Носить ключи для ssh на флешке?

аутентификация по хардварному токену

монтировать не нужно, достаточно указать ключ через параметр -i, будет кошернее, имхо.

Центральная машина доступа, откуда уже по ключам куда угодно.

Можно использовать рутокен Ecp. К нему есть библиотека для ssh. Секурно же и монтировать ничего не надо.

Минус, требуется минимальная настройка на хостах, с которых собираешься ходить.

Центральная машина доступа, откуда уже по ключам куда угодно.

IMHO, самый удобный вариант. С флешкой лично у меня не получилось - в самый нужный момент вечно оказывается, что забыл ее в другом месте :(.

рутокен

секурно

/0

У меня флешка, это телефон. В нем же и клиент сразу есть, если что.

Рутокен не секурно? А что тогда секурно? Простая флешка, парольк ключам на которой можно простым брутфорсом сломать?

Нет, у меня к рутокену только две претензии - их либа закрыта и из за этого на новых дистрах может и не работать. И она есть только под венду и линукс на интелах. А есть еще армы и прочие архитектуры...

Вот потому и несекурно. Условно секурными можно считать открытые типа Nitrokey или U2F Zero. Впрочем настоящей секурности не даст вообще ничего.

Ну я в данном случае имею в виду не конкретно рутокен, а использование токена вместо флешки.

Проблема в том, что твои ключи с флешки может скопировать любая программа, выполняющаяся на этом компьютере и в дальнейшем их использовать (пароль тоже можно стянуть кейлоггером). Крипто-токены решают именно эту проблему. В остальном работать, конечно, будет, почему нет.