Windows SSH: le autorizzazioni per "chiave privata" sono troppo aperte

Ho OpenSSH 7.6 installato in Windows 7 a scopo di test. Il client e il server SSH funzionano bene fino a quando ho provato ad accedere a una delle mie scatole AWS EC2 da questa finestra.

Sembra che debba modificare l'autorizzazione sul file della chiave privata. Questo può essere fatto facilmente su unix / linux conchmod comando.

Che dire di Windows?

private-key.ppm viene copiato direttamente da AWS e immagino che anche l'autorizzazione.

C:\>ssh -V
OpenSSH_7.6p1, LibreSSL 2.5.3

C:\>ver

Microsoft Windows [Version 6.1.7601]

C:\>


C:\>ssh ubuntu@192.168.0.1 -i private-key.ppk
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions for 'private-key.ppk' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "private-key.ppk": bad permissions
ubuntu@192.168.0.1: Permission denied (publickey).

C:\>
C:\>
C:\>ssh ubuntu@192.168.0.1 -i private-key.ppm
Warning: Identity file private-key.ppm not accessible: No such file or directory.
ubuntu@192.168.0.1: Permission denied (publickey).

C:\>

Individua il file in Esplora risorse, fai clic destro su di esso e seleziona "Proprietà". Passare alla scheda "Sicurezza" e fare clic su "Avanzate".

Cambia il proprietario per te, disabilita l'eredità ed elimina tutte le autorizzazioni. Quindi concediti "Controllo completo" e salva le autorizzazioni. Ora SSH non si lamenterà più del permesso di file troppo aperto.

Dovrebbe finire così:

Le chiavi devono essere accessibili solo all'utente a cui sono destinate e nessun altro account, servizio o gruppo.

• GUI:
  • Proprietà [File] - Sicurezza - Avanzate
    1. Imposta proprietario come utente della chiave
    2. Rimuovere tutti gli utenti, gruppi e servizi, tranne l'utente della chiave , in Voci autorizzazione
    3. Imposta l'utente chiave su Controllo completo

• CLI:

  :: Set Variable ::
  set key="C:\Path\to\key"
  
  :: Remove Inheritance ::
  cmd /c icacls %key% /c /t /inheritance:d
  
  :: Set Ownership to Owner ::
  cmd /c icacls %key% /c /t /grant %username%:F
  
  :: Remove All Users, except for Owner ::
  cmd /c icacls %key%  /c /t /remove Administrator "Authenticated Users" BUILTIN\Administrators BUILTIN Everyone System Users
  
  :: Verify ::
  cmd /c icacls %key%

Oltre alla risposta fornita da ibug. Da quando stavo usando il sistema Ubuntu all'interno di Windows per eseguire il comando ssh. Non funzionava ancora. Così ho fatto

sudo ssh ...

e poi ha funzionato

Ho avuto lo stesso problema e sembra essere correlato alla versione di SSH in esecuzione.

Se scrivo

where ssh

Ottengo...

C:\Windows\System32\OpenSSH\ssh.exe
C:\Program Files\Git\usr\bin\ssh.exe

Quando corro ssh -Vin entrambe le posizioni, ottengo

OpenSSH_7.5p1, without OpenSSL
OpenSSH_7.3p1, OpenSSL 1.0.2k  26 Jan 2017

...rispettivamente

Quindi, quando corro sshdalla directory git / bin, funziona bene e non si lamenta delle autorizzazioni, ma esegue la stessa riga di comando, usando la precedente installazione di SSH, torna con questo.

Load key "t:\\mykeys\\rich-private.ppk": invalid format
banana@127.0.0.127: Permission denied (publickey).

ps. le autorizzazioni sul file sono solo un pieno accesso per me stesso e nient'altro.

Hai bisogno di jsut 2 cose:

1) Disabilita l'ereditarietà

2) Convertire le autorizzazioni ereditate in autorizzazioni esplicite

3) Rimuovere il gruppo Utenti

4) Finirai senza che gli utenti possano accedere ai file privati, questo dovrebbe essere sufficiente per aggiungere id_rsa.

