SSH no permite el uso de una clave con permisos de lectura grupal

Tengo un servidor git de desarrollo que se implementa en un servidor en vivo cuando livese empuja la rama. Cada usuario tiene su propio inicio de sesión y, por lo tanto, el post-receiveenlace que realiza la implementación en vivo se ejecuta bajo su propio usuario.

Como no quiero tener que mantener las claves públicas de los usuarios como claves autorizadas en el servidor remoto activo, he creado un conjunto de claves que 'pertenecen al sistema git para agregar a servidores remotos en vivo (en el post-receivegancho que estoy usando $GIT_SSHconfigurar la clave privada con la -iopción).

Mi problema es que, debido a que todos los usuarios pueden querer implementar para vivir, la clave privada del sistema git debe ser al menos legible en grupo y a SSH realmente no le gusta esto.

Aquí hay una muestra del error:

XXXX@XXXX /srv/git/identity % ssh -i id_rsa XXXXX@XXXXX
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0640 for 'id_rsa' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
bad permissions: ignore key: id_rsa

He mirado a mi alrededor esperando encontrar algo que obligue a ssh a seguir adelante con la conexión, pero no he encontrado nada más que personas que dicen ciegamente que no debes permitir el acceso a nada más que a un solo usuario.

Aquí hay una buena manera simple y segura.

Crea un nuevo usuario para la transferencia ssh, lo llamaré git-sync. Cree un usuario similar en el servidor con membresía de grupo para el repositorio git. Agregue la clave pública para sync-user en el archivo de ese usuario users_keys2. Supongo que los usuarios de git son todos miembros del grupo git. Asegúrese de que el usuario git-sync también sea miembro de este grupo.

Ahora edite su archivo / etc / sudoers para incluir una línea como:

%gitgroup ALL=(git-sync) NOPASSWD: /usr/bin/git

Esto permitirá que cualquier miembro del grupo gitgroup ejecute el comando / usr / bin / bit como git-sync sin contraseña.

Ahora ponga algo como esto en su gancho posterior a la recepción:

sudo -u git-sync /usr/bin/git push origin

Usted PUEDE utilizar archivos de identidad legibles grupo, a menos que usted es el propietario de la clave. Entonces, simplemente configure el archivo de identidad para que sea propiedad, por ejemplo, del usuario raíz y luego todos los usuarios de su repositorio git estén listos para funcionar.

Una buena ventaja de esto es que no necesita sudo: la solución será más simple.

Tenga en cuenta que esto se encontrará nuevamente con el problema original si está utilizando root para enviarlo a su repositorio de git.

Permissions 0640 for 'id_rsa' are too open.

La clave privada debe permanecer privada. No debe permitir que nadie lo lea.

Como no quiero tener que mantener las claves públicas de los usuarios como claves autorizadas en el servidor remoto activo, he creado un conjunto de claves que 'pertenecen al sistema git para agregar a servidores remotos en vivo (en el post-receivegancho que estoy usando $GIT_SSHconfigurar la clave privada con la -iopción).

1. configurar un par de claves para ssh desde el desarrollador hasta el servidor de producción

2. en el post-receivescript de gancho, intente algo como esto:

   if [ "live" == "$branch" ]; then
       ssh -t user@prod "git --work-tree=... --git-dir=... checkout -f"
   fi