Docker raspberry pi在构建时克隆私人bitbucket git repo

Question

我正在尝试使用docker和watchtower构建OTA（无线）更新机制。我是linux和Docker的新手。我想我将使用显示的技术here。我认为bitbucket ssh密钥存储在主机（rpi）中，我将把这些密钥复制到容器中。我想知道的是;因为我的rpi设备将在我的客户手中。

1. 我是否理解了“存储在主机中的bitbucket ssh密钥（rpi）”这个概念，我将把这些密钥复制到容器中。“
2. 如果1.会以这种方式发生。我的ssh密钥安全吗？它将存储在每个设备中，我将交付客户。

Answer 1

需要在每个rpi上使用SSH私钥，并且需要将相应的公钥添加到Bitbucket存储库中。

如果私钥被泄露 - 这是可能的，如果您在任何地方分发它 - 那么潜在的损害将取决于您放置公钥的位置。你可以通过以下几点来减轻这种潜在的伤害：

1. 仅为此特定目的使用此密钥对。
2. 将公钥添加为＆＃34;访问密钥＆＃34;只是需要它的回购。访问键在Bitbucket中是只读的，因此如果/当私钥被泄露时，攻击者将能够读取（但不能修改）代码。
3. 如果您没有很多客户使用此特定内容，请考虑为每个客户创建不同的密钥（以便您可以根据需要撤消对特定客户或设备的访问权限） 。但是，这可能会变得难以维持。