En un servidor con un fuerte control de acceso, es posible garantizar que todas las claves permitidas tengan una protección con contraseña.
¿Hay alguna manera de denegar el acceso a alguna clave si no está protegida por contraseña? No me importa si los usuarios usan agente o no (excepto si el agente es la clave para garantizar la contraseña...). Me gustaría estar seguro de que todas las claves utilizadas estén protegidas con contraseña.
gracias por tus luces.
Respuesta1
Respuesta corta: no puedes.
(Tampoco puedes controlar que el usuario no escriba la contraseña en un papel junto al teclado)
Conjetura descabellada y respuesta larga:
Es posible que desee utilizar la autenticación SSH sin contraseña desde el host de retransmisión donde:
- registro de usuario con cuenta central (como directorio activo),
- El usuario no tiene acceso root al host de retransmisión.
Esto implica utilizar una solución comercial (y gastar dinero) o crear la suya propia (y asumir un protocolo de acceso no seguro o no probado).
dos tonos de seguridad
Hay dos objetivos principales en el control de acceso:
- cumplir con alguna norma (sobrevivir a una auditoría de seguridad)
- control de acceso efectivo (prevenir y detener intrusiones)
La solución comercial podría proporcionar la primera, que es registrar cuándo y dónde se conecta el usuario, qué tipo de usuario, tener estadísticas sobre el tiempo de conexión, etc.
Podrías desarrollar algo por tu cuenta (yo lo hice para un cliente), tendrás que gastar tiempo y dinero para configurar tu solución.
Ambas soluciones anteriores le permitirían pasar/negociar una auditoría de seguridad.
Tenga en cuenta que si realmente desea controlar el acceso, tendrá que configurar un equipo de seguridad con conocimientos, que trabaje por turnos, supervise el acceso y sea capaz de comprender y reaccionar ante alertas y ataques.