Windows SSH: การอนุญาตสำหรับ 'รหัสส่วนตัว' นั้นเปิดเกินไป

ฉันติดตั้ง OpenSSH 7.6 ใน Windows 7 เพื่อการทดสอบแล้ว ไคลเอ็นต์และเซิร์ฟเวอร์ SSH ทำงานได้ดีจนกระทั่งฉันพยายามเข้าถึงหนึ่งในกล่อง AWS EC2 ของฉันจากหน้าต่างนี้

ดูเหมือนว่าฉันจะต้องเปลี่ยนการอนุญาตในไฟล์คีย์ส่วนตัว สิ่งนี้สามารถทำได้อย่างง่ายดายบน unix / linux ด้วยchmodคำสั่ง

แล้ว windows ล่ะ?

private-key.ppm ถูกคัดลอกโดยตรงจาก AWS และฉันเดาว่าจะอนุญาตเช่นกัน

C:\>ssh -V
OpenSSH_7.6p1, LibreSSL 2.5.3

C:\>ver

Microsoft Windows [Version 6.1.7601]

C:\>


C:\>ssh ubuntu@192.168.0.1 -i private-key.ppk
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions for 'private-key.ppk' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "private-key.ppk": bad permissions
ubuntu@192.168.0.1: Permission denied (publickey).

C:\>
C:\>
C:\>ssh ubuntu@192.168.0.1 -i private-key.ppm
Warning: Identity file private-key.ppm not accessible: No such file or directory.
ubuntu@192.168.0.1: Permission denied (publickey).

C:\>

คุณค้นหาไฟล์ใน Windows Explorer คลิกขวาแล้วเลือก "Properties" ไปที่แท็บ "ความปลอดภัย" แล้วคลิก "ขั้นสูง"

เปลี่ยนเจ้าของให้คุณปิดการใช้งานการสืบทอดและลบสิทธิ์ทั้งหมด จากนั้นให้สิทธิ์ตัวเอง "ควบคุมทั้งหมด" และบันทึกการอนุญาต ตอนนี้ SSH จะไม่บ่นเกี่ยวกับการอนุญาตให้เปิดไฟล์อีกต่อไป

มันควรจะเป็นแบบนี้:

กุญแจจะต้องสามารถเข้าถึงได้โดยผู้ใช้ที่พวกเขาตั้งใจไว้และไม่มีบัญชีบริการหรือกลุ่มอื่น ๆ

• GUI:
  • [ไฟล์] คุณสมบัติ - ความปลอดภัย - ขั้นสูง
    1. กำหนดให้เจ้าของเป็นผู้ใช้ของกุญแจ
    2. ลบผู้ใช้กลุ่มและบริการทั้งหมดยกเว้นผู้ใช้ของคีย์ภายใต้รายการสิทธิ์
    3. ตั้งค่าผู้ใช้ของคีย์เป็นควบคุมทั้งหมด

• CLI:

  :: Set Variable ::
  set key="C:\Path\to\key"
  
  :: Remove Inheritance ::
  cmd /c icacls %key% /c /t /inheritance:d
  
  :: Set Ownership to Owner ::
  cmd /c icacls %key% /c /t /grant %username%:F
  
  :: Remove All Users, except for Owner ::
  cmd /c icacls %key%  /c /t /remove Administrator "Authenticated Users" BUILTIN\Administrators BUILTIN Everyone System Users
  
  :: Verify ::
  cmd /c icacls %key%

นอกจากคำตอบที่ได้รับจาก ibug ตั้งแต่ฉันใช้ระบบ ubuntu ใน windows เพื่อรันคำสั่ง ssh มันยังไม่ทำงาน ดังนั้นฉันทำ

sudo ssh ...

แล้วมันก็ใช้งานได้

ฉันมีปัญหาเดียวกันและดูเหมือนว่าจะเกี่ยวข้องกับเวอร์ชันของ SSH ที่คุณใช้อยู่

ถ้าฉันพิมพ์

where ssh

ฉันเข้าใจ...

C:\Windows\System32\OpenSSH\ssh.exe
C:\Program Files\Git\usr\bin\ssh.exe

เมื่อฉันทำงานssh -Vในสถานที่ทั้งสองฉันได้รับ

OpenSSH_7.5p1, without OpenSSL
OpenSSH_7.3p1, OpenSSL 1.0.2k  26 Jan 2017

... ตามลำดับ

ดังนั้นเมื่อฉันเรียกใช้sshจากไดเรกทอรี git / bin มันใช้งานได้ดีและไม่บ่นเกี่ยวกับสิทธิ์ แต่เรียกใช้บรรทัดคำสั่งเดียวกันโดยใช้การติดตั้งเดิมของ SSH มันกลับมาพร้อมกับสิ่งนี้

Load key "t:\\mykeys\\rich-private.ppk": invalid format
banana@127.0.0.127: Permission denied (publickey).

