Как настроить политику для включения аутентификации с открытым ключом только в том случае, если у открытого ключа есть пароль, соответствующий требованиям?
Приносим свои извинения пользователю, сообщившему о двойных -кавычках. Дальнейшее тестирование показывает, что это не проблема UNIX, а, возможно, проблема Mac. Каким-то образом копирование и вставка всего пути в команду и заключение его в двойные кавычки произвело что-то, что выглядело идентично оригиналу, но теперь я думаю, что каким-то образом это должно было быть иначе.
Если я вставлял путь по частям и проверял каждую часть, создавая путь, соответствующий исходному, то проблема исчезала. Правильный синтаксис UNIXдля ответа на оба вопроса (перечислите папку и используйте подстановочный знак, как в примере вопроса ), ответы будут выглядеть так:
ls "Volumes/My Backup Dr/Backups.backupdb/User’s MacBook Pro/2018-03-10-011602"ls "Volumes/My Backup Dr/Backups.backupdb/User’s MacBook Pro/2018-03-"*
Во втором примере перечислялось бы все содержимое папок марша на моем резервном диске. Обратите внимание, что *должен быть вне шаблона каталога с двойными кавычками -.
Принудительная защита закрытого ключа пользователя не может быть принудительной. Даже если вы внедрите специальную замену для ssh -keygen, вы не сможете запретить пользователю извлекать закрытый ключ и хранить его в виде открытого текста -на общем сетевом ресурсе.
Вам просто нужно доверить пользователю следовать вашим инструкциям по безопасности -. Вы можете захотеть внедрить пользовательские инструменты, чтобы помочь пользователю делать правильные вещи.
Два варианта:
- Вы можете реализовать безопасный процесс предоставления аппаратного ключа токены и заблокируйте токен-устройство. Так что пользователю не придется иметь дело с файлом закрытого ключа. Предостережение заключается в том, что вам необходимо установить клиентское программное обеспечение -для поддержки токенов ключей.
- Другим вариантом является создание ЦС SSH -, который выдает краткосрочные -пользовательские сертификаты OpenSSH (, а не сертификаты X.509 ), которые действительны только в течение нескольких часов. Тем не менее пользователь может манипулировать клиентом ЦС SSH -и извлекать закрытый ключ. Но злоупотреблять им можно было бы только в течение короткого срока действия сертификата. В основном это работает только для клиентов и серверов OpenSSH и материалов на основе libssh -.