Preciso configurar uma máquina para AutoSSH na inicialização, mas prefiro que uma senha longa ou alguma outra forma de proteção seja colocada na chave usada para SSHing. Existe alguma maneira de proteger a chave e ao mesmo tempo permitir que o AutoSSH a acesse automaticamente na inicialização do sistema? A proteção não precisa ser especificamente o nível de senha normal, mas pode ser de algum nível superior (digamos, em uma parte do sistema de arquivos). Mas ainda precisa ser capaz de reiniciar automaticamente na reinicialização. Obrigado!
Solução para o meu caso:Esta não é uma solução para o problema descrito, mas resolve a necessidade disso na minha situação (e talvez resolva a de outra pessoa). A chave estava sendo usada para abrir um túnel SSH reverso com um servidor remoto. O dispositivo cliente estava em uma posição (física) menos segura, por isso a proteção extra era desejada. Em vez de proteger a chave, restringi o que essa chave tinha permissão de acesso no servidor remoto (ou seja, o servidor só permite que essa chave estabeleça o túnel SSH reverso, mas não faça mais nada).
Responder1
O que você solicita é impossível de alcançar. A senha/frase secreta deve ser escrita por alguém para ser útil de alguma forma. Se você criptografar a chave e armazenar a senha ao lado dela ( sshpass, expectscript), não há sentido em criptografar a chave.
Portanto, você pode ter segurança (exigir a senha em cada reinicialização) ou alta disponibilidade (armazenar chave não criptografada).
A última possibilidade é utilizar algum módulo HSM ou smartcard. Isso impedirá que alguém copie a chave em qualquer outro lugar, mas ainda assim você precisará armazenar o PIN próximo a ela para poder realizar operações de chave privada no HSM.