На сервере со строгим контролем доступа можно ли гарантировать, что все разрешенные ключи защищены паролем?
есть ли способ запретить доступ к некоторым ключам, если они не защищены паролем. Мне все равно, используют ли пользователи агента или нет (за исключением случаев, когда агент является ключом для обеспечения пароля ...). Я хотел бы быть уверенным, что все используемые ключи защищены паролем.
спасибо за ваши огни.
решение1
Короткий ответ: нет.
(Вы также не можете контролировать, что пользователь не будет писать пароль на бумаге рядом с клавиатурой)
Дикие догадки и длинный ответ:
Вы можете использовать беспарольную аутентификацию SSH с хоста-ретранслятора, где:
- журнал пользователя с центральной учетной записью (типа Active Directory),
- у пользователя нет прав root на хосте ретрансляции.
Это подразумевает либо использование коммерческого решения (и трату денег), либо создание собственного (и использование небезопасного/непроверенного протокола доступа).
два оттенка безопасности
В контроле доступа есть две основные цели:
- соответствовать какой-либо норме (пройти проверку безопасности)
- эффективный контроль доступа (предотвращение и прекращение вторжений)
Первое решение может обеспечить коммерческое решение, которое регистрирует, когда и откуда подключается пользователь, тип пользователя, имеет статистику о времени подключения и т. д.
Вы можете разработать «штуку» самостоятельно (я сделал это для клиента), но вам придется потратить время и деньги на настройку своего решения.
Оба предыдущих решения позволят вам пройти/выиграть аудит безопасности.
Помните, если вы действительно хотите контролировать доступ, вам придется создать команду знающих специалистов по безопасности, работающих посменно, контролирующих доступ и способных распознавать и реагировать на оповещения и атаки.