如何设置策略，仅当公钥具有符合要求的密码时才启用公钥身份验证？

Question

无法强制执行对用户私钥的适当保护。即使您要实现 ssh-keygen 的自定义替换，您也无法阻止用户提取私钥并将其以明文形式存储在网络共享上。

您只需相信用户会遵循您的安全指南即可。您可能想要实现自定义工具来指导用户做正确的事情。

两种选择：

您可以实施一个安全流程来配置硬件密钥令牌并锁定令牌设备。因此用户不必处理私钥文件。需要注意的是，您必须安装客户端软件来支持密钥令牌。
另一种选择是设置 SSH-CA，它颁发短期 OpenSSH 用户证书（不是 X.509 证书），该证书仅在几个小时内有效。用户仍然可以操纵 SSH-CA 客户端并提取私钥。但它只能在较短的证书生命周期内被滥用。这主要仅适用于 OpenSSH 客户端和服务器以及基于 libssh 的东西。

Answer 1

无法强制执行对用户私钥的适当保护。即使您要实现 ssh-keygen 的自定义替换，您也无法阻止用户提取私钥并将其以明文形式存储在网络共享上。

您只需相信用户会遵循您的安全指南即可。您可能想要实现自定义工具来指导用户做正确的事情。

两种选择：

您可以实施一个安全流程来配置硬件密钥令牌并锁定令牌设备。因此用户不必处理私钥文件。需要注意的是，您必须安装客户端软件来支持密钥令牌。
另一种选择是设置 SSH-CA，它颁发短期 OpenSSH 用户证书（不是 X.509 证书），该证书仅在几个小时内有效。用户仍然可以操纵 SSH-CA 客户端并提取私钥。但它只能在较短的证书生命周期内被滥用。这主要仅适用于 OpenSSH 客户端和服务器以及基于 libssh 的东西。

相关内容