SSH Private Key-Berechtigungen mit Git GUI oder ssh-keygen sind zu offen

Vor kurzem war ich nicht in der Lage, Github zu klonen oder zu pushen, und ich versuche, die Grundursache zu finden.

Dies ist auf Windows

Ich habe Cygwin + Git sowie Msysgit.

Msysgit wurde mit folgenden Optionen installiert:

• OpenSSH
• Verwenden Sie Git über die Windows-Eingabeaufforderung

Das gibt mir 4 Umgebungen, in denen ich versuchen kann, Git zu verwenden:

• Windows-Cmd-Eingabeaufforderung
• Power Shell
• Git Bash
• Cygwin

Irgendwie habe ich es geschafft, mich in eine Position zu bringen, in der beim Versuch, ein Repository mit msysgit, cmd.exe oder Powershell zu klonen, die folgende Fehlermeldung angezeigt wird:

> Initialized empty Git repository in
> C:/sandbox/SomeProject/.git/
> @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
> @    WARNING: UNPROTECTED PRIVATE KEY FILE!          @
> @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
> Permissions 0644 for
> '/c/Users/Ben/.ssh/id_rsa' are too
> open. It is recommended that your
> private key files are NOT accessible
> by others. This private key will be
> ignored. bad permissions: ignore key:
> /c/Users/Ben/.ssh/id_rsa Permission
> denied (publickey). fatal: The remote
> end hung up unexpectedly

Hierbei wird der Ordner .ssh in meinem Ordner c: \ users \ ben \ verwendet, der von msysgit verwendet wird. Ich vermute, dass Cygwin funktioniert, weil sich der .ssh-Ordner an einer anderen Stelle befindet, aber ich bin mir nicht sicher, warum

In Git Bash überprüfe ich die Berechtigungen:

$ ls -l -a ~/.ssh

Welches gibt mir:

drwxr-xr-x    2 Ben      Administ        0 Oct 12 13:09 .    
drwxr-xr-x   34 Ben      Administ     8192 Oct 12 13:15 ..    
-rw-r--r--    1 Ben      Administ     1743 Oct 12 12:36 id_rsa
-rw-r--r--    1 Ben      Administ      399 Oct 12 12:36 id_rsa.pub    
-rw-r--r--    1 Ben      Administ      407 Oct 12 13:09 known_hosts

Diese Berechtigungen sind anscheinend zu entspannt. Wie sie so gekommen sind, weiß ich nicht.

Ich kann versuchen, sie zu ändern ...

$ chmod -v -R 600 ~/.ssh

was mir sagt:

mode of `.ssh' changed to 0600 (rw-------)
mode of `.ssh/id_rsa' changed to 0600 (rw-------)
mode of `.ssh/id_rsa.pub' changed to 0600 (rw-------)
mode of `.ssh/known_hosts' changed to 0600 (rw-------)

Aber es scheint keine Wirkung zu haben. Ich bekomme immer noch den gleichen Fehler und tue es

$ ls -l -a ~/.ssh

liefert die gleichen Berechtigungen wie zuvor.

AKTUALISIEREN:

Ich habe versucht, die Berechtigungen für diese Dateien in cygwin zu korrigieren, und cygwin meldet ihre Berechtigungen korrekt. Gitbash funktioniert nicht: alt text http://cdn.cloudfiles.mosso.com/c54102/app7962031255448924.jpg

Irgendwelche Ideen, wie ich diese Berechtigungen wirklich reparieren kann?

Sie haben die Berechtigungen für das gesamte Verzeichnis geändert. Ich bin damit einverstanden, dass Splash eine schlechte Idee ist. Wenn Sie sich an die ursprünglichen Berechtigungen für das Verzeichnis erinnern können, würde ich versuchen, sie darauf zurückzusetzen und dann die folgenden Schritte auszuführen

cd ~/.ssh
chmod 700 id_rsa

im .ssh-Ordner. Dadurch wird die Datei id_rsa nur für den Eigentümer (Sie) auf rwx (Lesen, Schreiben, Ausführen) und für alle anderen auf Null gesetzt.

