Убедитесь, что команда SSH не была встроена в сертификат?
От man 8 sshd
в отношении формата файла авторизованных ключей и command="command"
опция:
Обратите внимание, что эта команда может быть заменена либо директивой ForceCommand sshd_config(5), либо командой, встроенной в сертификат.
С помощью ssh-keygen -O force-command="command"
позволяет встраивать команду в сертификат. Но как проверить, что команда не была встроена в сертификат? Вдоль тех же самых линий предотвращения выполнения неожиданных команд ForceCommand
всегда отменять команду, встроенную в сертификат?
Может ли злонамеренный пользователь обойти принудительную команду ssh authorized_keys? задает более общий вопрос о безопасности, но в настоящее время в ответах не упоминаются команды, встроенные в сертификаты.
1 ответ
На странице руководства ssh-keygen написано
-O вариант
Specify a certificate option when signing a key.
-O force-command=command
Опция относится к сертификатам, а не ключам.
Вам нужно будет сгенерировать сертификат, подписав ключ, затем вы сможете расшифровать сертификат и увидеть встроенную команду.