公開鍵に一致するパスワードがある場合にのみ公開鍵認証を有効にするポリシーをどのように設定できますか？

Question

ユーザーの秘密鍵に対する適切な保護を強制することはできません。 ssh-keygenのカスタム置換を実装しても、ユーザーが秘密鍵を抽出してネットワーク共有にプレーンテキストとして保存するのを防ぐことはできません。

ユーザーがセキュリティガイドラインに従うことを信頼できます。ユーザーが正しいタスクを実行するようにユーザー定義ツールを実装したい場合があります。

2つのオプション：

ハードウェアキートークンを設定し、トークンデバイスをロックするセキュリティプロセスを実装できます。したがって、ユーザーは秘密鍵ファイルを処理する必要はありません。キートークンをサポートするには、クライアントソフトウェアをインストールする必要があります。
もう1つの選択肢は、数時間だけ有効な短期OpenSSHユーザー証明書（X.509証明書ではない）を発行するSSH-CAを設定することです。ユーザーはまだSSH-CAクライアントを操作して秘密鍵を抽出できます。ただし、短い証明書寿命の間にのみ乱用される可能性があります。これは主にOpenSSHクライアントとサーバー、libsshベースのエントリにのみ適用されます。

Answer 1

ユーザーの秘密鍵に対する適切な保護を強制することはできません。 ssh-keygenのカスタム置換を実装しても、ユーザーが秘密鍵を抽出してネットワーク共有にプレーンテキストとして保存するのを防ぐことはできません。

ユーザーがセキュリティガイドラインに従うことを信頼できます。ユーザーが正しいタスクを実行するようにユーザー定義ツールを実装したい場合があります。

2つのオプション：

ハードウェアキートークンを設定し、トークンデバイスをロックするセキュリティプロセスを実装できます。したがって、ユーザーは秘密鍵ファイルを処理する必要はありません。キートークンをサポートするには、クライアントソフトウェアをインストールする必要があります。
もう1つの選択肢は、数時間だけ有効な短期OpenSSHユーザー証明書（X.509証明書ではない）を発行するSSH-CAを設定することです。ユーザーはまだSSH-CAクライアントを操作して秘密鍵を抽出できます。ただし、短い証明書寿命の間にのみ乱用される可能性があります。これは主にOpenSSHクライアントとサーバー、libsshベースのエントリにのみ適用されます。

おすすめ記事