我有一台服务器,需要使用我在 github 上托管的两个 git 存储库的内容进行设置。我现在想将服务器的 ssh key 作为部署 key 添加到 github 上的两个项目。
不幸的是,我收到一条错误消息,提示 Key is already in use,根据 this github page是因为我无法将部署 key 添加到多个存储库。
虽然我真的很想知道;为什么这是个问题?为什么一台服务器不能访问多个存储库?他们在这里试图降低的风险是什么?
最佳答案
您所链接的 GitHub 页面上的描述并不完全正确。事实上,您可以对许多不同的 GitHub 存储库使用相同的 ssh key 。你不能做的是对许多存储库使用一个 ssh key 和 作为他们所谓的“部署 key ”,也不能像某些 使用相同 ssh key 其他用户。
这里发生的事情是 GitHub 的 ssh 服务器将传入的 key 分为两种类型之一:
- 一个帐户 key ,它以您的身份对传入连接进行身份验证。然后,您可以访问一些广泛(或狭窄)的存储库,由每个存储库的“具有访问权限的帐户”设置控制。也就是说,关键本身就是他们如何知道您是
kramer65(或您的帐户实际名称)。 - 部署 key ,用于验证传入连接是否有权访问一个特定存储库。也就是说,不涉及“帐户”:它只是一个 key ,附加到一个特定的存储库。
也有“机器用户”,但那是一种账户形式;我不确定 GitHub 是否在内部将这些与常规帐户 key 区分开来。因为它们类似于帐户而不是部署 key ,所以您可以授予它们访问许多不同存储库的权限。 (这可能是您想要的。)
I really wonder though; why is this a problem? Why can't one server have access to several repo's? What's the risk they're trying mitigate here?
他们并没有真正保护这里的任何东西。他们只是让您在 GitHub 上保存这一个额外的 key ,并且为了(您的)方便,无需费心创建帐户即可。为了(他们)的方便,他们将这个额外的 key 附加到一个存储库,这让他们的 ssh 服务器——或者实际上,在 key 验证后它背后的东西,即“登录 shell”——查找一个允许的存储库无需先通过“帐户”表进行间接访问。当传入的 key 是帐户(或机器用户) key 时,他们的 ssh 服务器或它后面的东西必须在这个辅助表中查找,以找到一组允许的存储库。
参见 https://developer.github.com/guides/managing-deploy-keys/#deploy-keys了解详情。
(没有理论上的理由,他们不能允许部署 key 自动创建一个其他匿名的“机器用户”,然后自动添加到每个存储库,或从中删除,因为你会喜欢。但是,这对他们没有任何好处,因为机器用户已经存在,并且执行相同的功能。他们可以尝试将其作为安全功能旋转,因为它让你知道“嘿,那个 key 已经对我来说意味着什么”......但是如果你有那把 key 并且 不应该 有那把 key ,你现在可以找出那把 key 实际上解锁了什么,如果有的话有点反-安全性。另一方面,如果您应该拥有该 key ,而只是忘记了它解锁了您的哪个存储库,这会使系统对您来说非常困难。这是任何安全系统的典型特征虽然:你做得越安全,实际使用起来就越不方便。)
关于git - 为什么我不能在多个 github 存储库上使用一个 ssh key ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40515569/