Мне нужно настроить машину на AutoSSH при запуске, но я бы предпочел, чтобы на ключе, используемом для SSH, была установлена парольная фраза или какая-то другая форма защиты. Есть ли способ защитить ключ, одновременно позволяя AutoSSH автоматически получать к нему доступ при запуске системы? Защита не обязательно должна быть на уровне обычной парольной фразы, но может быть на каком-то более высоком уровне (например, на части файловой системы). Но она все равно должна иметь возможность автоматически перезапускаться при перезагрузке. Спасибо!
Решение для моего случая:Это не решение описанной проблемы, но оно решает необходимость этого в моей ситуации (и, возможно, решит еще чью-то). Ключ использовался для открытия обратного туннеля SSH с удаленным сервером. Клиентское устройство находилось в менее безопасном (физическом) положении, поэтому и требовалась дополнительная защита. Вместо защиты ключа я ограничил то, что этому ключу было разрешено делать на удаленном сервере (т. е. сервер разрешает этому ключу только устанавливать обратный туннель SSH, но не делать ничего другого).
решение1
То, что вы просите, невозможно осуществить. Пароль/фраза-пароль должны быть написаны кем-то, чтобы быть хоть как-то полезными. Если вы зашифруете ключ и сохраните фразу-пароль прямо рядом с ним ( sshpass, expectscript), то нет смысла шифровать ключ.
Таким образом, вы можете обеспечить либо безопасность (требовать пароль при каждой перезагрузке), либо высокую доступность (хранить незашифрованный ключ).
Последняя возможность — использовать какой-нибудь модуль HSM или смарт-карту. Это предотвратит возможность копирования ключа кем-либо еще, но вам все равно придется хранить пин-код рядом с ним, чтобы иметь возможность выполнять операции с закрытым ключом на HSM.