我需要在啟動時將電腦設定為 AutoSSH,但我更喜歡在用於 SSH 的金鑰上設定密碼或其他形式的保護。有沒有辦法既保護金鑰,又允許 AutoSSH 在系統啟動時自動存取它?保護不必專門是正常的密碼級別,但可以是更高的級別(例如在檔案系統的一部分上)。但它仍然需要能夠在重新啟動時自動重新啟動。謝謝!
我的案例的解決方案:這不是所描述問題的解決方案,但它解決了我的情況的需要(也許會解決其他人的問題)。此金鑰用於開啟與遠端伺服器的反向 SSH 隧道。客戶端設備處於不太安全的(實體)位置,這就是需要額外保護的原因。我沒有保護金鑰,而是限制了允許該金鑰在遠端伺服器上執行的操作(即伺服器僅允許該金鑰建立反向 SSH 隧道,但不允許執行任何其他操作)。
答案1
你的要求是不可能實現的。密碼/口令必須由某人編寫才能以某種方式有用。如果您加密金鑰並將密碼儲存在其旁邊(sshpass腳本expect),則加密金鑰沒有意義。
因此,您可以擁有安全性(每次重新啟動時都需要密碼),也可以擁有高可用性(儲存非加密金鑰)。
最後一種可能性是使用某些 HSM 模組或智慧卡。它將防止任何人在其他地方複製金鑰,但您仍然需要將 PIN 碼儲存在其旁邊,以便能夠在 HSM 上執行私鑰操作。