ssh - 警告：未受保护的私钥文件！尝试通过 SSH 连接到 Amazon EC2 实例时

Question

我正在努力在 Amazon EC2 实例上设置 Panda。我昨晚设置了我的帐户和工具，使用 SSH 与我自己的个人实例交互没有问题，但现在我没有被允许进入 Panda 的 EC2 实例的权限。 熊猫入门

我收到以下错误：

@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @

Permissions 0644 for '~/.ec2/id_rsa-gsg-keypair' are too open.
It is recommended that your private key files are NOT accessible by others.
This private key will be ignored.

为了进入我的个人实例，我昨晚将密钥对更改为 600，并尝试将权限设置为 0，甚至生成新的密钥字符串，但似乎没有任何效果。

任何帮助都将是一个很大的帮助！

---

嗯，似乎除非目录上的权限设置为 777，否则 ec2-run-instances 脚本无法找到我的密钥文件。我是 SSH 新手，所以我可能会忽略一些东西。

Answer 1

为了进入我的个人实例，我昨晚已将密钥对更改为 600，

这就是它应该的方式。

从EC2 文档中，我们有“如果您使用的是 OpenSSH（或任何合理偏执的 SSH 客户端），那么您可能需要设置此文件的权限，以便它只能由您读取。” 您链接到亚马逊文档链接的 Panda 文档，但实际上并没有传达这一切的重要性。

这个想法是密钥对文件就像密码一样，需要受到保护。因此，您使用的 ssh 客户端要求这些文件是安全的，并且只有您的帐户才能读取它们。

将目录设置为 700 确实应该足够了，但只要文件为 600，777 就不会受到伤害。

您遇到的任何问题都是客户端问题，因此请务必在任何后续问题中包含本地操作系统信息！

Answer 2

确保包含私钥文件的目录设置为700

chmod 700 ~/.ec2

Answer 3

为了解决这个问题，

1. 您需要将权限重置为默认值：

   sudo chmod 600 ~/.ssh/id_rsa
   sudo chmod 600 ~/.ssh/id_rsa.pub
   

   如果您收到另一个错误：

   • 您确定要继续连接（是/否）？是的
   • 未能将主机添加到已知主机列表 (/home/geek/.ssh/known_hosts)。

2. 这意味着该文件的权限也设置不正确，可以通过以下方式进行调整：

   sudo chmod 644 ~/.ssh/known_hosts
   

3. 最后，您可能还需要调整目录权限：

   sudo chmod 755 ~/.ssh
   

这应该可以让您重新启动并运行。

Answer 4

私钥文件应该受到保护。在我的情况下，我已经使用 public_key 身份验证很长时间了，我曾经将私钥设置为 600 (rw- --- ---) 和 644 (rw- r-- r--) 和主文件夹中的 .ssh 文件夹，您将拥有 700 权限（rwx --- ---）。要进行设置，请转到用户的主文件夹并运行以下命令

为 .ssh 文件夹设置700权限

chmod 700 .ssh

设置私钥文件600权限

chmod 600 .ssh/id_rsa

为公钥文件设置644权限

chmod 644 .ssh/id_rsa.pub

Answer 5

我也遇到了同样的问题，但我通过将密钥文件权限更改为 600 来解决它。

sudo chmod 600 /path/to/my/key.pem

Answer 6

使用 chmod 命令更改文件权限

sudo chmod 700 keyfile.pem

Answer 7

在 Windows 上，尝试使用 git bash 并在那里使用你的 Linux 命令。简单的方法

chmod 400 *****.pem

ssh -i "******.pem" ubuntu@ec2-11-111-111-111.us-east-2.compute.amazonaws.com

Answer 8

将您的私钥、公钥、known_hosts 保存在同一目录中，然后尝试如下登录：

ssh -I(small i) "hi.pem" ec2-user@ec2-**-***-**-***.us-west-2.compute.amazonaws.com

• 从某种意义上说，相同的目录， cd /Users/prince/Desktop. 现在输入ls命令，你应该看到 **.pem **.ppk known_hosts

注意：您必须尝试从同一目录登录，否则您将收到权限被拒绝错误，因为它无法从您当前的目录中找到 .pem 文件。

---

如果您希望能够从任何目录进行 SSH，您可以将以下内容添加到您的~/.ssh/config文件中...

Host your.server
HostName ec2-user@ec2-**-***-**-***.us-west-2.compute.amazonaws.com
User ec2-user
IdentityFile ~/.ec2/id_rsa-gsg-keypair
IdentitiesOnly yes

现在，无论目录在哪里，您都可以通过 SSH 连接到您的服务器，只需键入ssh your.server（或您在“主机”之后放置的任何名称）。

Answer 9

简而言之，pem 文件权限对机器上的每个用户都是开放的，即任何人都可以读取和写入该文件在 Windows 上，我发现使用 git bash 的方式很难执行 chmod。我已按照以下步骤操作

1. 删除用户权限

   chmod ugo-rwx abc.pem

2. 仅为该用户添加权限

   chmod u+rw

3. 运行 chmod 400

   chmod 400 abc.pem

4.现在为您的实例尝试 ssh -i

Answer 10

我正在考虑其他事情，如果您尝试使用不存在的其他用户名登录，这就是您将收到的消息。

所以我假设您可能正在尝试使用 ec2-user 进行 ssh，但我记得最近大多数 centos AMI 例如使用 centos 用户而不是 ec2-user

因此，如果您是， ssh -i file.pem centos@public_IP请告诉我您正在尝试使用正确的用户名进行 ssh，否则这可能是您看到此类错误消息的一个重要原因，即使您的 ~/.ssh/id_rsa 或 file.pem 具有正确的权限

Answer 11

解决方案是使其只能由文件所有者读取，即八进制模式表示的最后两位应为零（例如 mode 0400）。

OpenSSHauthfile.c在一个名为的函数中检查它sshkey_perm_ok：

/*
 * if a key owned by the user is accessed, then we check the
 * permissions of the file. if the key owned by a different user,
 * then we don't care.
 */
if ((st.st_uid == getuid()) && (st.st_mode & 077) != 0) {
    error("@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@");
    error("@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @");
    error("@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@");
    error("Permissions 0%3.3o for '%s' are too open.",
        (u_int)st.st_mode & 0777, filename);
    error("It is required that your private key files are NOT accessible by others.");
    error("This private key will be ignored.");
    return SSH_ERR_KEY_BAD_PERMISSIONS;
}

请参阅注释后的第一行：它针对文件的模式执行“按位与”，选择最后两个八进制数字中的所有位（因为07是八进制0b111，其中每个位分别代表 r/w/x） .

Answer 12

对于偶然发现此问题的任何人，请注意：

如果您尝试使用与您共享的密钥进行 SSH，例如：

ssh -i /path/to/keyfile.pem user@some-host

keyfile.pem与您共享的私钥/公钥在哪里，并且您正在使用它进行连接，请确保将其保存到~/.ssh/和chmod 777.

当文件保存在我机器上的其他位置时尝试使用该文件会导致 OP 出现错误。不确定是否直接相关。