起動時に AutoSSH を実行するようにマシンを設定する必要がありますが、SSH に使用するキーにパスフレーズまたは他の形式の保護を適用したいです。キーを保護しながら、システム起動時に AutoSSH が自動的にキーにアクセスできるようにする方法はありますか? 保護は、通常のパスフレーズ レベルである必要はなく、より高レベル (ファイル システムの一部など) にすることもできます。ただし、再起動時に自動的に再起動できる必要があります。よろしくお願いします。
私のケースの解決策:これは、説明されている問題の解決策ではありませんが、私の状況ではこの解決策が必要でした (そしておそらく他の人の状況でも必要でした)。キーは、リモート サーバーとのリバース SSH トンネルを開くために使用されていました。クライアント デバイスは、あまり安全ではない (物理的に) 位置にあったため、追加の保護が必要でした。キーを保護する代わりに、このキーがリモート サーバーで実行できるアクセスを制限しました (つまり、サーバーはこのキーにリバース SSH トンネルを確立することのみを許可し、他の操作は許可しません)。
答え1
要求されていることは実現不可能です。パスワード/パスフレーズは、何らかの形で役立つように、誰かが書き込む必要があります。キーを暗号化し、パスフレーズをそのすぐ隣に保存すると ( sshpass、expectスクリプト)、キーを暗号化しても意味がありません。
したがって、セキュリティ(再起動のたびにパスフレーズを要求する)または高可用性(暗号化されていないキーを保存する)のいずれかを実現できます。
最後の可能性は、HSM モジュールまたはスマートカードを使用することです。これにより、誰かがキーを他の場所にコピーすることはできなくなりますが、HSM で秘密キー操作を行うには、その横に PIN を保存する必要があります。