Windows SSH：“私钥”的权限太开放

我已经在Windows 7中安装了OpenSSH 7.6以进行测试。SSH客户端和服务器可以正常工作，直到我尝试从此窗口访问我的AWS EC2盒之一。

似乎我需要更改私钥文件的权限。这可以在unix / linux上使用chmod命令轻松完成。

窗户呢？

private-key.ppm是直接从AWS复制的，我想也是许可。

C:\>ssh -V
OpenSSH_7.6p1, LibreSSL 2.5.3

C:\>ver

Microsoft Windows [Version 6.1.7601]

C:\>


C:\>ssh ubuntu@192.168.0.1 -i private-key.ppk
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions for 'private-key.ppk' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "private-key.ppk": bad permissions
ubuntu@192.168.0.1: Permission denied (publickey).

C:\>
C:\>
C:\>ssh ubuntu@192.168.0.1 -i private-key.ppm
Warning: Identity file private-key.ppm not accessible: No such file or directory.
ubuntu@192.168.0.1: Permission denied (publickey).

C:\>

在Windows资源管理器中找到该文件，右键单击该文件，然后选择“属性”。导航到“安全性”选项卡，然后单击“高级”。

将所有者更改为您，禁用继承并删除所有权限。然后授予自己“完全控制权”并保存权限。现在SSH不再抱怨文件权限太开放了。

它应该最终看起来像这样：

密钥只能由其预定的用户访问，并且不能有其他帐户，服务或组。

• 界面：
  • [文件]属性-安全性-高级
    1. 将所有者设置为密钥的用户
    2. 删除“ 权限条目”下除密钥用户之外的所有用户，组和服务
    3. 将密钥的用户设置为完全控制

• CLI：

  :: Set Variable ::
  set key="C:\Path\to\key"
  
  :: Remove Inheritance ::
  cmd /c icacls %key% /c /t /inheritance:d
  
  :: Set Ownership to Owner ::
  cmd /c icacls %key% /c /t /grant %username%:F
  
  :: Remove All Users, except for Owner ::
  cmd /c icacls %key%  /c /t /remove Administrator "Authenticated Users" BUILTIN\Administrators BUILTIN Everyone System Users
  
  :: Verify ::
  cmd /c icacls %key%
  

除了ibug提供的答案。由于我在Windows内部使用ubuntu系统来运行ssh命令。它仍然无法正常工作。所以我做了

sudo ssh ...

然后它起作用了

我遇到了同样的问题，它似乎与您正在运行的SSH版本有关。

如果我输入

where ssh

我知道了

C:\Windows\System32\OpenSSH\ssh.exe
C:\Program Files\Git\usr\bin\ssh.exe

当我ssh -V在两个地方跑步时，我都会

OpenSSH_7.5p1, without OpenSSL
OpenSSH_7.3p1, OpenSSL 1.0.2k  26 Jan 2017

...分别

因此，当我ssh从git / bin目录运行时，它可以正常工作，并且不会抱怨权限，但是使用以前的SSH安装程序运行相同的命令行，它会随之返回。

Load key "t:\\mykeys\\rich-private.ppk": invalid format
banana@127.0.0.127: Permission denied (publickey).

ps。文件上的权限仅是我自己的完全访问权限，而没有其他权限。

您需要jsut 2件事：

1）禁用继承

2）将继承的权限转换为显式权限

3）删除用户组

4）您最终将没有用户可以访问私有文件，这足以添加id_rsa。

我遇到了类似的问题，但是我正在工作，并且无法更改工作计算机上的文件权限。您需要做的是安装WSL，然后将您的密钥复制到WSL中的隐藏ssh目录中：

cp <path to your key> ~/.ssh/<name of your key>

现在，您应该能够正常修改权限了。

sudo chmod 600 ~/.ssh/<your key's name>

然后使用WSL进行ssh：

ssh -i ~/.ssh/<name of your key> <username>@<ip address>

在键盘上使用以下命令在Windows上可以使用

icacls .\private.key /inheritance:r
icacls .\private.key /grant:r "%username%":"(R)"

您可以在Windows中使用icacls而不是chmod来调整文件权限。要授予当前用户读取权限并删除其他所有内容，

icacls <file name> /inheritance:r
icacls <file name> /grant:r "%username%":"(R)"

这只是@ JW0914的CLI答案的脚本版本，因此首先要投票给他。另外，这是我的第一个PowerShell脚本，因此欢迎提出建议。

# DO the following in powerhsell if not already done:
# Set-ExecutionPolicy RemoteSigned


# NOTE: edit the path in this command if needed
$sshFiles=Get-ChildItem -Path C:\DevContainerHome\.ssh -Force

$sshFiles | % {
  $key = $_
  & icacls $key /c /t /inheritance:d
  & icacls $key /c /t /grant %username%:F
  & icacls $key  /c /t /remove Administrator "Authenticated Users" BUILTIN\Administrators BUILTIN Everyone System Users
}

# Verify:
$sshFiles | % {
  icacls $_
}

使用Mingw-w64。

信息： http : //mingw-w64.org/doku.php

使用Windows版Git下载，或直接下载。

在这里可用： https : //github.com/mirror/mingw-w64

git clone https://github.com/mirror/mingw-w64

它还具有其他有用的Linux命令，例如tar和gzip。

iBug的回答很好！您可以按照该说明解决此问题。

但是当我在设置权限时遇到问题时，有几件事需要清除，而我花了几分钟才弄清楚问题！

按照iBug的答案，您将删除所有权限，但是如何为自己设置“完全控制”权限？那是我起初卡住的地方，因为我不知道该怎么做。

禁用继承后，您将能够删除所有允许的用户或组。

完成后，

点击Add然后点击Set a Principal然后输入System，并Administrators和your email addredd在底部的字段中，然后点击check names。

如果用户存在，它将加载名称。然后，单击OK>类型Allow>基本Permisisons Full Control>Okay

这将设置对系统，管理员和您的用户的完全控制权限。

之后，尝试使用该密钥进行ssh。现在应该解决。

我遇到了同样的问题，并使用此方法解决了该问题。如果有任何具有该名称的用户或组，则将其加载。

-屏幕截图-

权限条目 选择一个主体/选择用户或组