Wenn Sie sich nicht an die ursprünglichen Einstellungen erinnern können, fügen Sie einen neuen Benutzer hinzu und erstellen Sie einen Satz SSH-Schlüssel für diesen Benutzer. Erstellen Sie daher einen neuen .ssh-Ordner mit Standardberechtigungen. Sie können diesen neuen .ssh-Ordner als Referenz für Berechtigungen zum Zurücksetzen Ihres .ssh-Ordners und Ihrer Dateien verwenden.

Wenn das nicht funktioniert, würde ich versuchen, msysgit zu deinstallieren, ALLE .ssh-Ordner auf dem Computer zu löschen (nur aus Sicherheitsgründen), dann msysgit mit den gewünschten Einstellungen neu zu installieren und erneut von vorne zu beginnen (obwohl ich glaube, Sie haben es mir gesagt du hast es schon versucht).

Bearbeitet: Habe auch gerade diesen Link über Google gefunden - Fixing "WARNUNG: UNGESCHÜTZTE PRIVATE SCHLÜSSELDATEI!" unter Linux Obwohl es auf Linux ausgerichtet ist, kann es hilfreich sein, da es sich um Liunx-Berechtigungen und dergleichen handelt.

Es gibt einen Fehler mit Cygwins chmod, siehe:

/superuser/397288/using-cygwin-in-windows-8-chmod-600-does-not-work-as-expected

chgrp -Rv Users ~/.ssh/* 
chmod -vR 600 ~/.ssh/id_rsa

Für * nix-Systeme ist die offensichtliche Lösung chmod 600 id_rsaofc, aber unter Windows 7 musste ich meinen Kopf eine Weile gegen die Wand schlagen, aber dann fand ich die magische Lösung:

Gehen Sie zu Arbeitsplatz / Rechtsklick / Eigenschaften / Erweiterte Systemeinstellungen / Umgebungsvariablen und LÖSCHEN Sie die Variable (möglicherweise sowohl aus der System- als auch aus der Benutzerumgebung):

CYGWIN

Grundsätzlich ist es ein Fehler in mingw32, der von Git Windows Binary verwendet wird, da immer alle Dateien 644 und alle Ordner 755 angezeigt werden. Das Entfernen der Umgebungsvariablen ändert dieses Verhalten nicht, weist ssh.exe jedoch anscheinend an, das Problem zu ignorieren. Wenn Sie über die Sicherheitseinstellungen des Explorers die richtigen Berechtigungen für Ihre id_rsa festlegen (es ist wirklich nicht erforderlich, dass ein anderer Benutzer als Ihr eigener Benutzer vorhanden ist, nicht "jeder", nicht "Administratoren", nicht "System". Keiner. Nur Sie). Sie werden immer noch sicher sein.

Nun, warum mingw32, ein anderes System als Cygwin, würde jede Verwendung der CYGWIN Umgebungsvariable, ist mir schleierhaft . Sieht für mich wie ein Käfer aus.

Ich bin auf XP und dies erlaubte Git Bash, mit Github zu kommunizieren (nach viel Frust):

1. kopieren c:\cygwin\bin\cyg*(~ 50 Dateien) nachc:\Program Files\Git\bin\
2. kopieren c:\cygwin\bin\ssh.exenach c:\Program Files\Git\bin\(überschreiben)

3. Erstellen Sie die Datei c:\Documents and Settings\<username>\.ssh\configmit:

   Host github.com
       User git
       Hostname github.com
       PreferredAuthentications publickey
       IdentityFile "/cygdrive/c/Documents and Settings/<username>/.ssh/id_rsa"
   

4. (optional) Verwenden Sie diese Option ssh -v git@github, um das Debuggen der Verbindung anzuzeigen.

5. Versuchen Sie es mit einem Push!

Hintergrund: Das allgemeine Problem ist eine Kombination dieser beiden:

• BUG: mingw32 sieht alle Dateien als 644 (andere / gruppenlesbar), und nichts, was ich in mingw32, cygwin oder Windows versucht habe, konnte das Problem beheben.
• Die SSH-Version von mingw32 lässt dies für private Schlüssel nicht zu (im Allgemeinen eine gute Richtlinie auf einem Server).

