[英]How to decrypt passphrase-protected SSH key using Fabric and fabfile?
我在过程GettingStarted与面料2.4.0,我想不出一个优雅和安全的方式来解密我的SSH密钥将其传递到织物上。 我的代码如下:
#!/usr/bin/env python3
"""fabfile"""
from fabric import Connection
c = Connection('user@ip.address')
result = c.run('uname -s')
在这个简单的例子中,运行python fabfile.py
我得到错误:
File "/Users/user.name/GitHub/app_name/fabfile.py", line 6, in <module>
result = c.run('uname -s')
File "<decorator-gen-3>", line 2, in run
File "/Users/user.name/anaconda/envs/virtual_env/lib/python3.6/site-packages/fabric/connection.py", line 29, in opens
self.open()
File "/Users/user.name/anaconda/envs/virtual_env/lib/python3.6/site-packages/fabric/connection.py", line 615, in open
self.client.connect(**kwargs)
File "/Users/user.name/anaconda/envs/virtual_env/lib/python3.6/site-packages/paramiko/client.py", line 437, in connect
passphrase,
File "/Users/user.name/anaconda/envs/virtual_env/lib/python3.6/site-packages/paramiko/client.py", line 749, in _auth
raise saved_exception
File "/Users/user.name/anaconda/envs/virtual_env/lib/python3.6/site-packages/paramiko/client.py", line 720, in _auth
filename, pkey_class, passphrase
File "/Users/user.name/anaconda/envs/virtual_env/lib/python3.6/site-packages/paramiko/client.py", line 571, in _key_from_filepath
key = klass.from_private_key_file(key_path, password)
File "/Users/user.name/anaconda/envs/virtual_env/lib/python3.6/site-packages/paramiko/pkey.py", line 206, in from_private_key_file
key = cls(filename=filename, password=password)
File "/Users/user.name/anaconda/envs/virtual_env/lib/python3.6/site-packages/paramiko/rsakey.py", line 55, in __init__
self._from_private_key_file(filename, password)
File "/Users/user.name/anaconda/envs/virtual_env/lib/python3.6/site-packages/paramiko/rsakey.py", line 175, in _from_private_key_file
data = self._read_private_key_file("RSA", filename, password)
File "/Users/user.name/anaconda/envs/virtual_env/lib/python3.6/site-packages/paramiko/pkey.py", line 279, in _read_private_key_file
data = self._read_private_key(tag, f, password)
File "/Users/user.name/anaconda/envs/virtual_env/lib/python3.6/site-packages/paramiko/pkey.py", line 329, in _read_private_key
raise PasswordRequiredException("Private key file is encrypted")
paramiko.ssh_exception.PasswordRequiredException: Private key file is encrypted
python fabfile.py
是运行上述命令的可接受的语法吗?os.environ()
可以接受? 我在关于身份验证的文档中看到,Fabric 指出The connect_kwargs.passphrase config option is the most direct way to supply a passphrase to be used automatically.
但紧接着它说:
对此类材料使用实际的磁盘配置文件并不总是明智的,但请记住,配置系统能够从其他来源加载数据,例如您的 shell 环境甚至任意远程数据库。
从安全的角度来看,我担心以错误的方式设置它。 使用环境变量传递 ssh 密码是否足够安全? 如果是这样,让这个命令与加密的 SSH 密钥一起工作的工作代码片段是什么样的?
#!/usr/bin/env python3
"""fabfile"""
from fabric import Connection
c = Connection('user@ip.address')
result = c.run('uname -s')
在使用 CLI 选项执行命令之前,可以提示脚本用户输入 SSH 密钥的密码。
这负责合并转发给 Paramiko 的connect_kwargs
选项中的密码短语。
fab --prompt-for-passphrase <command>
上述方法的问题是每次运行命令时都必须输入密码。
按照文档中的建议,您可以在 shell 会话中导出环境变量。 例如
export SSH_PASSPHRASE="gongo-aso!"
然后可以从传递给Connection
对象的构造函数的connect_kwargs
选项中读取和使用它。
#!/usr/bin/env python3
"""fabfile"""
from os import getenv
from fabric import Connection
connect_kwargs = {
'passphrase': getenv('SSH_PASSPHRASE')
}
c = Connection('user@ip.address', connect_kwargs=connect_kwargs)
result = c.run('uname -s')
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.