解决docker-github-actions-runner中私钥读取问题

在docker-github-actions-runner项目中，用户在使用应用私钥注册runner时遇到了一个关键问题。本文将深入分析该问题的原因，并提供专业的技术解决方案。

问题背景

当用户尝试使用应用私钥注册runner时，系统报错"Could not read private key from /dev/fd/63"。这个问题在Ubuntu 24.04系统上出现，使用的环境包括：

• GNU Bash 5.2.21
• OpenSSL 3.0.13

技术分析

问题的根源在于app_token.sh脚本中处理私钥的方式存在缺陷。原代码使用了Bash的进程替换功能(<())，它会创建一个文件描述符而不是直接传递私钥内容。这在OpenSSL处理时会导致读取失败。

具体来说，原代码中的以下部分存在问题：

openssl dgst -binary -sha256 -sign <(echo "$1")

这种写法试图通过进程替换将私钥内容传递给openssl命令，但实际上openssl期望的是一个文件路径而非文件描述符。

解决方案

经过分析，正确的做法应该是直接将私钥文件路径作为参数传递给openssl命令。以下是改进后的代码实现：

rsa256_sign() {
  openssl dgst -binary -sha256 -sign $1
}

或者更明确地使用局部变量：

rsa256_sign() {
  local PRIVATE_KEY_PATH=$1
  openssl dgst -binary -sha256 -sign $PRIVATE_KEY_PATH
}

使用方法

改进后，用户需要将私钥文件路径作为参数传递给脚本：

bash app_token.sh /path/to/private_key.pem

技术要点

1. 进程替换与文件描述符：Bash的<()会创建一个临时文件描述符(/dev/fd/63)，而openssl期望的是常规文件路径。

2. OpenSSL参数处理：openssl的-sign参数需要直接的文件路径输入，不能正确处理文件描述符。

3. 变量作用域：在函数内部使用局部变量(local)可以避免变量污染全局命名空间。

4. 安全性考虑：直接传递文件路径比通过进程替换更安全可靠，减少了中间处理环节可能带来的问题。

这个改进不仅解决了当前的问题，也使代码更加清晰和易于维护，是更符合Unix哲学的实现方式。