主页 / unix / 问题 / 566324
Accepted
David West
Asked: 2020-02-08 08:36:21 +0800 CST

如何设置策略以仅在公钥具有满足要求的密码时启用公钥身份验证?

  • 772

如何设置策略以仅在公钥具有满足要求的密码时启用公钥身份验证?

目前人们用ssh-keygen. 我们希望强制创建和使用具有符合标准的密码的密钥。

谢谢。

authentication key-authentication

1 个回答

  1. Best Answer

    无法强制执行对用户私钥的体面保护。即使您为 ssh-keygen 实施自定义替换,您也无法阻止用户提取私钥并将其以明文形式存储在网络共享中。

    您只需要相信用户会遵循您的安全指南。您可能希望实施自定义工具来指导用户做正确的事情。

    两种选择:

    1. 您可以实施安全流程来配置硬件密钥令牌并锁定令牌设备。因此用户不必处理私钥文件。需要注意的是,您必须安装客户端软件才能支持密钥令牌。
    2. 另一种选择是设置一个 SSH-CA,它颁发仅在几个小时内有效的短期 OpenSSH 用户证书(不是 X.509 证书)。用户仍然可以操纵 SSH-CA 客户端并提取私钥。但它只会在较短的证书生命周期内被滥用。这主要只适用于 OpenSSH 客户端和服务器以及基于 libssh 的东西。
    • 0

相关问题