Em um servidor com forte controle de acesso, é possível garantir que todas as chaves permitidas tenham proteção por senha.
existe uma maneira de negar o acesso a alguma chave se ela não estiver protegida por senha. Não me importo se os usuários usam agente ou não (exceto se o agente for a chave para garantir a senha ...). Eu gostaria de ter certeza de que todas as chaves usadas estão protegidas com senha.
obrigado por suas luzes.
Resposta curta: você não pode.
(nem você pode controlar que o usuário não escreverá a senha em um papel ao lado do teclado)
Suposição selvagem e resposta longa:
você pode usar senha menos autenticação ssh do host de retransmissão onde:
Isso envolve usar uma solução comercial (e gastar dinheiro) ou construir a sua própria (e assumir um protocolo de acesso não seguro/não testado).
dois tons de segurança
existem dois objetivos principais no controle de acesso:
A solução comercial pode fornecer o primeiro, que registra quando/de onde o usuário se conecta, qual tipo de usuário, possui estatísticas sobre o tempo de conexão e assim por diante.
Você pode desenvolver uma "coisa" por conta própria (fiz para um cliente), terá que gastar tempo e dinheiro para configurar sua solução.
Ambas as soluções anteriores permitiriam que você passasse/negociasse uma auditoria de segurança.
Tenha em mente que, se você realmente deseja controlar o acesso, terá que configurar uma equipe de segurança qualificada, trabalhando em turnos, monitorando o acesso e capaz de entender e reagir a alertas e ataques.