Für Windows 7 mit dem hier gefundenen Git (es verwendet MinGW, nicht Cygwin):

1. Klicken Sie im Windows Explorer mit der rechten Maustaste auf Ihre Datei id_rsa und wählen Sie Eigenschaften
2. Wählen Sie die Registerkarte Sicherheit und klicken Sie auf Bearbeiten ...
3. Aktivieren Sie das Kontrollkästchen Verweigern neben Vollzugriff für alle Gruppen außer Administratoren
4. Wiederholen Sie Ihren Git-Befehl

OK, hier ist, wie ich die Änderung meiner Windows-Dateien in Bezug auf die Berechtigungen selbst unter Win7 erzwungen habe: Suchen Sie Ihren SSH-Schlüssel im Windows Explorer: C: \ Users [Ihr_Benutzername_hier] .ssh \ id_rsa

Klicken Sie mit der rechten Maustaste auf Datei> Eigenschaften> Registerkarte Sicherheit> Schaltfläche Erweitert> Berechtigungen ändern

Entfernen Sie nun alle Personen, die nicht Ihr Benutzername sind. Dies schließt Administrator- und Systembenutzer ein. An dieser Stelle erhalten Sie möglicherweise einen Dialog über das Erben von Berechtigungen. Wählen Sie die Option, die NICHT erbt, da wir nur diese Datei ändern möchten.

Klicken Sie auf OK und speichern Sie bis zum Abschluss.

Ich habe tagelang damit gekämpft, weil meine Fenster die Dateiberechtigungen über die Befehlszeile nicht ändern würden. Auf diese Weise wird es auch WIRKLICH gemacht - anstatt aufregende Workarounds zu verwenden, die seltsame Konsequenzen haben können.

Das Ändern der Dateiberechtigungen von Eigenschaften, das Deaktivieren der Vererbung und das Ausführen von chmod 400 hat bei mir nicht funktioniert. Die Berechtigungen für meine private Schlüsseldatei waren:

-r - r ----- 1 alex Keine 1766 8. März 13:04 /home/alex/.ssh/id_rsa

Dann bemerkte ich, dass die Gruppe Keine war, also rannte ich einfach

chown alex: Administratoren ~ / .ssh / id_rsa

Dann konnte ich die Berechtigungen mit chmod 400 erfolgreich ändern und einen Git-Push ausführen.

FÜR MAC-BENUTZER:

Ändern Sie die Einstellungen Ihrer Schlüsselpaardatei, indem Sie dies im Terminal eingeben:

chmod og-r *filename.pem*

(Stellen Sie sicher, dass Sie sich im richtigen Verzeichnis befinden oder dass der Dateiname im Befehl korrekt ist).

Ich löse es laufend:

chmod 400 ~/.ssh/id_rsa

Ich hoffe zu helfen. Viel Glück.

Nachdem ich kürzlich auf das Problem gestoßen war und dies eines der besten Google-Ergebnisse war, dachte ich, ich würde mich mit einer einfachen Problemumgehung einmischen, die in der Diskussion hier dokumentiert ist: http://code.google.com/p/msysgit/issues/detail?id = 261 # c40

Sie müssen lediglich die mysys ssh.exe mit Ihrer cygwin ssh.exe überschreiben

Ich hatte vor kurzem das gleiche Problem unter Windows XP. Ich habe versucht, 700 in meiner ~ / .ssh / id_rsa-Datei zu ändern, aber es schien nicht zu funktionieren. Als ich mir die Berechtigungen mit ls -l für ~ / .ssh / id_rsa ansah, konnte ich feststellen, dass meine effektiven Berechtigungen immer noch 644 waren.

Dann erinnerte ich mich, dass Windows-Berechtigungen auch Berechtigungen von den Ordnern erben und der Ordner immer noch für alle geöffnet war. Eine Lösung könnte darin bestehen, Berechtigungen für den Ordner festzulegen, aber ich denke, ein besserer Weg wäre, das System anzuweisen, die Vererbung für diese Datei zu ignorieren. Dies kann mithilfe der erweiterten Option auf der Registerkarte Sicherheit in den Eigenschaften der Datei erfolgen und das Kontrollkästchen "Von übergeordneten Berechtigungen erben ..." deaktiviert ist.

