Ich muss eine Maschine so einrichten, dass sie beim Start AutoSSH verwendet, aber ich hätte lieber eine Passphrase oder eine andere Form des Schutzes für den Schlüssel, der für SSH verwendet wird. Gibt es eine Möglichkeit, den Schlüssel zu schützen und AutoSSH gleichzeitig den automatischen Zugriff darauf beim Systemstart zu ermöglichen? Der Schutz muss nicht unbedingt der normalen Passphrase-Ebene entsprechen, sondern könnte auch höher sein (z. B. auf einem Teil des Dateisystems). Aber es muss trotzdem möglich sein, beim Neustart automatisch neu zu starten. Danke!
Lösung für meinen Fall:Dies ist keine Lösung für das beschriebene Problem, aber es behebt die Notwendigkeit in meiner Situation (und löst vielleicht auch die Situation von jemand anderem). Der Schlüssel wurde verwendet, um einen Reverse-SSH-Tunnel mit einem Remote-Server zu öffnen. Das Client-Gerät befand sich an einer weniger sicheren (physischen) Position, weshalb der zusätzliche Schutz erwünscht war. Anstatt den Schlüssel zu schützen, habe ich eingeschränkt, was dieser Schlüssel auf dem Remote-Server tun darf (d. h. der Server erlaubt diesem Schlüssel nur, den Reverse-SSH-Tunnel herzustellen, aber nichts anderes).
Antwort1
Was Sie verlangen, ist unmöglich zu erreichen. Das Passwort/die Passphrase muss von jemandem geschrieben werden, um irgendwie nützlich zu sein. Wenn Sie den Schlüssel verschlüsseln und die Passphrase direkt daneben speichern ( sshpass, expectSkript), hat es keinen Sinn, den Schlüssel zu verschlüsseln.
Sie können also entweder für Sicherheit sorgen (bei jedem Neustart die Passphrase anfordern) oder für hohe Verfügbarkeit (nicht verschlüsselten Schlüssel speichern).
Die letzte Möglichkeit ist die Verwendung eines HSM-Moduls oder einer Smartcard. Dadurch wird verhindert, dass jemand den Schlüssel irgendwo anders hin kopiert, aber Sie müssen trotzdem die PIN daneben aufbewahren, um private Schlüsseloperationen auf dem HSM durchführen zu können.