У нас есть некоторые среды SFTP-Chroot, в которых мы разрешаем только 4096-битные ключи RSA для аутентификации, и у нас есть только часть открытого ключа от наших пользователей. Но у нас есть политика, согласно которой пользователь должен устанавливать пароль для своих частей закрытого ключа.
Есть ли способ проверить, правда ли это (что они действительно установили пароль), только владея частью открытого ключа или, возможно, установив что-то в конфигурации openssh-server?
Вы не можете (только с открытым ключом). Пользователь может изменить или удалить пароль для закрытого ключа, не затрагивая сервер.
Есть аналогичный вопрос: Как узнать, есть ли у открытого SSH-ключа кодовую фразу
Если вы реализуете двухфакторную аутентификацию, возможно, вам стоит рассмотреть PAM или специальный скрипт. Однако заставить его работать с некоторыми клиентами SFTP может быть сложно.