警告:未受保护的私钥文件!尝试通过 SSH 连接到 Amazon EC2 实例时
我正在努力在 Amazon EC2 实例上设置 Panda。我昨晚设置了我的帐户和工具,使用 SSH 与我自己的个人实例交互没有问题,但现在我没有被允许进入 Panda 的 EC2 实例的权限。 Getting Started with Panda
我收到以下错误:
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
Permissions 0644 for '~/.ec2/id_rsa-gsg-keypair' are too open.
It is recommended that your private key files are NOT accessible by others.
This private key will be ignored.
为了进入我的个人实例,我昨晚将密钥对更改为 600,并尝试将权限设置为 0,甚至生成新的密钥字符串,但似乎没有任何效果。
任何帮助都将是一个很大的帮助!
嗯,似乎除非目录上的权限设置为 777,否则 ec2-run-instances 脚本无法找到我的密钥文件。我是 SSH 新手,所以我可能会忽略一些东西。
chmod 400 ~/.ssh/id_rsa参考:stackoverflow.com/a/9270753/2082569
为了进入我的个人实例,我昨晚已将密钥对更改为 600,
这就是它应该的方式。
从 EC2 documentation 我们有 “如果您使用的是 OpenSSH(或任何合理偏执的 SSH 客户端),那么您可能需要设置此文件的权限,以便它只能由您读取。” 您链接到亚马逊文档链接的 Panda 文档,但实际上并没有传达这一切的重要性。
这个想法是密钥对文件就像密码一样,需要受到保护。因此,您使用的 ssh 客户端要求这些文件是安全的,并且只有您的帐户才能读取它们。
将目录设置为 700 确实应该足够了,但只要文件为 600,777 就不会受到伤害。
您遇到的任何问题都是客户端问题,因此请务必在任何后续问题中包含本地操作系统信息!
确保包含私钥文件的目录设置为 700
chmod 700 ~/.ec2
为了解决这个问题,
您需要将权限重置为默认值: sudo chmod 600 ~/.ssh/id_rsa sudo chmod 600 ~/.ssh/id_rsa.pub 如果您收到另一个错误:您确定要继续连接(是/不)?是 未能将主机添加到已知主机列表 (/home/geek/.ssh/known_hosts)。这意味着该文件的权限也设置不正确,可以使用以下命令进行调整:sudo chmod 644 ~/.ssh/known_hosts
最后,您可能还需要调整目录权限:sudo chmod 755 ~/.ssh
这应该可以让您重新启动并运行。
私钥文件应该受到保护。在我的情况下,我已经使用 public_key 身份验证很长时间了,我曾经将私钥设置为 600 (rw- --- ---) 和 644 (rw- r-- r--) 和主文件夹中的 .ssh 文件夹,您将拥有 700 权限(rwx --- ---)。要进行设置,请转到用户的主文件夹并运行以下命令
为 .ssh 文件夹设置 700 权限
chmod 700 .ssh
设置私钥文件600权限
chmod 600 .ssh/id_rsa
为公钥文件设置 644 权限
chmod 644 .ssh/id_rsa.pub
我也遇到了同样的问题,但我通过将密钥文件权限更改为 600 来解决它。
sudo chmod 600 /path/to/my/key.pem
使用 chmod 命令更改文件权限
sudo chmod 700 keyfile.pem
在 Windows 上,尝试使用 git bash 并在那里使用你的 Linux 命令。简单的方法
chmod 400 *****.pem
ssh -i "******.pem" ubuntu@ec2-11-111-111-111.us-east-2.compute.amazonaws.com
将您的私钥、公钥、known_hosts 保存在同一目录中,然后尝试如下登录:
ssh -I(small i) "hi.pem" ec2-user@ec2-**-***-**-***.us-west-2.compute.amazonaws.com
同一个目录,cd /Users/prince/Desktop。现在输入 ls 命令,您应该会看到 **.pem **.ppk known_hosts
注意:您必须尝试从同一目录登录,否则您将收到权限被拒绝错误,因为它无法从您当前的目录中找到 .pem 文件。
如果您希望能够从任何目录进行 SSH,您可以将以下内容添加到您的 ~/.ssh/config 文件中...
Host your.server
HostName ec2-user@ec2-**-***-**-***.us-west-2.compute.amazonaws.com
User ec2-user
IdentityFile ~/.ec2/id_rsa-gsg-keypair
IdentitiesOnly yes
现在,无论目录在哪里,您都可以通过 SSH 连接到您的服务器,只需键入 ssh your.server(或您在“主机”之后放置的任何名称)。
简而言之,pem 文件权限对机器上的每个用户都是开放的,即任何人都可以读取和写入该文件在 Windows 上,我发现使用 git bash 的方式很难执行 chmod。我已按照以下步骤操作
删除用户权限 chmod ugo-rwx abc.pem 仅为该用户添加权限 chmod u+rw run chmod 400 chmod 400 abc.pem
4.现在为您的实例尝试 ssh -i
我正在考虑其他事情,如果您尝试使用不存在的其他用户名登录,这就是您将收到的消息。
所以我假设您可能正在尝试使用 ec2-user 进行 ssh,但我记得最近大多数 centos AMI 例如使用 centos 用户而不是 ec2-user
因此,如果您是 ssh -i file.pem centos@public_IP,请告诉我您正在尝试使用正确的用户名进行 ssh,否则这可能是您看到此类错误消息的一个重要原因,即使您的 ~/.ssh/id_rsa 或 file.pem 具有正确的权限
解决方案是使其只能由文件的所有者读取,即八进制模式表示的最后两位应为零(例如模式0400)。
OpenSSH 在 authfile.c 中的一个名为 sshkey_perm_ok 的函数中检查这一点:
/*
* if a key owned by the user is accessed, then we check the
* permissions of the file. if the key owned by a different user,
* then we don't care.
*/
if ((st.st_uid == getuid()) && (st.st_mode & 077) != 0) {
error("@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@");
error("@ WARNING: UNPROTECTED PRIVATE KEY FILE! @");
error("@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@");
error("Permissions 0%3.3o for '%s' are too open.",
(u_int)st.st_mode & 0777, filename);
error("It is required that your private key files are NOT accessible by others.");
error("This private key will be ignored.");
return SSH_ERR_KEY_BAD_PERMISSIONS;
}
请参阅注释后的第一行:它针对文件的模式执行“按位与”,选择最后两个八进制数字中的所有位(因为 07 是 0b111 的八进制,其中每个位代表 r/ w/x,分别)。
对于偶然发现此问题的任何人,请注意:
如果您尝试使用与您共享的密钥进行 SSH,例如:
ssh -i /path/to/keyfile.pem user@some-host
其中 keyfile.pem 是与您共享的私钥/公钥,并且您正在使用它进行连接,确保将其保存到 ~/.ssh/ 和 chmod 777。
当文件保存在我机器上的其他位置时尝试使用该文件会导致 OP 出现错误。不确定是否直接相关。
