Проблема заключается в том, что gitolite может использовать ключ SSH только потому, что он использует ssh "forced command" feature, который позволяет регистрировать (в ~/.ssh/authorized-keys) скрипт (the forced command), который будет работать независимо от того, какая команда вам первоначально указано.

Без этого, как указано в «Can I find out which ssh key was used to access an account?», вам нужно будет parse the sshd logs или модифицировать ~/.ssh/authorized-keys в некоторых отношениях (например, добавление environment variables).