解决appleboy/ssh-action中key.pem权限问题的最佳实践

在使用appleboy/ssh-action进行SSH自动化部署时，密钥文件的权限设置是一个常见但容易被忽视的问题。许多开发者会遇到"getKeyFile error: open key.pem: permission denied"的错误提示，这通常是由于密钥文件权限配置不当导致的。

问题本质分析

SSH协议对密钥文件有严格的安全要求，这是出于安全考虑的设计。当密钥文件的权限设置过于宽松时，SSH客户端会拒绝使用该密钥进行连接。在Unix/Linux系统中，私钥文件(如key.pem)的推荐权限是600(即只有所有者有读写权限)。

解决方案

对于使用appleboy/ssh-action的项目，有以下几种解决方案：

1. 直接设置正确权限： 在执行SSH操作前，使用chmod命令修改密钥文件权限：

   chmod 0600 key.pem
   

2. 使用最新版本： 尝试使用action的主分支版本，可能已经包含了更完善的权限处理逻辑：

   uses: appleboy/ssh-action@master
   

3. 将密钥存入GitHub Secrets： 更安全的做法是将密钥内容存入GitHub Secrets，然后在workflow中动态创建密钥文件并设置权限：

   - name: Create SSH key file
     run: |
       echo "${{ secrets.SSH_PRIVATE_KEY }}" > key.pem
       chmod 0600 key.pem
   

深入理解

为什么SSH对密钥文件权限如此严格？这是为了防止潜在的安全风险。如果其他用户或进程可以读取你的私钥文件，他们可能冒充你进行SSH连接。因此，SSH客户端会主动检查密钥文件权限，并在权限不当时拒绝使用。

在GitHub Actions环境中，工作流文件中的密钥处理需要特别注意：

• 直接检入到仓库的密钥文件可能已经具有错误的权限
• 临时生成的文件默认权限可能不符合SSH要求
• 不同运行环境(如Linux/macOS/Windows)对权限的处理可能不同

最佳实践建议

1. 永远不要将真实的私钥直接提交到代码仓库
2. 使用GitHub Secrets存储敏感信息
3. 在workflow中显式设置密钥文件权限
4. 考虑使用临时密钥对，部署完成后立即撤销
5. 定期轮换使用的密钥

通过遵循这些原则，可以既保证自动化部署的顺畅进行，又确保系统的安全性不受影响。