Verifique se um comando SSH não foi incorporado em um certificado?

7

De man 8 sshd com relação ao formato de arquivo de chaves autorizado e à opção command="command" :

Note that this command may be superseded by either an sshd_config(5) ForceCommand directive or a command embedded in a certificate.

Usar ssh-keygen -O force-command="command" permite que um comando seja incorporado em um certificado. Mas como se verifica se um comando não foi incorporado em um certificado? Ao longo dessas mesmas linhas de impedir que comandos inesperados sejam executados, o ForceCommand sempre substitui um comando incorporado em um certificado?

Um usuário mal-intencionado pode ignorar um ssh O comando forced_keys forced? faz uma pergunta mais geral sobre segurança, mas atualmente as respostas não mencionam comandos embutidos em certificados.

    
por Daniel Kauffman 05.10.2013 / 20:45

1 resposta

1

A página man do ssh-keygen diz

-O option

        Specify a certificate option when signing a key.

A opção -O force-command=command refere-se a certificados que não são chaves.

Você precisará gerar um certificado assinando uma chave e, em seguida, poderá decodificar o certificado e ver o comando incorporado.

    
por 05.10.2013 / 22:38