New FAMILUG

The PyMiers

Wednesday 22 November 2017

Vượt qua giới hạn 1 deploy key của GitHub

GitHub cho phép gắn`SSH  deploy key` vào từng repo, giúp ta có thể clone repo đó về để deploy (cài đặt chạy thật). Thế nhưng mỗi key chỉ được gắn vào 1 repo duy nhất.
Đây là giới hạn rất khó chịu nếu trên 1 máy tính (máy chủ) bạn cần clone về nhiều hơn 1 repo.

Giải pháp tiêu chuẩn GitHub đưa ra là người dùng cần tạo 1 tài khỏan khác, gắn key vào, rồi add tài khỏan đó vào các repo. Như vậy tài khỏan này đóng vai trò như 1 người dùng bình thường, 1 key có thể clone nhiều repo. Xem thêm giải pháp này ở help của GitHub

Vậy nếu không tạo được tài khỏan (bạn không phải admin) thì làm sao có thể clone nhiều repo?
...
...
...

Đây là một giải pháp khá "hack", đòi hỏi có hiểu biết chi tiết về SSH, và hơi "không đẹp".

Trước tiên, cần biết rằng khi ssh sử dụng private key, SSH client sẽ thử lần lượt theo thứ tự sau:

(output của ssh XXX -vvv)
debug2: key: /home/hvn/.ssh/id_rsa (0x5627468940f0), agent
debug2: key: /home/hvn/.ssh/id_dsa ((nil))
debug2: key : /home/hvn/.ssh/id_ecdsa ((nil))
debug2: key: /home/hvn/.ssh/id_ed25519 ((nil))

Nó sẽ thử lần lượt các file key ở trên, theo thứ tự.
Các key khác nhau được tạo bằng các option khác nhau của `ssh-keygen -t`, mặc định là rsa -> tạo ra file id_rsa.

Vì giới hạn của GitHub là mỗi deploy key 1 repo, ta có 4 key ở đây, và có thể sử dụng cho 4 repo khác nhau... Vậy chỉ cần tạo ra đủ 4 key và add vào 4 repo khác nhau?

Như vậy là đúng, nhưng chưa đủ.
Vì khi chạy `git clone git@github.com...`, git sẽ dùng ssh, ssh tìm thấy key nào đầu tiên thì nó dùng key đó, vậy nên nó luôn dùng id_rsa (giả sử đã gắn vào repo A) nếu nó tồn tại. Vậy nên nó không bao giờ sử dụng id_dsa (găn vào repo B), và bạn không bao giờ clone được repo B về.

Dưạ vào cách họat động của ssh client, ta có thể "tạm thời" chuyển id_rsa đi, khi đó ssh sẽ tìm đến key tiếp theo (id_dsa) và ta sẽ lấy được repo B.

Tương tự, "tạm chuyển" các key đi chỗ khác, ta sẽ sử dụng được các loại key khác nhau - ứng với các repo khác nhau.

Cách làm này không đẹp, rất "hacky", chỉ giới hạn tới vài repo (bằng số lượng key khác loại) - nhưng là giải pháp hoạt động khi bạn không thể tạo một github account mới.

PS: GitLab không có giới hạn này, 1 deploy key có thể sử dụng trên nhiều repo.

Hết.
HVN at http://www.familug.org/ and http://pymi.vn

Đăng ký học #Python tại https://pymi.vn/
Nhập email vào http://invite.pymi.vn/ để nhận thư mời tham gia forum hỏi đáp Python, Django, Golang, Linux ...

No comments:

Post a Comment