Windows SSH: Izin untuk 'kunci pribadi' terlalu terbuka

Saya telah menginstal OpenSSH 7.6 di Windows 7 untuk tujuan pengujian. SSH client & server berfungsi dengan baik sampai saya mencoba mengakses salah satu kotak AWS EC2 saya dari windows ini.

Sepertinya saya perlu mengubah izin pada file kunci pribadi. Hal ini dapat dengan mudah dilakukan pada unix / linux dengan chmodperintah.

Bagaimana dengan windows?

private-key.ppm disalin langsung dari AWS dan saya kira izinnya juga.

C:\>ssh -V
OpenSSH_7.6p1, LibreSSL 2.5.3

C:\>ver

Microsoft Windows [Version 6.1.7601]

C:\>


C:\>ssh [email protected] -i private-key.ppk
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions for 'private-key.ppk' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "private-key.ppk": bad permissions
[email protected]: Permission denied (publickey).

C:\>
C:\>
C:\>ssh [email protected] -i private-key.ppm
Warning: Identity file private-key.ppm not accessible: No such file or directory.
[email protected]: Permission denied (publickey).

C:\>

Anda menemukan file di Windows Explorer, klik kanan padanya lalu pilih "Properties". Arahkan ke tab "Security" dan klik "Advanced".

Ubah pemiliknya untuk Anda, nonaktifkan pewarisan dan hapus semua izin. Kemudian berikan diri Anda "Kontrol penuh" dan simpan izin. Sekarang SSH tidak akan mengeluh tentang izin file yang terlalu terbuka lagi.

Seharusnya terlihat seperti ini:

Kunci hanya dapat diakses oleh pengguna yang dimaksudkan untuknya dan tidak ada akun, layanan, atau grup lain.

• GUI:
  • Properti [File] - Keamanan - Lanjutan
    1. Tetapkan Pemilik ke pengguna kunci
    2. Hapus semua pengguna, grup, dan layanan, kecuali untuk pengguna kunci , di bawah Entri Izin
    3. Setel pengguna kunci ke Kontrol Penuh

• CLI:

  :: Set Variable ::
  set key="C:\Path\to\key"
  
  :: Remove Inheritance ::
  cmd /c icacls %key% /c /t /inheritance:d
  
  :: Set Ownership to Owner ::
  cmd /c icacls %key% /c /t /grant %username%:F
  
  :: Remove All Users, except for Owner ::
  cmd /c icacls %key%  /c /t /remove Administrator "Authenticated Users" BUILTIN\Administrators BUILTIN Everyone System Users
  
  :: Verify ::
  cmd /c icacls %key%

Selain jawaban yang diberikan oleh ibug. Karena saya menggunakan sistem ubuntu di dalam windows untuk menjalankan perintah ssh. Itu masih tidak berfungsi. Jadi saya lakukan

sudo ssh ...

dan kemudian berhasil

Saya memiliki masalah yang sama, dan tampaknya terkait dengan versi SSH yang Anda jalankan.

Jika saya mengetik

where ssh

Saya mendapat...

C:\Windows\System32\OpenSSH\ssh.exe
C:\Program Files\Git\usr\bin\ssh.exe

Ketika saya berlari ssh -Vdi kedua lokasi, saya mengerti

OpenSSH_7.5p1, without OpenSSL
OpenSSH_7.3p1, OpenSSL 1.0.2k  26 Jan 2017

... masing-masing

Jadi, ketika saya menjalankan sshdari direktori git / bin, ia berfungsi dengan baik dan tidak mengeluh tentang izin, tetapi menjalankan baris perintah yang sama, menggunakan bekas instalasi SSH, ia kembali dengan ini.

Load key "t:\\mykeys\\rich-private.ppk": invalid format
[email protected]: Permission denied (publickey).

ps. izin pada file tersebut hanya akses penuh untuk saya sendiri, dan tidak ada yang lain.

Anda perlu hanya 2 hal:

1) Nonaktifkan warisan

2) Konversi izin yang diwarisi menjadi izin eksplisit

3) Hapus grup Pengguna

4) Anda akan berakhir tanpa Pengguna dapat mengakses file pribadi, ini sudah cukup untuk menambahkan id_rsa.

