공개 키에 일치하는 비밀번호가 있는 경우에만 공개 키 인증을 활성화하는 정책을 어떻게 설정할 수 있습니까?

Question

사용자 개인 키에 대한 적절한 보호를 시행할 수 없습니다. ssh-keygen에 대한 사용자 정의 대체를 구현하더라도 사용자가 개인 키를 추출하여 네트워크 공유에 일반 텍스트로 저장하는 것을 막을 수는 없습니다.

사용자가 보안 지침을 따를 것이라고 신뢰하면 됩니다. 사용자가 올바른 작업을 수행하도록 안내하기 위해 사용자 정의 도구를 구현하고 싶을 수도 있습니다.

두 가지 옵션:

하드웨어 키 토큰을 구성하고 토큰 장치를 잠그는 보안 프로세스를 구현할 수 있습니다. 따라서 사용자는 개인 키 파일을 처리할 필요가 없습니다. 키 토큰을 지원하려면 클라이언트 소프트웨어를 설치해야 합니다.
또 다른 옵션은 몇 시간 동안만 유효한 단기 OpenSSH 사용자 인증서(X.509 인증서 아님)를 발급하는 SSH-CA를 설정하는 것입니다. 사용자는 여전히 SSH-CA 클라이언트를 조작하고 개인 키를 추출할 수 있습니다. 그러나 짧은 인증서 수명 동안에만 남용될 수 있습니다. 이는 주로 OpenSSH 클라이언트와 서버, libssh 기반 항목에만 적용됩니다.

Answer 1

사용자 개인 키에 대한 적절한 보호를 시행할 수 없습니다. ssh-keygen에 대한 사용자 정의 대체를 구현하더라도 사용자가 개인 키를 추출하여 네트워크 공유에 일반 텍스트로 저장하는 것을 막을 수는 없습니다.

사용자가 보안 지침을 따를 것이라고 신뢰하면 됩니다. 사용자가 올바른 작업을 수행하도록 안내하기 위해 사용자 정의 도구를 구현하고 싶을 수도 있습니다.

두 가지 옵션:

하드웨어 키 토큰을 구성하고 토큰 장치를 잠그는 보안 프로세스를 구현할 수 있습니다. 따라서 사용자는 개인 키 파일을 처리할 필요가 없습니다. 키 토큰을 지원하려면 클라이언트 소프트웨어를 설치해야 합니다.
또 다른 옵션은 몇 시간 동안만 유효한 단기 OpenSSH 사용자 인증서(X.509 인증서 아님)를 발급하는 SSH-CA를 설정하는 것입니다. 사용자는 여전히 SSH-CA 클라이언트를 조작하고 개인 키를 추출할 수 있습니다. 그러나 짧은 인증서 수명 동안에만 남용될 수 있습니다. 이는 주로 OpenSSH 클라이언트와 서버, libssh 기반 항목에만 적용됩니다.

관련 정보