Убедитесь, что команда SSH не была встроена в сертификат?

От man 8 sshd в отношении формата файла авторизованных ключей и command="command" опция:

Обратите внимание, что эта команда может быть заменена либо директивой ForceCommand sshd_config(5), либо командой, встроенной в сертификат.

С помощью ssh-keygen -O force-command="command" позволяет встраивать команду в сертификат. Но как проверить, что команда не была встроена в сертификат? Вдоль тех же самых линий предотвращения выполнения неожиданных команд ForceCommand всегда отменять команду, встроенную в сертификат?

Может ли злонамеренный пользователь обойти принудительную команду ssh authorized_keys? задает более общий вопрос о безопасности, но в настоящее время в ответах не упоминаются команды, встроенные в сертификаты.

1 ответ

На странице руководства ssh-keygen написано

-O вариант

        Specify a certificate option when signing a key.

-O force-command=command Опция относится к сертификатам, а не ключам.

Вам нужно будет сгенерировать сертификат, подписав ключ, затем вы сможете расшифровать сертификат и увидеть встроенную команду.

Другие вопросы по тегам