11 KiB
🚀 用於 GitHub Actions 的 SSH
GitHub Action for executing remote ssh commands.
輸入變數
更詳細的資訊,請參閱 action.yml。
host
- SSH 主機port
- SSH 連接埠,預設為22
username
- SSH 使用者名稱password
- SSH 密碼passphrase
- 通常用於加密私鑰的 passphrasesync
- 同步執行多個主機上的命令,預設為 falsetimeout
- SSH 連接到遠端主機的超時時間,預設為30s
command_timeout
- SSH 命令超時時間,預設為 10mkey
- SSH 私鑰的內容,例如 ~/.ssh/id_rsa 的原始內容,請記得包含 BEGIN 和 END 行key_path
- SSH 私鑰的路徑fingerprint
- 主機公鑰的 SHA256 指紋,預設為略過驗證script
- 執行命令script_file
- 執行命令的文件script_stop
- 當出現第一個錯誤時停止執行命令envs
- 傳遞環境變數到 shell scriptdebug
- 啟用偵錯模式use_insecure_cipher
- 使用不安全的密碼(ciphers)進行加密,參見 #56cipher
- 允許使用的密碼(ciphers)演算法。如果未指定,則使用適當的演算法
SSH 代理設置:
proxy_host
- 代理主機proxy_port
- 代理端口,預設為22
proxy_username
- 代理使用者名稱proxy_password
- 代理密碼proxy_passphrase
- 密碼通常用於加密私有金鑰proxy_timeout
- SSH 連線至代理主機的逾時時間,預設為30s
proxy_key
- SSH 代理私有金鑰內容proxy_key_path
- SSH 代理私有金鑰路徑proxy_fingerprint
- 代理主機公鑰的 SHA256 指紋,預設為跳過驗證proxy_use_insecure_cipher
- 使用不安全的加密方式,請參閱 #56proxy_cipher
- 允許的加密算法。如果未指定,則使用合理的算法
使用方式
執行遠端 SSH 命令
name: remote ssh command
on: [push]
jobs:
build:
name: Build
runs-on: ubuntu-latest
steps:
- name: executing remote ssh commands using password
uses: appleboy/ssh-action@v1.2.0
with:
host: ${{ secrets.HOST }}
username: ${{ secrets.USERNAME }}
password: ${{ secrets.PASSWORD }}
port: ${{ secrets.PORT }}
script: whoami
畫面輸出
======CMD======
whoami
======END======
out: ***
===============================================
✅ Successfully executed commands to all hosts.
===============================================
設置 SSH 金鑰
請在創建 SSH 金鑰並使用 SSH 金鑰時遵循以下步驟。最佳做法是在本地機器上創建 SSH 金鑰而不是遠端機器上。請使用 Github Secrets 中指定的用戶名登錄。生成 RSA 金鑰:
生成 RSA 金鑰
ssh-keygen -t rsa -b 4096 -C "your_email@example.com"
生成 ed25519 金鑰
ssh-keygen -t ed25519 -a 200 -C "your_email@example.com"
將新生成的金鑰添加到已授權的金鑰中。詳細了解已授權的金鑰請點擊此處.
將 RSA 金鑰添加到已授權金鑰中
cat .ssh/id_rsa.pub | ssh b@B 'cat >> .ssh/authorized_keys'
將 ed25519 金鑰添加到已授權金鑰中
cat .ssh/id_ed25519.pub | ssh b@B 'cat >> .ssh/authorized_keys'
複製私鑰內容,然後將其粘貼到 Github Secrets 中。
複製 rsa 私鑰內容
clip < ~/.ssh/id_rsa
複製 ed25519 私鑰內容
clip < ~/.ssh/id_ed25519
有關無需密碼登錄 SSH 的詳細信息,請參見該網站。
來自讀者的注意事項: 根據您的 SSH 版本,您可能還需要進行以下更改:
- 將公鑰放在
.ssh/authorized_keys2
中 - 將
.ssh
的權限更改為700 - 將
.ssh/authorized_keys2
的權限更改為640
如果你使用的是 OpenSSH
如果您正在使用 OpenSSH,並出現以下錯誤:
ssh: handshake failed: ssh: unable to authenticate, attempted methods [none publickey]
請確保您所選擇的密鑰演算法得到支援。在 Ubuntu 20.04 或更高版本上,您必須明確允許使用 SSH-RSA 演算法。請在 OpenSSH 守護進程文件中添加以下行(它可以是 /etc/ssh/sshd_config
或 /etc/ssh/sshd_config.d/
中的一個附著文件):
CASignatureAlgorithms +ssh-rsa
或者,Ed25519
密鑰在 OpenSSH 中默認被接受。如果需要,您可以使用它來替代 RSA。
ssh-keygen -t ed25519 -a 200 -C "your_email@example.com"
Example
使用密碼執行遠端 SSH 命令
- name: executing remote ssh commands using password
uses: appleboy/ssh-action@v1.2.0
with:
host: ${{ secrets.HOST }}
username: ${{ secrets.USERNAME }}
password: ${{ secrets.PASSWORD }}
port: ${{ secrets.PORT }}
script: whoami
使用私鑰
- name: executing remote ssh commands using ssh key
uses: appleboy/ssh-action@v1.2.0
with:
host: ${{ secrets.HOST }}
username: ${{ secrets.USERNAME }}
key: ${{ secrets.KEY }}
port: ${{ secrets.PORT }}
script: whoami
多個命令
- name: multiple command
uses: appleboy/ssh-action@v1.2.0
with:
host: ${{ secrets.HOST }}
username: ${{ secrets.USERNAME }}
key: ${{ secrets.KEY }}
port: ${{ secrets.PORT }}
script: |
whoami
ls -al
Commands from a file
- name: file commands
uses: appleboy/ssh-action@v1.2.0
with:
