Я выполняю некоторые исправления безопасности на сервере RedHat, и мне нужно подтвердить, что парольные фразы закрытого ключа SSH назначены, а не совместно используются.
Я знаю, что у некоторых есть нулевые парольные фразы, но для тех, у кого они есть, как я могу это проверить?
Ваш вопрос можно сделать с некоторыми уточнениями.
Закрытый ключ должен быть связан с одним пользователем - и этот пароль должен быть задан этим пользователем только для того, что он знает, и он довольно длинный.
Я бы сказал, что они должны назначаться пользователем, который имеет закрытый ключ, а не навязываться им. Для них возможно изменить пароль.
В идеальном мире сам закрытый ключ должен генерироваться пользователем и никогда не передаваться (но на практике многим людям не хватает знаний, чтобы справиться с этим, но, к сожалению, это правило часто нарушается).
Вы не можете проверить, имеют ли несколько людей / организаций одинаковые парольные фразы, если у вас нет доступа к закрытым ключам. Если у вас есть доступ к закрытым ключам, вам нужно отозвать ключи и переиздать их так, чтобы их не было, потому что они будут у других.
