Windows SSH: разрешения для «закрытого ключа» слишком открыты

Question

Я установил OpenSSH 7.6 в Windows 7 для целей тестирования. Клиент и сервер SSH работают нормально, пока я не попытался получить доступ к одной из своих коробок AWS EC2 из этого окна.

Кажется, мне нужно изменить разрешение на файл закрытого ключа. Это можно легко сделать в Unix / Linux с помощью команды chmod .

А как насчет окон?

private-key.ppm копируется непосредственно из AWS, и я думаю, что разрешение тоже.

C:\>ssh -V
OpenSSH_7.6p1, LibreSSL 2.5.3

C:\>ver

Microsoft Windows [Version 6.1.7601]

C:\>


C:\>ssh ubuntu@192.168.0.1 -i private-key.ppk
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions for 'private-key.ppk' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "private-key.ppk": bad permissions
ubuntu@192.168.0.1: Permission denied (publickey).

C:\>
C:\>
C:\>ssh ubuntu@192.168.0.1 -i private-key.ppm
Warning: Identity file private-key.ppm not accessible: No such file or directory.
ubuntu@192.168.0.1: Permission denied (publickey).

C:\>

Answer 1

Вы находите файл в проводнике Windows, щелкните правой кнопкой мыши на нем, затем выберите "Свойства". Перейдите на вкладку "Безопасность" и нажмите "Дополнительно".

Смените владельца на вас, отключите наследование и удалите все разрешения. Затем предоставьте себе "Полный контроль" и сохраните разрешения. Теперь SSH больше не будет жаловаться на разрешение файла, слишком открытое.

Это должно выглядеть так:

Answer 2

Ключи должны быть доступны только тому пользователю, для которого они предназначены, и никаким другим аккаунтам, сервисам или группам.

• GUI:
  • Свойства [Файл] - Безопасность - Дополнительно
    1. Установить владельца на пользователя ключа
    2. Удалите всех пользователей, группы и службы, кроме пользователя ключа, в разделе Записи разрешений
    3. Установите для пользователя ключа полный доступ

• CLI:

  :: Set Variable ::
  set key="C:\Path\to\key"
  
  :: Remove Inheritance ::
  cmd /c icacls %key% /c /t /inheritance:d
  
  :: Set Ownership to Owner ::
  cmd /c icacls %key% /c /t /grant %username%:F
  
  :: Remove All Users, except for Owner ::
  cmd /c icacls %key%  /c /t /remove Administrator BUILTIN\Administrators BUILTIN Everyone System Users
  
  :: Verify ::
  cmd /c icacls %key%
  

Answer 3

У меня была та же проблема, и она, кажется, связана с версией SSH, которую вы используете.

Если я наберу

where ssh

Я получил...

C:\Windows\System32\OpenSSH\ssh.exe
C:\Program Files\Git\usr\bin\ssh.exe

Когда я запускаю ssh -V в обоих местах, я получаю

OpenSSH_7.5p1, without OpenSSL
OpenSSH_7.3p1, OpenSSL 1.0.2k  26 Jan 2017

...соответственно

Таким образом, когда я запускаю ssh из каталога git/bin, он работает нормально и не жалуется на разрешения, но, запустив ту же командную строку, используя прежнюю установку SSH, он возвращается с этим.

Load key "t:\\mykeys\\rich-private.ppk": invalid format
banana@127.0.0.127: Permission denied (publickey).

пс. права доступа к файлу - это полный доступ для себя, и больше ничего.

Answer 4

В дополнение к ответу, предоставленному ibug. Так как я использовал систему Ubuntu внутри Windows, чтобы запустить команду SSH. Это все еще не работало. Так я и сделал

sudo ssh ...

и тогда это сработало

Answer 5

Вам нужны только 2 вещи:

1) Отключить наследование

2) Преобразовать унаследованные разрешения в явные разрешения

3) Удалить группу пользователей

4) В итоге пользователи не смогут получить доступ к личным файлам, этого должно быть достаточно для добавления id_rsa.

Answer 6

Ответ от iBug работает отлично! Вы можете следить за этим и избавиться от этой проблемы.

Но есть несколько вещей, которые необходимо очистить, так как я столкнулся с проблемами при настройке разрешений, и мне потребовалось несколько минут, чтобы выяснить проблему!

После ответа iBug вы удалите все разрешения, но как вы установите для себя разрешение «Полный доступ»? вот где я сначала застрял, так как не знал, как это сделать.

После отключения наследования вы сможете удалить всех разрешенных пользователей или групп.

Когда закончите с этим,

Нажмите « Add затем « Set a Principal затем введите « System и Administrators your email addredd и адрес электронной почты в поле внизу, затем нажмите « check names .

Он загрузит имя, если пользователь существует. Затем нажмите на кнопку OK Тип Allow Основные Permisisons Full Control Okay

Это установит разрешение «Полный доступ» для СИСТЕМЫ, Администраторов и Вашего Пользователя.

После этого попробуйте ssh, используя этот ключ. Это должно быть решено сейчас.

У меня была та же проблема, и я решил, что с помощью этого метода. Если есть какой-либо пользователь или группа с таким именем, он будет загружен.

-Screenshots-

Записи разрешений Выберите принципала / выберите пользователя или группы