Windows 中 SSH 证书的 Permissions are too open 问题

OpenSSH 是安全 Shell (SSH) 工具的开放源代码版本,Linux 系统的管理员使用此类工具跨平台管理远程系统。以前在 Windows 操作系统中,我们经常会使用到 Xshell、Putty 等第三方工具对远程服务器进行管理。但是 OpenSSH 在 2018 年秋季已添加至 Windows,并包含在 Windows 10 和 Windows Server 2019 中。因此我们可以在 CMD 或 PowerShell 中使用 SSH 命令对远程服务器进行管理。

例如:

# ssh -p 端口号 用户名@IP地址
D:\temp>ssh -p 22 [email protected]
[email protected]'s password:

但是对于很多大厂的 VPS(例如 Oracle 、AWS 等)默认只能使用证书的方式进行登录,其实使用证书也是最安全的做法。我们以 Oracle VPS 举例,在 CMD 或 PowerShell 中使用如下命令:

# ssh -i 证书私钥 用户名@IP地址
D:\temp>ssh -i D:\temp\ssh-key-2023-10-10.key [email protected]
The authenticity of host '138.2.72.50 (138.2.72.50)' can't be established.
ED25519 key fingerprint is SHA256:gLUB1pCohHOh2GBcUO0f8TwZXgroIf8TwZX/gSCMCSC.
This key is not known by any other names
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '138.2.72.50' (ED25519) to the list of known hosts.
Bad permissions. Try removing permissions for user: \\Everyone (S-1-1-0) on file D:/temp/ssh-key-2023-10-10.key.
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions for 'ssh-key-2023-10-10.key' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "ssh-key-2023-10-10.key": bad permissions
[email protected]: Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

执行命令后提示 “Permissions for 'ssh-key-2023-10-10.key' are too open.” ,产生这个问题的原因是证书文件的权限过大。如果是 Linux 操作系统,可以使用 chmod 命令修改文件权限,在 Windows 操作系统中我们可以使用如下步骤修改证书的权限。

1、在证书文件中点击鼠标右键,选择“属性”,选择“安全”选项卡,然后点击“高级”。

1-安全选项卡.webp

2、点击“禁用继承”后点击“从此对象中删除所有已继承的权限”,然后点击“添加”按钮。

2-禁用继承.webp

3、点击“选择主体”,点击“高级”,点击“立即查找”后在列表中选择用户,例如我选择的是“CREATOR OWNER”。然后依次点击4次“确定”关闭窗口。

3-修改权限.webp

4、证书更改权限后,安全选项卡如下图所示。

4-证书权限.webp

再次使用证书的方式进行登录,我们会发现正常了。

D:\temp>ssh -i D:\temp\ssh-key-2023-10-10.key [email protected]
Last login: Wed Oct 11 05:02:02 2023 from 218.25.0.166
[opc@oracle ~]$

本文出处:HiFeng'Blog
本文链接:https://www.hicairo.com/post/65.html
版权声明:本博客所有文章除特别声明外,均采用CC BY-NC-SA许可协议。转载请注明出处!