Necesito configurar una máquina para AutoSSH al inicio, pero preferiría que se coloque una frase de contraseña o alguna otra forma de protección en la clave que se utiliza para SSH. ¿Existe alguna forma de proteger la clave y al mismo tiempo permitir que AutoSSH acceda automáticamente a ella al iniciar el sistema? La protección no tiene que ser específicamente el nivel de frase de contraseña normal, pero podría ser un nivel superior (por ejemplo, en una parte del sistema de archivos). Pero aún debe poder reiniciarse automáticamente al reiniciar. ¡Gracias!
Solución para mi caso:Esta no es una solución al problema descrito, pero resuelve la necesidad de esto en mi situación (y tal vez resuelva la de otra persona). La clave se estaba utilizando para abrir un túnel SSH inverso con un servidor remoto. El dispositivo del cliente estaba en una posición (física) menos segura, por lo que se deseaba protección adicional. En lugar de proteger la clave, restringí el acceso a esta clave en el servidor remoto (es decir, el servidor solo permite que esta clave establezca el túnel SSH inverso, pero no haga nada más).
Respuesta1
Lo que pides es imposible de lograr. La contraseña/frase de contraseña debe ser escrita por alguien para que sea útil de alguna manera. Si cifra la clave y almacena la frase de contraseña justo al lado ( sshpass, expectscript), no tiene sentido cifrar la clave.
Por lo tanto, puede tener seguridad (requerir la frase de contraseña en cada reinicio) o alta disponibilidad (almacenar una clave no cifrada).
La última posibilidad es utilizar algún módulo HSM o tarjeta inteligente. Evitará que alguien copie la clave en cualquier otro lugar, pero aun así deberá almacenar el pin junto a ella para poder realizar operaciones de clave privada en el HSM.