公開鍵に一致するパスワードがある場合にのみ公開鍵認証を有効にするポリシーをどのように設定できますか?

公開鍵に一致するパスワードがある場合にのみ公開鍵認証を有効にするポリシーをどのように設定できますか?

公開鍵に一致するパスワードがある場合にのみ公開鍵認証を有効にするポリシーをどのように設定できますか?

現在の人々はそれを使って鍵を作りますssh-keygen。標準に準拠したパスワードを使用して鍵を生成して使用するようにしたいと思います。

ありがとうございます。

答え1

ユーザーの秘密鍵に対する適切な保護を強制することはできません。 ssh-keygenのカスタム置換を実装しても、ユーザーが秘密鍵を抽出してネットワーク共有にプレーンテキストとして保存するのを防ぐことはできません。

ユーザーがセキュリティガイドラインに従うことを信頼できます。ユーザーが正しいタスクを実行するようにユーザー定義ツールを実装したい場合があります。

2つのオプション:

  1. ハードウェアキートークンを設定し、トークンデバイスをロックするセキュリティプロセスを実装できます。したがって、ユーザーは秘密鍵ファイルを処理する必要はありません。キートークンをサポートするには、クライアントソフトウェアをインストールする必要があります。
  2. もう1つの選択肢は、数時間だけ有効な短期OpenSSHユーザー証明書(X.509証明書ではない)を発行するSSH-CAを設定することです。ユーザーはまだSSH-CAクライアントを操作して秘密鍵を抽出できます。ただし、短い証明書寿命の間にのみ乱用される可能性があります。これは主にOpenSSHクライアントとサーバー、libsshベースのエントリにのみ適用されます。

関連情報