host: ${{ secrets.HOST }}
username: ${{ secrets.USERNAME }}
key: ${{ secrets.KEY }}
port: ${{ secrets.PORT }}
script_path: scripts/script.sh
多台主機
- name: multiple host
uses: appleboy/ssh-action@v1.2.0
with:
- host: "foo.com"
+ host: "foo.com,bar.com"
username: ${{ secrets.USERNAME }}
key: ${{ secrets.KEY }}
port: ${{ secrets.PORT }}
script: |
whoami
ls -al
多個不同端口的主機
- name: multiple host
uses: appleboy/ssh-action@v1.2.0
with:
- host: "foo.com"
+ host: "foo.com:1234,bar.com:5678"
username: ${{ secrets.USERNAME }}
key: ${{ secrets.KEY }}
script: |
whoami
ls -al
在多個主機上同步執行
- name: multiple host
uses: appleboy/ssh-action@v1.2.0
with:
host: "foo.com,bar.com"
+ sync: true
username: ${{ secrets.USERNAME }}
key: ${{ secrets.KEY }}
port: ${{ secrets.PORT }}
script: |
whoami
ls -al
將環境變量傳遞到 Shell 腳本
- name: pass environment
uses: appleboy/ssh-action@v1.2.0
+ env:
+ FOO: "BAR"
+ BAR: "FOO"
+ SHA: ${{ github.sha }}
with:
host: ${{ secrets.HOST }}
username: ${{ secrets.USERNAME }}
key: ${{ secrets.KEY }}
port: ${{ secrets.PORT }}
+ envs: FOO,BAR,SHA
script: |
echo "I am $FOO"
echo "I am $BAR"
echo "sha: $SHA"
在 env
對象中,您需要將每個環境變量作為字符串傳遞,傳遞 Integer
數據類型或任何其他類型可能會產生意外結果。
在第一次失敗後停止腳本
ex: missing
abc
folder
- name: stop script if command error
uses: appleboy/ssh-action@v1.2.0
with:
host: ${{ secrets.HOST }}
username: ${{ secrets.USERNAME }}
key: ${{ secrets.KEY }}
port: ${{ secrets.PORT }}
+ script_stop: true
script: |
mkdir abc/def
ls -al
畫面輸出:
======CMD======
mkdir abc/def
ls -al
======END======
2019/11/21 01:16:21 Process exited with status 1
err: mkdir: cannot create directory ‘abc/def’: No such file or directory
##[error]Docker run failed with exit code 1
如何使用 ProxyCommand
連接遠程服務器?
+--------+ +----------+ +-----------+
| Laptop | <--> | Jumphost | <--> | FooServer |
+--------+ +----------+ +-----------+
在您的 ~/.ssh/config
文件中,您會看到以下內容。
Host Jumphost
HostName Jumphost
User ubuntu
Port 22
IdentityFile ~/.ssh/keys/jump_host.pem
Host FooServer
HostName FooServer
User ubuntu
Port 22
ProxyCommand ssh -q -W %h:%p Jumphost
如何將其轉換為 GitHubActions 的 YAML 格式?
- name: ssh proxy command
uses: appleboy/ssh-action@v1.2.0
with:
host: ${{ secrets.HOST }}
username: ${{ secrets.USERNAME }}
key: ${{ secrets.KEY }}
port: ${{ secrets.PORT }}
+ proxy_host: ${{ secrets.PROXY_HOST }}
+ proxy_username: ${{ secrets.PROXY_USERNAME }}
+ proxy_key: ${{ secrets.PROXY_KEY }}
+ proxy_port: ${{ secrets.PROXY_PORT }}
script: |
mkdir abc/def
ls -al
如何保護私鑰?
密碼短語通常用於加密私鑰。這使得攻擊者無法單獨使用密鑰文件。文件泄露可能來自備份或停用的硬件,黑客通常可以從受攻擊系統中洩露文件。因此,保護私鑰非常重要。
- name: ssh key passphrase
uses: appleboy/ssh-action@v1.2.0
with:
host: ${{ secrets.HOST }}
username: ${{ secrets.USERNAME }}
key: ${{ secrets.KEY }}
port: ${{ secrets.PORT }}
+ passphrase: ${{ secrets.PASSPHRASE }}
script: |
whoami
ls -al
使用主機指紋驗證
設置 SSH 主機指紋驗證可以幫助防止中間人攻擊。在設置之前,運行以下命令以獲取 SSH 主機指紋。請記得將 ed25519
替換為您的適當金鑰類型(rsa
、 dsa
等),而 example.com
則替換為您的主機。
現代 OpenSSH 版本中,需要提取的_默認金鑰_類型是 rsa
(從版本 5.1 開始)、ecdsa
(從版本 6.0 開始)和 ed25519
(從版本 6.7 開始)。
ssh example.com ssh-keygen -l -f /etc/ssh/ssh_host_ed25519_key.pub | cut -d ' ' -f2
現在您可以調整您的配置:
- name: ssh key passphrase
uses: appleboy/ssh-action@v1.2.0
with:
host: ${{ secrets.HOST }}
username: ${{ secrets.USERNAME }}
key: ${{ secrets.KEY }}
port: ${{ secrets.PORT }}
+ fingerprint: ${{ secrets.FINGERPRINT }}
script: |
whoami
ls -al
貢獻
我們非常希望您為 appleboy/ssh-action
做出貢獻,歡迎提交請求!
授權方式
本項目中的腳本和文檔采用 MIT 許可證 發布。