PS สิทธิ์ในไฟล์เป็นเพียงการเข้าถึงแบบเต็มสำหรับตัวฉันเองและไม่มีอะไรอื่นอีก

คุณต้องการ jsut 2 สิ่ง:

1) ปิดใช้งานการสืบทอด

2) แปลงสิทธิ์ที่สืบทอดมาให้เป็นสิทธิ์ที่ชัดเจน

3) ลบกลุ่มผู้ใช้

4) คุณจะพบว่าไม่มีผู้ใช้สามารถเข้าถึงไฟล์ส่วนตัวได้ซึ่งควรจะเพียงพอที่จะเพิ่ม id_rsa

ฉันมีปัญหาที่คล้ายกัน แต่ฉันทำงานและไม่มีความสามารถในการเปลี่ยนการอนุญาตไฟล์ในคอมพิวเตอร์ที่ทำงานของฉัน สิ่งที่คุณต้องทำคือติดตั้งWSLแล้วคัดลอกคีย์ของคุณไปยังไดเรกทอรี ssh ที่ซ่อนอยู่ใน WSL:

cp <path to your key> ~/.ssh/<name of your key>

ตอนนี้คุณควรจะสามารถแก้ไขสิทธิ์ได้ตามปกติ

sudo chmod 600 ~/.ssh/<your key's name>

จากนั้น ssh ใช้ WSL:

ssh -i ~/.ssh/<name of your key> <username>@<ip address>

ใช้คำสั่งด้านล่างในคีย์ของคุณมันทำงานบน windows

icacls .\private.key /inheritance:r
icacls .\private.key /grant:r "%username%":"(R)"

คุณสามารถใช้ icacls ใน windows แทน chmod เพื่อปรับเปลี่ยนการอนุญาตไฟล์ เพื่อให้ผู้ใช้ปัจจุบันได้รับอนุญาตอ่านและลบทุกอย่างออก

icacls <file name> /inheritance:r
icacls <file name> /grant:r "%username%":"(R)"

นี่เป็นเพียงเวอร์ชัน scripted ของคำตอบ CLI ของ @ JW0914 ดังนั้นจงโหวตให้เขาเป็นคนแรกและสำคัญที่สุด นอกจากนี้ยังเป็นสคริปต์ PowerShell แรกของฉันดังนั้นยินดีให้คำแนะนำ

# DO the following in powerhsell if not already done:
# Set-ExecutionPolicy RemoteSigned


# NOTE: edit the path in this command if needed
$sshFiles=Get-ChildItem -Path C:\DevContainerHome\.ssh -Force

$sshFiles | % {
  $key = $_
  & icacls $key /c /t /inheritance:d
  & icacls $key /c /t /grant %username%:F
  & icacls $key  /c /t /remove Administrator "Authenticated Users" BUILTIN\Administrators BUILTIN Everyone System Users
}

# Verify:
$sshFiles | % {
  icacls $_
}

Mingw-w64ใช้

ข้อมูล: http://mingw-w64.org/doku.php

ดาวน์โหลดด้วย Git สำหรับ Windows หรือโดยตรง

มีให้ที่นี่: https://github.com/mirror/mingw-w64

git clone https://github.com/mirror/mingw-w64

นอกจากนี้ยังมีคำสั่งลินุกซ์อื่น ๆ ที่มีประโยชน์เช่นและtargzip

ตอบโดย iBug ทำงานได้ดี! คุณสามารถติดตามและกำจัดปัญหานี้ได้

แต่มีบางสิ่งที่จำเป็นต้องล้างข้อมูลเมื่อฉันประสบปัญหาระหว่างการตั้งค่าการอนุญาตและใช้เวลาสองสามนาทีเพื่อให้ฉันเข้าใจปัญหา!

ทำตามคำตอบของ iBug คุณจะลบสิทธิ์ทั้งหมด แต่คุณจะตั้งค่าสิทธิ์ควบคุมทั้งหมดให้กับตัวเองได้อย่างไร นั่นคือสิ่งที่ฉันติดอยู่ในตอนแรกเพราะฉันไม่รู้ว่าจะทำอย่างไร

หลังจากปิดใช้งานการสืบทอดคุณจะสามารถลบผู้ใช้หรือกลุ่มที่อนุญาตทั้งหมด

เมื่อทำเสร็จแล้ว

คลิกที่Addแล้วคลิกที่Set a Principalแล้วใส่SystemและAdministratorsและในด้านที่ด้านล่างแล้วคลิกที่your email addreddcheck names

มันจะโหลดชื่อหากมีผู้ใช้ จากนั้นคลิกที่OK> ประเภทAllow> สิทธิ์พื้นฐานFull Control>Okay

การดำเนินการนี้จะตั้งค่าสิทธิ์ควบคุมทั้งหมดเป็น SYSTEM, Administrators และ User

หลังจากนั้นลองใช้ ssh โดยใช้ปุ่มนั้น ควรแก้ไขได้ในขณะนี้

ฉันมีปัญหาเดียวกันและฉันแก้ไขโดยใช้วิธีนี้ หากมีผู้ใช้หรือกลุ่มที่มีชื่อนั้นมันจะโหลด

-Screenshots-

รายการสิทธิ์ เลือกผู้ใช้หลัก / เลือกผู้ใช้หรือกลุ่ม