Ho avuto un problema simile ma ero al lavoro e non ho la possibilità di modificare le autorizzazioni dei file sul mio computer di lavoro. Quello che devi fare è installare WSL, quindi copiare la chiave nella directory ssh nascosta in WSL:

cp <path to your key> ~/.ssh/<name of your key>

Ora dovresti essere in grado di modificare le autorizzazioni normalmente.

sudo chmod 600 ~/.ssh/<your key's name>

Quindi ssh usando WSL:

ssh -i ~/.ssh/<name of your key> <username>@<ip address>

usa il comando seguente sulla tua chiave funziona su Windows

icacls .\private.key /inheritance:r
icacls .\private.key /grant:r "%username%":"(R)"

Puoi usare icacls in Windows invece di chmod per regolare i permessi dei file. Per autorizzare l'utente corrente a leggere e rimuovere tutto il resto,

icacls <file name> /inheritance:r
icacls <file name> /grant:r "%username%":"(R)"

Questa è solo una versione con script della risposta CLI di @ JW0914, quindi votalo prima di tutto. Inoltre, è il mio primo script PowerShell, quindi suggerimenti benvenuti.

# DO the following in powerhsell if not already done:
# Set-ExecutionPolicy RemoteSigned


# NOTE: edit the path in this command if needed
$sshFiles=Get-ChildItem -Path C:\DevContainerHome\.ssh -Force

$sshFiles | % {
  $key = $_
  & icacls $key /c /t /inheritance:d
  & icacls $key /c /t /grant %username%:F
  & icacls $key  /c /t /remove Administrator "Authenticated Users" BUILTIN\Administrators BUILTIN Everyone System Users
}

# Verify:
$sshFiles | % {
  icacls $_
}

Una sola riga in CMD potrebbe fare il trucco (come descritto qui: https://serverfault.com/a/883338/550334 ), ovvero aggiungere la chiave da stdin invece di cambiare i permessi:

cat /path/to/permission_file | ssh-add -k 

Per verificare se la chiave è stata aggiunta:

ssh-add -l

Usa Mingw-w64.

Informazioni: http://mingw-w64.org/doku.php

Scarica con Git per Windows o direttamente.

Disponibile qui: https://github.com/mirror/mingw-w64

git clone https://github.com/mirror/mingw-w64

Ha anche altri utili comandi Linux come tare gzip.

Sono un utente di Windows, utilizzo la bash di Windows e ho seguito tutti i passaggi per impostare l'autorizzazione utilizzando la GUI di Windows, e ancora non funziona e si lamenta:

Permissions 0555 for 'my_ssh.pem' are too open.
It is required that your private key files are NOT accessible by others.

L'ho aggiunto sudonella parte anteriore del comando ssh e funziona. Spero che questo sia utile per gli altri.

La risposta di iBug funziona bene! Puoi seguirlo e sbarazzarti di questo problema.

Ma ci sono alcune cose che devono essere chiarite quando ho affrontato i problemi durante l'impostazione delle autorizzazioni e ci sono voluti pochi minuti per capire il problema!

Seguendo la risposta di iBug, rimuoverai tutte le autorizzazioni ma come imposti l'autorizzazione Controllo completo su te stesso? è lì che all'inizio mi sono bloccato perché non sapevo come farlo.

Dopo aver disabilitato l'ereditarietà, sarai in grado di eliminare tutti gli utenti o gruppi consentiti.

Fatto questo,

Fare clic su Addquindi fare clic su Set a Principalquindi inserire Systeme Administratorse your email addreddnel campo in basso quindi fare clic su check names.

Caricherà il nome se l'utente esiste. Quindi, fare clic su OK> Tipo Allow> Autorizzazioni di base Full Control>Okay

Ciò imposterà l'autorizzazione Controllo completo a SYSTEM, amministratori e il tuo utente.

Dopo di ciò prova a ssh usando quel tasto. Dovrebbe essere risolto ora.

Ho avuto lo stesso problema e l'ho risolto usando questo metodo. Se c'è un utente o un gruppo con quel nome, lo caricherà.

-Screenshots-

Voci di autorizzazione Seleziona un principale / Seleziona utente o gruppi