sshd_config против параметра команды author_keys

Справочная информация: я добавил аутентификацию OTP-токена на свой веб-сервер. Я модифицировал /etc/ssh/sshd_config файл с ForceCommand /token/script команда.

Проблема: у меня есть локальный экземпляр Jenkins, подключающийся к веб-серверу для выполнения развертываний; Дженкинс не может вводить информацию о токене или отвечать на телефонные звонки (хотя, кто знает, могу поспорить, что для этого есть даже плагин!).

Возможное решение: используйте ~/user/authorized_keys Параметр command для принудительного запуска скрипта токена на всех ключах, кроме ключа, используемого jenkins.

Вопрос: Насколько менее безопасным, чем глобальный подход sshd_config, является подход авторизованного ключа? Считаете ли вы это приемлемым компромиссом? Есть ли лучшее решение (которое позволяет Jenkins выполнять подчиненные развертывания, в то время как все остальные блокируются аутентификацией токенов?).

Я попробовал оба подхода, и оба работают как шарм. Второй подход, который я считаю более практичным с точки зрения развертываний, но он поднимает для меня какие-то внутренние красные флаги. Я не знаю, гоняюсь ли я за призраками (с красными флагами). Обсудить!