Saya memiliki masalah serupa tetapi saya sedang bekerja dan tidak memiliki kemampuan untuk mengubah izin file di komputer kerja saya. Yang perlu Anda lakukan adalah menginstal WSL kemudian menyalin kunci Anda ke direktori ssh tersembunyi di WSL:

cp <path to your key> ~/.ssh/<name of your key>

Sekarang Anda harus dapat memodifikasi izin secara normal.

sudo chmod 600 ~/.ssh/<your key's name>

Kemudian ssh menggunakan WSL:

ssh -i ~/.ssh/<name of your key> <username>@<ip address>

gunakan perintah di bawah ini pada kunci Anda ini berfungsi pada windows

icacls .\private.key /inheritance:r
icacls .\private.key /grant:r "%username%":"(R)"

Anda dapat menggunakan icacls di windows daripada chmod untuk menyesuaikan izin file. Untuk memberi izin kepada pengguna saat ini dan menghapus yang lainnya,

icacls <file name> /inheritance:r
icacls <file name> /grant:r "%username%":"(R)"

Ini hanya versi skrip dari jawaban CLI @ JW0914, jadi jawab dia terlebih dahulu dan terutama. Juga, ini adalah skrip PowerShell pertama saya, jadi sarannya disambut.

# DO the following in powerhsell if not already done:
# Set-ExecutionPolicy RemoteSigned


# NOTE: edit the path in this command if needed
$sshFiles=Get-ChildItem -Path C:\DevContainerHome\.ssh -Force

$sshFiles | % {
  $key = $_
  & icacls $key /c /t /inheritance:d
  & icacls $key /c /t /grant %username%:F
  & icacls $key  /c /t /remove Administrator "Authenticated Users" BUILTIN\Administrators BUILTIN Everyone System Users
}

# Verify:
$sshFiles | % {
  icacls $_
}

Satu baris dalam CMD dapat melakukan trik (seperti dijelaskan di sini: https://serverfault.com/a/883338/550334 ), yaitu menambahkan kunci dari stdin alih-alih mengubah permissons:

cat /path/to/permission_file | ssh-add -k 

Untuk memeriksa apakah kunci telah ditambahkan:

ssh-add -l

Gunakan Mingw-w64.

Info: http://mingw-w64.org/doku.php

Unduh dengan Git untuk Windows, atau langsung.

Tersedia disini: https://github.com/mirror/mingw-w64

git clone https://github.com/mirror/mingw-w64

Ini juga memiliki perintah Linux berguna lainnya seperti tardan gzip.

Saya pengguna Window, menggunakan bash Windows dan mengikuti semua langkah untuk mengatur izin menggunakan Windows GUI, dan masih tidak berfungsi dan mengeluh:

Permissions 0555 for 'my_ssh.pem' are too open.
It is required that your private key files are NOT accessible by others.

Saya menambahkan sudodi bagian depan perintah ssh dan hanya berfungsi. Semoga ini bermanfaat bagi orang lain.

Jawaban oleh iBug berfungsi dengan baik! Anda dapat mengikuti itu dan menyingkirkan masalah ini.

Tetapi ada beberapa hal yang perlu dibersihkan karena saya menghadapi masalah selama mengatur izin dan butuh beberapa menit bagi saya untuk mencari tahu masalahnya!

Mengikuti jawaban iBug, Anda akan menghapus semua izin tetapi bagaimana Anda menetapkan izin Kontrol Penuh untuk diri sendiri? di situlah saya terjebak pada awalnya karena saya tidak tahu bagaimana melakukannya.

Setelah Menonaktifkan Warisan, Anda akan dapat menghapus semua pengguna atau grup yang diizinkan.

Setelah selesai dengan itu,

Klik pada Addlalu klik pada Set a Principalkemudian masuk Systemdan Administratorsdan your email addredddi bidang di bawah lalu klikcheck names .

Itu akan memuat nama jika pengguna ada. Kemudian, Klik pada OK> Tipe Allow> Permisison Dasar Full Control>Okay

Ini akan mengatur izin Kontrol Penuh untuk SISTEM, Administrator dan Pengguna Anda.

Setelah itu coba ssh menggunakan kunci itu. Itu harus diselesaikan sekarang.

Saya memiliki masalah yang sama dan saya menyelesaikannya dengan menggunakan metode ini. Jika ada pengguna atau grup dengan nama itu maka itu akan memuatnya.

-Screenshots-

Entri Izin Pilih Pengguna Utama / Pilih atau Grup