Dies kann für andere mit demselben Problem hilfreich sein.

Ich spiele gerade mit Git 1.6.5 und kann Ihr Setup nicht replizieren:

Administrator@WS2008 /k/git
$ ll ~/.ssh
total 8
drwxr-xr-x    2 Administ Administ     4096 Oct 13 22:04 ./
drwxr-xr-x    6 Administ Administ     4096 Oct  6 21:36 ../
-rw-r--r--    1 Administ Administ        0 Oct 13 22:04 c.txt
-rw-r--r--    1 Administ Administ      403 Sep 30 22:36 config_disabled
-rw-r--r--    1 Administ Administ      887 Aug 30 16:33 id_rsa
-rw-r--r--    1 Administ Administ      226 Aug 30 16:34 id_rsa.pub
-rw-r--r--    1 Administ Administ      843 Aug 30 16:32 id_rsa_putty.ppk
-rw-r--r--    1 Administ Administ      294 Aug 30 16:33 id_rsa_putty.pub
-rw-r--r--    1 Administ Administ     1626 Sep 30 22:49 known_hosts

Administrator@WS2008 /k/git
$ git clone [email protected]:alexandrul/gitbook.git
Initialized empty Git repository in k:/git/gitbook/.git/
remote: Counting objects: 1152, done.
remote: Compressing objects: 100% (625/625), done.
remote: Total 1152 (delta 438), reused 1056 (delta 383)s
Receiving objects: 100% (1152/1152), 1.31 MiB | 78 KiB/s, done.
Resolving deltas: 100% (438/438), done.

Administrator@WS2008 /k/git
$ ssh [email protected]
ERROR: Hi alexandrul! You've successfully authenticated, but GitHub does not pro
vide shell access
Connection to github.com closed.

$ ssh -v
OpenSSH_4.6p1, OpenSSL 0.9.8e 23 Feb 2007

chmod ändert auch die Dateiberechtigungen für meine Schlüssel nicht.

Umgebung:

• Windows Server 2008 SP2 unter NTFS
• Benutzer: Administrator
• Umgebungsvariablen:
  • PLINK_PROTOCOL = ssh
  • HOME = / c / profile / home

Update: Git 1.6.5.1 funktioniert auch.

Dies ist ein besonders problematisches Problem unter Windows, bei dem es nicht ausreicht, nur die Dateien korrekt zu ändern. Sie müssen Ihre Umgebung einrichten.

Unter Windows hat das bei mir funktioniert:

1. Installieren Sie cygwin.

2. Ersetzen Sie die msysgit ssh.exe durch die ssh.exe von cygwin.

3. Mit cygwin bash chmod 600 die private Schlüsseldatei, die für mich "id_rsa" war.

4. Wenn es immer noch nicht funktioniert, gehen Sie zu Systemsteuerung -> Systemeigenschaften -> Erweitert -> Umgebungsvariablen und fügen Sie die folgende Umgebungsvariable hinzu. Wiederholen Sie dann Schritt 3.
   
   Variabler Wert
   CYGWIN sbmntsec

Ich konnte dies beheben, indem ich zwei Dinge tat, obwohl Sie möglicherweise nicht Schritt 1 tun müssen.

1. Kopieren Sie von cygwin ssh.exe und allen cyg * .dll in das bin-Verzeichnis von Git (dies ist möglicherweise nicht erforderlich, aber es ist ein Schritt, den ich unternommen habe, aber dies allein hat die Dinge nicht behoben).

