在AWS自托管Runner上解决setup-php扩展安装失败问题

问题背景

在使用shivammathur/setup-php项目为PHP环境配置扩展时，部分用户在AWS CodeBuild标准7.0容器（基于Ubuntu 22.04）的自托管Runner上遇到了扩展安装失败的问题。错误表现为在执行add_extensions.sh脚本时出现"semver: parameter null or not set"的错误提示。

错误现象

当用户尝试安装多个PHP扩展（如mbstring、json、pdo、redis等）时，虽然部分基础扩展能够成功安装，但在处理某些扩展时会突然失败。从日志中可以看到，系统在处理redis扩展时已经完成了安装和配置，但在后续检查阶段出现了参数为空的错误。

根本原因分析

经过深入排查，发现这个问题主要与自托管Runner的执行权限配置有关。在AWS CodeBuild环境中，默认的执行用户可能不具备完整的sudo权限，或者sudo操作需要密码验证。而setup-php项目在执行过程中需要临时获取root权限来完成PHP扩展的安装和配置。

具体来说，错误发生在脚本尝试使用semver函数进行版本比较时，由于权限不足导致某些系统调用失败，进而使得参数传递出现问题。

解决方案

要彻底解决这个问题，需要为运行GitHub Actions Runner的用户配置正确的权限：

1. 创建一个专用用户（如runner用户）：

adduser --disabled-password --gecos '' runner

2. 将该用户加入sudo组：

usermod -aG sudo runner

3. 确保该用户的主目录存在且具有适当权限：

mkdir -m 777 -p /home/runner

4. 配置sudoers文件以允许无密码sudo操作：

sed -i 's/%sudo\s.*/%sudo ALL=(ALL:ALL) NOPASSWD : ALL/g' /etc/sudoers

实施建议

1. 在配置自托管Runner时，建议专门为CI/CD流程创建一个独立的系统用户，而不是使用默认的root或管理员账户。

2. 权限配置完成后，建议测试基本的sudo命令是否能够无需密码执行，例如：

sudo -u runner sudo echo "test"

3. 对于AWS CodeBuild环境，可以在构建规范(buildspec)的安装阶段预先执行这些权限配置命令。

4. 如果组织安全策略不允许无密码sudo，可以考虑配置特定的命令白名单，仅允许runner用户无需密码执行必要的PHP安装和配置命令。

总结