Go get 从私有 Git 服务器拉包失败:权限被拒(Permission denied)
根本原因不是 Go 本身不支持私有库,而是 go get 底层调用的是系统级的 git 命令,而该命令默认走 SSH 协议时依赖当前用户的 SSH Key 和 ssh-agent 配置。如果你的 git clone git@xxx:org/repo.git 在终端能成功,但 go get 失败,大概率是环境上下文不一致——比如用了非交互式 shell、容器里没加载 agent、或 Go 进程没继承 SSH_AUTH_SOCK。
- 确认
git命令本身是否真能走 SSH:在终端运行git ls-remote git@github.com:your-org/private-repo.git HEAD,看是否免密通过 - 检查
SSH_AUTH_SOCK是否存在且可访问:echo $SSH_AUTH_SOCK,再试ssh-add -l - 如果用 Docker 或 CI,必须显式挂载 socket(
-v $SSH_AUTH_SOCK:$SSH_AUTH_SOCK -e SSH_AUTH_SOCK=$SSH_AUTH_SOCK),否则 Go 进程完全看不到你的 key - 别指望
~/.ssh/config中的IdentityFile自动生效——git会读,但某些 Go 版本(尤其 1.18 之前)调用 git 时未继承完整环境,建议统一用ssh-agent管理
GO111MODULE=on 下 go get 仍走 HTTPS 而非 SSH
Go 默认按 import path 决定协议:看到 github.com 就走 HTTPS,看到 git@xxx 这种格式才走 SSH。但你写的是 import "git.example.com/org/repo",Go 不会自动转成 git@git.example.com:org/repo.git——它只是把域名当路径前缀,实际拉取时仍会尝试 HTTPS + GOPROXY,除非你明确配置了 git 的 URL 重写规则。
- 用
git config --global url."git@git.example.com:".insteadOf "https://git.example.com/"强制所有对该域名的 HTTPS 请求转为 SSH - 注意:这个配置对
go get有效,但仅限于 Go 调用git的场景;若设置了GOPROXY(如https://proxy.golang.org),私有库会被跳过,此时重写无效——必须关掉 GOPROXY 或加export GOPRIVATE=git.example.com -
GOPRIVATE必须包含完整域名,不支持通配符(*.example.com无效),子域名要单独列,比如GOPRIVATE=git.example.com,dev.git.example.com
使用 ssh-agent 时 key 加载失败:no such file or directory
常见于 macOS 或 Linux 上用 ssh-add ~/.ssh/id_rsa 报错,表面是文件不存在,实则是权限太松(比如 id_rsa 是 644)、或 key 格式不对(OpenSSH 8.8+ 默认禁用 PEM,只认新格式)、或 agent 没真正启动。
- 检查 key 权限:
chmod 600 ~/.ssh/id_rsa,chmod 700 ~/.ssh - 验证 key 格式:
head -n1 ~/.ssh/id_rsa,如果是-----BEGIN OPENSSH PRIVATE KEY-----就没问题;如果是-----BEGIN RSA PRIVATE KEY-----,可能被新版 OpenSSH 拒绝,可用ssh-keygen -p -f ~/.ssh/id_rsa -m pem转回兼容格式(谨慎操作) - macOS 上
ssh-agent可能被钥匙串接管,导致ssh-add -l看不到已存 key,试试ssh-add --apple-use-keychain ~/.ssh/id_rsa - 别用
eval $(ssh-agent)启动新 agent——这会覆盖原有 socket,反而断开已加载的 key;直接用现有SSH_AUTH_SOCK
CI/CD 中硬编码 SSH Key 的风险与替代方案
把私钥写进脚本或环境变量(哪怕 base64 编码)等于裸奔。GitHub Actions、GitLab CI 等平台提供 secrets 注入机制,但要注意:secrets 默认不会传给子 shell 或 docker 容器,且不能用于 git 的 SSH 流程,除非手动注入到 ~/.ssh/ 并 chmod。
立即学习“go语言免费学习笔记(深入)”;
- GitHub Actions 推荐用
webfactory/ssh-agentaction,它自动 setup agent 并注入 secrets,比手写echo "$SSH_KEY" | ssh-add -更可靠 - GitLab CI 中,用
before_script创建临时 key 文件后,必须立即chmod 600,否则ssh拒绝读取 - 更安全的做法是弃用 SSH,改用 Personal Access Token(PAT)配合 HTTPS:设置
git config --global url."https://<token>@git.example.com/".insteadOf "https://git.example.com/"</token>,token 权限最小化(只给 read_package) - Go 1.21+ 支持
git凭据 helper,可通过git config --global credential.helper store配合 CI 的git config --global credential.helper '!f() { echo "username=git"; echo "password=<token>"; }; f'</token>实现无密认证
最麻烦的从来不是配对 SSH Key,而是让 Go、git、shell、agent、CI 运行时环境在同一个信任上下文中对齐——少一个环节,就卡在 “Permission denied” 里出不来。