2. Befolgen Sie die Schritte von: http://zylstra.wordpress.com/2008/08/29/overcome-herokus-permission-denied-publickey-problem/

   Ich habe meiner ~ / .ssh / config-Datei einige Details hinzugefügt:

Host heroku.com
Hostname heroku.com
Port 22
IdentitätenNur ja
IdentityFile ~ / .ssh / id_heroku
TCPKeepAlive yes
User brandon

Ich musste User als meine E-Mail-Adresse für heroku.com verwenden. Hinweis: Dies bedeutet, dass Sie einen Schlüssel erstellen müssen. Ich habe diesen befolgt, um den Schlüssel zu erstellen. Wenn Sie zur Eingabe des Schlüsselnamens aufgefordert werden, müssen Sie id_heroku http: / angeben /help.github.com/win-set-up-git/

1. 
   Fügen Sie dann den Schlüssel hinzu: heroku keys: add ~ / .ssh / id_heroku.pub

Der Trick für mich war, die CYGWIN- Umgebungsvariable mit " tty nodosfilewarning " zu aktualisieren . Ich musste nicht einmal den Schlüssel ändern.

Keine direkte Antwort auf die Hauptfrage, sondern auf Ihre Frage, wie der Ordner von cygwin funktioniert ... In der Regel stellt cygwin alle "Ihre" Dateien unter das Äquivalent von c: \ cygwin \ home \ username. Dieser Ordner wird für benutzerspezifische Einstellungen und nicht für das Windows-Benutzerverzeichnis behandelt.

Sofern es keinen Grund gibt, warum Sie dieses private / öffentliche Schlüsselpaar (id_rsa / id_rsa.pub) behalten oder Ihren Kopf gerne an die Wand schlagen möchten, würde ich empfehlen, sie nur neu zu erstellen und Ihren öffentlichen Schlüssel auf github zu aktualisieren.

Erstellen Sie zunächst eine Sicherungskopie Ihres Verzeichnisses ~ / .ssh.

Geben Sie Folgendes ein und antworten Sie mit "y", ob Sie die vorhandenen Dateien überschreiben möchten.

ssh-keygen -t rsa

Kopieren Sie den Inhalt des öffentlichen Schlüssels in Ihre Zwischenablage. (Im Folgenden erfahren Sie, wie Sie dies auf einem Mac tun sollten.)

cat ~/.ssh/id_rsa.pub | pbcopy

Gehen Sie zu Ihrem Github-Konto und fügen Sie diesen Schlüssel hinzu.

Name: My new public key
Key: <PASTE>

Beenden Sie Ihr Terminal und starten Sie ein neues neu.

Wenn Sie sinnlose Fehlermeldungen wie "Geben Sie Ihr Passwort ein" für Ihren öffentlichen Schlüssel erhalten, wenn Sie noch nie einen eingegeben haben, ziehen Sie diese Technik des Neustarts in Betracht. Wie Sie oben sehen, ist es nicht kompliziert.

Ich habe es nie geschafft, dass git in Powershell komplett funktioniert. Aber in der Git-Bash-Shell hatte ich keine Probleme mit Berechtigungen, und ich musste chmod usw. nicht einstellen. Nachdem ich das ssh zu Github hinzugefügt hatte, war ich betriebsbereit.

Typ am Terminal:

chmod -Rf 700 ~/.ssh/

Und versuche es erneut.

Haben Sie die Schlüsseldatei von einem anderen Computer kopiert?

Ich habe gerade eine id_rsaDatei auf dem Client-Computer erstellt und dann den gewünschten Schlüssel eingefügt. Keine Berechtigungsprobleme. Nichts zu setzen. Es hat einfach funktioniert. Es funktioniert auch, wenn Sie PuTTYgen verwenden, um den privaten Schlüssel zu erstellen.

Möglicherweise ein Problem mit versteckten Gruppen, wenn Sie es von einem anderen Computer kopieren.

Getestet auf zwei Windows 8.1-Computern. Verwenden von Sublime Text 3 zum Kopieren und Einfügen des privaten Schlüssels. Verwenden von Git Bash (Git-1.9.4-Preview20140611).

Nachdem ich meine Cygwin-Installation um Februar 2015 ( 1.7.34(0.285/5/3) 2015-02-04 12:14 x86_64 Cygwin) auf eine Version aktualisiert hatte , stieß ich plötzlich auf die UNPROTECTED PRIVATE KEY FILEWarnung.

