将钥匙保存在辅助可移动驱动器上

Question

服务器似乎只与保存密钥的机器一样安全，这反过来意味着桌面/屏幕保护程序密码不仅是桌面本身的防线，而且也是任何通常访问的远程服务器的防线。

是否有一种方法可以运行正常的基于磁盘的系统，但总是有ssh、scp、secure vnc和secure rsync依赖于来自可移动驱动器系统(如USB闪存)的键？这样，即使桌面安全被破坏(例如:被盗的台式机或没有密码的膝上型计算机)，只要USB闪存驱动器不存在，服务器也是安全的。

Answer 1

如果您使用ssh进行远程登录，那么将sshd配置为只允许使用公钥(密钥+密码或仅使用密钥)进行访问。然后你把你的ssh键放在闪存盘上，而不是(例如)在~/.ssh中。然后，您需要配置ssh来告诉它键在哪里，或者在命令行中指定usb安装的键的路径：

ssh -i /mnt/usb/path/privatekey

例如：

ssh -i /media/username/usbkey/id_rsa admin@webserver.com

显然，这其中的一半也需要公众参与进来。现在，如果有人偷了你的笔记本电脑，他们将无法使用它登录到您的服务器，因为密钥是不可用的。