如何設置策略以僅在公鑰具有滿足要求的密碼時啟用公鑰身份驗證？

如何設置策略以僅在公鑰具有滿足要求的密碼時啟用公鑰身份驗證？

目前人們用ssh-keygen. 我們希望強制創建和使用具有符合標準的密碼的密鑰。

謝謝。

無法強制執行對使用者私鑰的體面保護。即使您為 ssh-keygen 實施自定義替換，您也無法阻止使用者提取私鑰並將其以明文形式儲存在網路共享中。

您只需要相信使用者會遵循您的安全指南。您可能希望實施自定義工具來指導使用者做正確的事情。

兩種選擇：

1. 您可以實施安全流程來配置硬體密鑰令牌並鎖定令牌設備。因此使用者不必處理私鑰文件。需要注意的是，您必須安裝客戶端軟體才能支持密鑰令牌。
2. 另一種選擇是設置一個 SSH-CA，它頒發僅在幾個小時內有效的短期 OpenSSH 使用者證書（不是 X.509 證書）。使用者仍然可以操縱 SSH-CA 客戶端並提取私鑰。但它只會在較短的證書生命週期內被濫用。這主要只適用於 OpenSSH 客戶端和伺服器以及基於 libssh 的東西。

引用自：https://unix.stackexchange.com/questions/566324