Ich habe dieses Problem behoben, nachdem ich den folgenden Befehl ausgeführt habe:

setfacl -s u::rw-,g::---,o:--- ~/.ssh/id_rsa

(Eine andere Antwort auf eine andere Frage gibt mehr Kontext)

@ kobys Antwort funktioniert bei mir nicht, also nehme ich eine kleine Änderung vor.

cd ~/.ssh
chmod 700 id_rsa.pub

Das funktioniert gut für mich auf dem Mac.

Ich hatte das gleiche Problem unter Windows 10, bei dem ich versuchte, SSH in eine Vagrant-Box zu integrieren. Dies scheint ein Fehler in der alten OpenSSH-Version zu sein. Was hat bei mir funktioniert:

1. Installieren Sie das neueste OpenSSH von http://www.mls-software.com/opensshd.html
2. where.exe ssh

(Beachten Sie die ".exe", wenn Sie Powershell verwenden.)

Sie könnten etwas sehen wie:

C:\Windows\System32\OpenSSH\ssh.exe
C:\Program Files\OpenSSH\bin\ssh.exe
C:\opscode\chefdk\embedded\git\usr\bin\ssh.exe

Beachten Sie, dass im obigen Beispiel das neueste OpenSSH an zweiter Stelle im Pfad steht, sodass es nicht ausgeführt wird.

So ändern Sie die Reihenfolge:

1. Klicken Sie mit der rechten Maustaste auf die Windows-Schaltfläche -> Einstellungen -> "Systemumgebungsvariablen bearbeiten".
2. Klicken Sie auf der Registerkarte "Erweitert" auf "Umgebungsvariablen ...".
3. Bearbeiten Sie unter Systemvariablen "Pfad".
4. Wählen Sie "C: \ Programme \ OpenSSH \ bin" und "Nach oben", damit es oben angezeigt wird.
5. OK klicken
6. Starten Sie Ihre Konsole neu, damit die neuen Umgebungsvariablen angewendet werden können.

Mein System ist ein bisschen durcheinander mit bash / cygwin / git / msysgit / vielleicht-mehr ...

chmodhatte keine Auswirkung auf den Schlüssel oder die configDatei.

Dann habe ich beschlossen, es von Windows aus zu erreichen, was funktioniert hat.

1. Klicken Sie mit der rechten Maustaste auf die Datei, deren Berechtigung korrigiert werden muss.
2. Wählen Sie Properties.
3. Wählen Sie die SecurityRegisterkarte.
4. Klicken Sie Advancedunten.
5. Klicken Sie Changeneben Owneroben auf.
6. Geben Sie "My-Awesome-Username" ein (ändern Sie dies offensichtlich in Ihren aktuellen Windows-Benutzernamen) und klicken Sie Check Namesdann auf OK.
7. Unter Permission entries:Markieren Sie jeden Benutzer, der nicht „My-Super-Benutzername“ ist, und wählen SieRemove . Wiederholen Sie diesen Vorgang, bis nur noch "My-Awesome-Username" übrig ist.
8. Wählen Sie "My-Awesome-Username" und klicken Sie auf Edit unten.
9. Stellen Sie sicher, dass Type:oben eingestellt ist Allow, und aktivieren Sie das Kontrollkästchen neben Full control.

10. Hit OK, Apply, OK, OK.

11. Probieren Sie es jetzt noch einmal aus ...

Scheint, dass der Mock-Bash manchmal den Dateibesitz nicht kontrollieren kann. Es ist besonders seltsam, da es aus einem Mock-Bash-Skript generiert wird. Stelle dir das vor.

Keine der hier vorgeschlagenen Problemumgehungen (chmod / chgrp / setfacl / windows perms) funktionierte für mich mit msys64 auf einer Windows 7-Unternehmens-VM. Am Ende habe ich das Problem umgangen, indem ich einen SSH-Agenten mit dem auf stdin bereitgestellten Schlüssel verwendet habe. Wenn Sie dies zu meinem hinzufügen, .bash_profilewird es zum Standard für mein Login:

eval $(ssh-agent -s)
cat ~/.ssh/id_rsa | ssh-add -k -

Jetzt kann ich mit SSH-Fernbedienungen Git Push und Pull machen.