在具有强访问控制的服务器上,是否可以确保所有允许的密钥都有密码保护。
如果某些密钥不受密码保护,是否有办法拒绝访问它们。我不介意用户是否使用代理(除非代理是确保密码的关键......)。我想确保所有使用的密钥都受到密码保护。
谢谢你的光。
答案1
简短的回答:你不能。
(你也不能控制用户不在键盘旁边的纸上写密码)
疯狂的猜测和长答案:
您可能会使用来自中继主机的无密码 ssh 身份验证,其中:
- 使用中央帐户(如活动目录)的用户日志,
- 用户在中继主机上没有 root 访问权限。
这涉及使用商业解决方案(并花钱)或构建自己的解决方案(并假设不安全/未经测试的访问协议)。
两种安全保障
访问控制有两个主要目标:
- 遵守某些规范(通过安全审核)
- 有效的访问控制(防止和阻止入侵)
商业解决方案可以提供第一个,即记录用户连接的时间/地点、用户类型、有关连接时间的统计信息等。
您可以自己开发一个“东西”(我为客户开发),您必须花费时间和金钱来设置您的解决方案。
之前的两种解决方案都允许您通过/讨价还价安全审核。
请记住,如果您确实想控制访问,则必须建立一支知识渊博的安全团队,轮班工作,监控访问并能够理解警报和攻击并做出反应。