terraform-mfaの `gpg --gen-key` がVSCode1.75以降で動かない

[gosaaan1]

Change (N)ame, (E)mail, or (O)kay/(Q)uit? O
We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
gpg: WARNING: server 'gpg-agent' is older than us (2.2.19 < 2.2.20)
gpg: Note: Outdated servers may lack important security fixes.
gpg: Note: Use the command "gpgconf --kill all" to restart them.
gpg: agent_genkey failed: Forbidden
Key generation failed: Forbidden

• コンテナ内の gpg-agent ではなく、ホスト(WSL)の gpg-agent にアクセスしようとしている。
• VSCode 1.75 以降で発生する。 (現象を確認したのは 1.76)
• Remote development の X11 & Wayland Forwardingが影響している？
• VSCode の設定変更で回避可能なのか不明。

[gosaaan1]

• うまく動作しているコンテナの Inspect。

  

• 現象が起こっているコンテナの Inspect。waylandのバインドマウントされているのが原因？

  

[gosaaan1]

…煮詰まってきたので、いったん現状整理。

[gosaaan1]

確認した挙動

• VSCode V1.74以前に作成したコンテナでは現象は起こらない。（VSCode V1.75以降でコンテナをリビルドすると現象が起こる）
• VSCode V1.75以降でubuntu:22.04のイメージをもとにコンテナを作成し、apt update && apt install -y gnupg passした直後は現象が起こらない。コンテナが一度でも停止すると現象が起こる。 ★必要なプロセスが落ちてない？

[gosaaan1]

★必要なプロセスが落ちてないか？

gpg が必要とするプロセス

• gpg --gen-key --verboseとやっても有益な情報が得られないので不明。
• gpg-agentを打つと、プロセスは生きているので、それ以外？
  • GnuPG for Windows : gpg-agent について

影響していそうなもの

1. VSCode Remote Containers で --privileged と /sbin/init を渡したコンテナで開発する方法

   • VSCode Remote Containers を使って開発する場合、Dockerfile を書いて「Reopen in Container」とすると Docker コンテナが起動しますが、この時 VSCode が docker run を実行します。 このため、何も気にせず公式の手順などを参考に起動すれば、--privileged オプションを付加できず、ENTRYPOINT に /sbin/init も渡せないため、コンテナで systemctl を実行できません。

   • --privilegedオプションはdevcontainer.jsonで"runArgs": ["--privileged"]を追加すればよい。
     • vs code docker adding run arguments like --privileged
     • Docker privileged オプションについて
     • 開発コンテナ メタデータ リファレンス
   • /sbin/initがうまく動かない。
     • docker "Couldn't find an alternative telinit implementation to spawn"
     • [8584 ms] postCreateCommand failed with exit code 1. Skipping any further user-provided commands. [8585 ms] Error: Command failed: /bin/sh -c /sbin/init
   • 【Docker】Ubuntuコンテナで「systemctl」を使うために「/sbin/init」で起動する方法

[gosaaan1]

https://github.com/gosaaan1/hokulea-garage/issues/3#issuecomment-1465057782 このチェックを外すとソケットバインドされなくなるが、現象は変わらず。 Dev Containers拡張機能>チュートリアル

[gosaaan1]

回避方法が見つかったので、メモ。

• 開発コンテナのリファレンスの『認証ヘルパー』を読む限りでは、既定の動作はローカル（ホストOS）側の資格情報を使うように書かれている。
  • 確かにコンテナごと／コンテナのリビルド毎にセットアップしなおすのは非効率だし、ホスト側で一括管理できる方が良さげ。
  • ポートフォワーディングが無効にできないのは上記仕様の動作から。
  • VSCodeが開発コンテナ起動時にgpg-agent設定を書き換えている、オプションで制御ができない。（ログに出てた）
  • 『GPG キーの共有』 にはローカルの資格情報をセットするための手順が記載されている。Gpg4Win+WSLでセットすれば、ローカルであるWindows側でパスフレーズを入力する形になる。
• terraform-mfaでは上記の方法は使えない(Win-WSL-Container)ので、devcontainer.jsonに以下の細工をして、ローカル側にフォワーディングできないようにすれば、V1.75以降でも同じ動作ができるようになる。

{
    "image": "terraform-mfa:22.202303",
    "postCreateCommand": "rm ~/.gnupg/S.gpg-agent* && gpg-connect-agent reloadagent /bye",
    "extensions": [
        "eamodio.gitlens",
        "hashicorp.terraform"
    ]
}