Jak jsem psal, kdyz umoznis pristup klicem, muzes v authorized_keys definovat, co ten klic ma spustit. Tohle proste s heslem neudelas. Muzes leda pro uzivatele nastavit nejakej jinej shell, pak musis pro kazdou cinnost udelat specialni ucet (a oteviras tak dvere pres jiny sluzby), nebo musis nechat shell a doufam, ze ten prihlasenej uzivatel spusti jenom to, co ty chces.

Naopak, muzes si vytvorit X klicu, kazdemu dovolis jenom specifickou cinnost (to navic muzes jeste nakombinovat pres sudo, abys nemusel klic ukladat rootovi). Kdyz nekdo ukradne klic, bude moct udelat pouze tu jedinou cinnost, nic jineho. Kdyz ti nekdo ukradne heslo, bude si delat, co bude chtit.

Kdyz zjistis ukradeny klic, proste ho vymazec a nahradis u te jedne sluzby. Kdyz sjistis ukrada heslo, musis zmenit heslo, pripadne preinstalovat cely system (pokud ti ho hacker uz poupravil) a u vsech sluzeb zmenit to heslo v konfiguraku.

A jak jsem psal. Heslo napises do zdrojaku, kazdy ho muze precist. Pokud SSH klic zasifrujes a apache spustis v ssh-agentovi, tak pak nactes ssh klic do agenta jednou a apache si ho bere z agenta (nezkousel jsem, ale pouzivam to normalne v Xkach, tak by to mohlo jit i v apachovi). Samozrejme pri rebootu je nutne zadat heslo, stejne jako heslo zadavas pri startu u SSL certifikatu pro apache nebo u openvpn. Zalezi ale na tom, jak moc bezpecne to chces mit. Moje razeni by bylo (1)SSLcert/SSHkey+password, (2) SSLcert/SSHkey-plain, (3) SSH heslo ve zdrojaku.

Opravdu to vyjde na stejno?

P.S.: Jo, taky obcas pouzivam heslo ve zdrojaku (resp. v CFG includu) v shellu nebo perlu (pro mysql nebo LDAP), ale ten uzivatel ma samozrejme omezeny prava. Jenze u mysql a LDAP se jinak neprihlasim, resp. at se prihlasim treba i certifikatem, nemuzu omezit mysql nebo ldap pripojeni jen na urcity prikaz - to nastesti u ssh jde.