как безопасно хранить ssh ключи?

а то этот каталог точно проверят в случае чего

А, в случае чего и кто проверит?

как безопасно хранить ssh ключи?

Под матрасом

Насколько сильно небезопасно сохранять парольную фразу ключа в каком-нибудь ssh-агенте, где есть такая возможность, чтобы не вводить каждый раз при входе на хост?

Если паролить ключ тем же паролем, что и у пользователя то можно застакать pam-модули так, что агент будет разлочивать ключ при входе по паролю.

На мой взгляд, безопаснее хранить где-нибудь в другом месте, а то этот каталог точно проверят в случае чего.

Товарищ майор в соседнем кресле щас под стол скатится от смеха.

В аппаратном токене вроде Yubikey.

Просто используй просто одноразовые ключи.
Как видишь всё просто

у keepassxc есть интеграция с ssh-agent

На съедобной флешке

Прямо идентичная тема была же не так давно.
Фантазии не хватает или поиск не работает?

Храните в TPM.

https://incenp.org/notes/2020/tpm-based-ssh-key.html
https://blog.ledger.com/ssh-with-tpm/
https://jade.fyi/blog/tpm-ssh/
https://github.com/whooo/tpm2-ssh-agent

все пароли храню в текстовом файлике на флешке в двух экземплярах.

проблемы безопасно хранить нет, есть проблема потерять.

безопасно хранить ты можешь на устройстве которое не выходит в сеть. никуда твои данные не утекут. это ничем не отличается от хранения на клочке бумаги.

а вот потерять свои данные ты можешь на раз-два, банально забыв, куда сохранял их. просто если ты нормальный человек и живёшь обычной жизнью, где у тебя дом, семья, дети, друзья, работа и всё прочее... вот тебе делать больше нефиг, кроме как пердолить линукс на тему безопасного хранения данных? а? серьёзно? настолько заняться нечем?

вот поэтому берёшь текстовый файлик и записываешь на две-три флешки и читаешь на устройстве без интернета.

nuff said.

ещё для ssh есть опция -J для прыжка через хост, это как раз сделано для того, что ты на одном доверенном хосте можешь хранить все ssh ключи, и через него подключаться к другим хостам.

Если ключ запаролен, то какая разница где?

Не говоря о том, что ещё нужно знать для какого сервера этот ключ.

чтобы не вводить каждый раз при входе на хост?

Имеешь в виду промежуточные хосты, на которые могут ходить другие пользователи? Тогда тебе нужно проксировать запросы к агенту (ssh -A), а не класть свои ключи на промежуточный хост.

надеюсь ты это про пароли от ssh-ключа ?? :)
а то как-то предлагать человекоориентированный пароль взамен ed25519 ключа както нелогично :)

Единственно верный ответ, в аппаратном токене. Я лично (как и многие) боюсь не силовиков, которые всё равно получат доступ ко всем моим данным, а потерять ключи, винт сдох, например. Поэтому я делаю архивы, а не занимаюсь безопасностью.

Запаролить в архив с максимальным сжатием, закодировать QR-кодом и распечатать

максимальное сжатие для короткого ключа, который по сути своей является ПСП - излишне :)

ключ тоже переписать на листик?