Windows SSH: les autorisations pour 'clé privée' sont trop ouvertes

J'ai OpenSSH 7.6 installé dans Windows 7 à des fins de test. Le client et le serveur SSH fonctionnent parfaitement jusqu'à ce que j'essaye d'accéder à l'un de mes AWS EC2 à partir de cette fenêtre.

Il semble que je doive changer l'autorisation sur le fichier de clé privée. Cela peut être facilement fait sur unix / linux avec chmodcommande.

Qu'en est-il des fenêtres?

private-key.ppm est copié directement à partir d'AWS et j'imagine que l'autorisation aussi.

C:\>ssh -V
OpenSSH_7.6p1, LibreSSL 2.5.3

C:\>ver

Microsoft Windows [Version 6.1.7601]

C:\>


C:\>ssh ubuntu@192.168.0.1 -i private-key.ppk
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions for 'private-key.ppk' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "private-key.ppk": bad permissions
ubuntu@192.168.0.1: Permission denied (publickey).

C:\>
C:\>
C:\>ssh ubuntu@192.168.0.1 -i private-key.ppm
Warning: Identity file private-key.ppm not accessible: No such file or directory.
ubuntu@192.168.0.1: Permission denied (publickey).

C:\>

Vous localisez le fichier dans l'Explorateur Windows, faites un clic droit dessus, puis sélectionnez "Propriétés". Accédez à l'onglet "Sécurité" et cliquez sur "Avancé".

Changez le propriétaire pour vous, désactivez l'héritage et supprimez toutes les autorisations. Puis accordez-vous le "Contrôle total" et sauvegardez les permissions. Maintenant, SSH ne se plaindra plus de la permission de fichier trop ouverte.

Cela devrait ressembler à ceci:

Les clés ne doivent être accessibles qu'à l'utilisateur auquel elles sont destinées et à aucun autre compte, service ou groupe.

• GUI:
  • [Fichier] Propriétés - Sécurité - Avancé
    1. Définir le propriétaire sur l'utilisateur de la clé
    2. Supprimer tous les utilisateurs, groupes et services, à l' exception de l'utilisateur de la clé , sous Entrées d'autorisation
    3. Définir l'utilisateur de la clé sur Contrôle total

• CLI:

  :: Set Variable ::
  set key="C:\Path\to\key"
  
  :: Remove Inheritance ::
  cmd /c icacls %key% /c /t /inheritance:d
  
  :: Set Ownership to Owner ::
  cmd /c icacls %key% /c /t /grant %username%:F
  
  :: Remove All Users, except for Owner ::
  cmd /c icacls %key%  /c /t /remove Administrator "Authenticated Users" BUILTIN\Administrators BUILTIN Everyone System Users
  
  :: Verify ::
  cmd /c icacls %key%

En plus de la réponse fournie par ibug. Depuis que j'utilisais le système Ubuntu dans Windows pour exécuter la commande ssh. Cela ne fonctionnait toujours pas. Donc j'ai fait

sudo ssh ...

et puis ça a marché

J'ai eu le même problème, et il semble être lié à la version de SSH que vous utilisez.

Si je tape

where ssh

Je reçois...

C:\Windows\System32\OpenSSH\ssh.exe
C:\Program Files\Git\usr\bin\ssh.exe

Quand je cours ssh -Vdans les deux endroits, je reçois

OpenSSH_7.5p1, without OpenSSL
OpenSSH_7.3p1, OpenSSL 1.0.2k  26 Jan 2017

...respectivement

Ainsi, lorsque je lance à sshpartir du répertoire git / bin, cela fonctionne bien et ne se plaint pas des autorisations, mais l'exécution de la même ligne de commande, en utilisant l'ancienne installation de SSH, revient avec ceci.

Load key "t:\\mykeys\\rich-private.ppk": invalid format
banana@127.0.0.127: Permission denied (publickey).

ps. les autorisations sur le fichier ne sont qu'un accès complet pour moi, et rien d'autre.

Vous avez besoin de deux choses:

1) Désactiver l'héritage

2) Convertir les autorisations héritées en autorisations explicites

3) Supprimer le groupe d'utilisateurs

4) Vous vous retrouverez avec aucun utilisateur ne peut accéder aux fichiers privés, cela devrait suffire pour ajouter id_rsa.

