如何设置策略,仅当公钥具有符合要求的密码时才启用公钥身份验证?
目前人们用 来制作钥匙ssh-keygen
。我们希望强制创建和使用带有符合标准的密码的密钥。
谢谢。
答案1
无法强制执行对用户私钥的适当保护。即使您要实现 ssh-keygen 的自定义替换,您也无法阻止用户提取私钥并将其以明文形式存储在网络共享上。
您只需相信用户会遵循您的安全指南即可。您可能想要实现自定义工具来指导用户做正确的事情。
两种选择:
- 您可以实施一个安全流程来配置硬件密钥令牌并锁定令牌设备。因此用户不必处理私钥文件。需要注意的是,您必须安装客户端软件来支持密钥令牌。
- 另一种选择是设置 SSH-CA,它颁发短期 OpenSSH 用户证书(不是 X.509 证书),该证书仅在几个小时内有效。用户仍然可以操纵 SSH-CA 客户端并提取私钥。但它只能在较短的证书生命周期内被滥用。这主要仅适用于 OpenSSH 客户端和服务器以及基于 libssh 的东西。