मैं कैसे निर्धारित कर सकता हूं कि किसी की SSH कुंजी में खाली पासफ़्रेज़ शामिल है?

मेरे कुछ लिनक्स और फ्रीबीएसडी सिस्टम में दर्जनों उपयोगकर्ता हैं। कर्मचारी SSH के इन "ssh गेटवे" नोड्स का उपयोग अन्य आंतरिक सर्वरों में करेंगे।

हम चिंतित हैं कि इनमें से कुछ लोग एक बिना लाइसेंस वाली निजी SSH कुंजी का उपयोग करते हैं ( पासफ़्रेज़ के बिना एक कुंजी । यह बुरा है , क्योंकि यदि इस मशीन पर कभी भी कोई पटाखा उनके खाते तक पहुंचता है, तो वे निजी कुंजी चुरा सकते हैं और अब पहुंच सकते हैं किसी भी मशीन के लिए जो इसी कुंजी का उपयोग करती है। सुरक्षा कारणों से, हमें सभी उपयोगकर्ताओं को पासफ़्रेज़ के साथ अपनी निजी SSH कुंजियों को एन्क्रिप्ट करने की आवश्यकता होती है।

मैं कैसे बता सकता हूं कि कोई निजी कुंजी एन्क्रिप्टेड नहीं है (जैसे पासफ़्रेज़ शामिल नहीं है)? क्या ASCII- बख़्तरबंद कुंजी बनाम गैर-ASCII- बख़्तरबंद कुंजी पर ऐसा करने के लिए एक अलग विधि है?

अपडेट करें:

स्पष्ट करने के लिए, मान लें कि मेरे पास मशीन पर सुपरयुसर पहुंच है और मैं हर किसी की निजी चाबियों को पढ़ सकता हूं।

खैर, खाली पासफ़्रेज़ वाली ओपनएसएसएच निजी कुंजी वास्तव में एन्क्रिप्टेड नहीं हैं।

निजी कुंजी फ़ाइल में एन्क्रिप्टेड निजी कुंजियाँ घोषित की जाती हैं। उदाहरण के लिए:

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,7BD2F97F977F71FC

BT8CqbQa7nUrtrmMfK2okQLtspAsZJu0ql5LFMnLdTvTj5Sgow7rlGmee5wVuqCI
/clilpIuXtVDH4picQlMcR+pV5Qjkx7BztMscx4RCmcvuWhGeANYgPnav97Tn/zp
...
-----END RSA PRIVATE KEY-----

तो कुछ ऐसा है

# grep -L ENCRYPTED /home/*/.ssh/id_[rd]sa

चाल चलनी चाहिए।

मैंने इसके लिए सब कुछ देखा और कभी भी संतोषजनक जवाब नहीं मिला, लेकिन मैं एक निर्माण करने में कामयाब रहा, इसलिए ...

ध्यान दें कि यह फ़ाइल को अपडेट करेगा यदि यह काम करता है, इसलिए यदि आप उन उपयोगकर्ताओं द्वारा ध्यान नहीं देने का प्रयास कर रहे हैं जिनकी कुंजी आप परीक्षण कर रहे हैं, तो आप पहले कुंजी की प्रतिलिपि बनाना चाह सकते हैं। OTOH, चूँकि आपने अपने उपयोगकर्ता को पासवर्ड रहित कुंजी के साथ पकड़ा है, हो सकता है कि आपको ध्यान न हो कि वे नोटिस करते हैं। : डी

$ ssh-keygen -p -P '' -N '' -f ~/.ssh/KEYTEST
Key has comment '/home/rlpowell/.ssh/KEYTEST'
Your identification has been saved with the new passphrase.
$ echo $?
0

$ ssh-keygen -p -P '' -N '' -f ~/.ssh/KEYTEST
Bad passphrase.
$ echo $?
1

यदि आपके पास निजी कुंजी तक पहुंच है, तो मुझे लगता है, आप इसे सार्वजनिक कुंजी के खिलाफ प्रमाणित करने के लिए पासफ़्रेज़ के बिना उपयोग कर सकते हैं। यदि यह काम करता है तो आपको पता है कि इसका कोई पासफ़्रेज़ नहीं है। यदि यह होता, तो यह आपको एक त्रुटि संदेश देता।

यदि आपके पास निजी कुंजी तक पहुंच नहीं है, तो मुझे संदेह है कि आप इसका पता लगा सकते हैं। पासफ़्रेज़ का उद्देश्य निजी कुंजी को "अनलॉक" करना है, सार्वजनिक कुंजी के संबंध में इसका कोई कार्य नहीं है।

वास्तव में, यदि ऐसा होता, तो यह प्रणाली को कम सुरक्षित बना देता। कोई भी सार्वजनिक कुंजी का उपयोग कर सकता है, जो पासफ़्रेज़ को क्रैक करने की कोशिश करने के लिए क्रूर बल या अन्य हमलों को माउंट करने के लिए उपलब्ध है।