J'avais un problème similaire, mais j'étais au travail et je n'ai pas la possibilité de modifier les autorisations de fichiers sur mon ordinateur de travail. Ce que vous devez faire est d’installer WSL puis de copier votre clé dans le répertoire ssh caché dans WSL:

cp <path to your key> ~/.ssh/<name of your key>

Vous devriez maintenant pouvoir modifier les autorisations normalement.

sudo chmod 600 ~/.ssh/<your key's name>

Puis ssh en utilisant WSL:

ssh -i ~/.ssh/<name of your key> <username>@<ip address>

utiliser la commande ci-dessous sur votre clé cela fonctionne sur les fenêtres

icacls .\private.key /inheritance:r
icacls .\private.key /grant:r "%username%":"(R)"

Vous pouvez utiliser icacls dans Windows au lieu de chmod pour ajuster l’autorisation du fichier. Pour donner à l'utilisateur actuel la permission de lire et supprimer tout le reste,

icacls <file name> /inheritance:r
icacls <file name> /grant:r "%username%":"(R)"

Ceci est juste une version scriptée de la réponse CLI de @ JW0914, alors invitez-le en priorité. En outre, il s’agit de mon premier script PowerShell. Les suggestions sont donc les bienvenues.

# DO the following in powerhsell if not already done:
# Set-ExecutionPolicy RemoteSigned


# NOTE: edit the path in this command if needed
$sshFiles=Get-ChildItem -Path C:\DevContainerHome\.ssh -Force

$sshFiles | % {
  $key = $_
  & icacls $key /c /t /inheritance:d
  & icacls $key /c /t /grant %username%:F
  & icacls $key  /c /t /remove Administrator "Authenticated Users" BUILTIN\Administrators BUILTIN Everyone System Users
}

# Verify:
$sshFiles | % {
  icacls $_
}

Une seule ligne dans CMD pourrait faire l'affaire (comme décrit ici: https://serverfault.com/a/883338/550334 ), c'est-à-dire en ajoutant la clé de stdin au lieu de changer les permissons:

cat /path/to/permission_file | ssh-add -k 

Pour vérifier si la clé a été ajoutée:

ssh-add -l

Utilisez Mingw-w64.

Infos: http://mingw-w64.org/doku.php

Téléchargez avec Git pour Windows ou directement.

Disponible ici: https://github.com/mirror/mingw-w64

git clone https://github.com/mirror/mingw-w64

Il a aussi d’autres commandes utiles comme Linux taret gzip.

Je suis un utilisateur de Windows, j'utilise Windows bash et ai suivi toutes les étapes pour définir les autorisations à l'aide de l'interface graphique Windows. Cela ne fonctionne toujours pas et se plaint:

Permissions 0555 for 'my_ssh.pem' are too open.
It is required that your private key files are NOT accessible by others.

Le j'ai ajouté sudoà l'avant de la commande ssh et cela fonctionne. J'espère que cela sera utile aux autres.

Answer by iBug fonctionne bien! Vous pouvez suivre cela et vous débarrasser de ce problème.

Mais il n’ya que peu de choses à régler, car j’ai rencontré des problèmes lors de l’établissement des autorisations et il m’a fallu quelques minutes pour comprendre le problème!

Après la réponse d'iBug, vous supprimerez toutes les autorisations, mais comment définissez-vous l'autorisation Contrôle total pour vous-même? c'est là que je me suis retrouvé coincé au début, car je ne savais pas comment faire cela.

Après avoir désactivé l'héritage, vous pourrez supprimer tous les utilisateurs ou groupes autorisés.

Une fois fait avec ça,

Cliquez sur Addpuis cliquez sur Set a Principalpuis entrez Systemet Administratorset your email addredddans le champ en bas puis cliquez sur check names.

Il va charger le nom si l'utilisateur existe. Ensuite, cliquez sur OK> Type Allow> Permisisons de base Full Control>Okay

Cela configurera l’autorisation Contrôle total sur le système, les administrateurs et votre utilisateur.

Après cela, essayez de ssh en utilisant cette clé. Il devrait être résolu maintenant.

J'ai eu le même problème et j'ai résolu cela en utilisant cette méthode. S'il existe un utilisateur ou un groupe portant ce nom, il sera chargé.

-Captures d'écran-

Entrées d'autorisation Sélectionnez un principal / sélectionnez un utilisateur ou des groupes