从man 8 sshd关于授权密钥文件格式和command="command"选项:
请注意,此命令可能会被 sshd_config(5) ForceCommand 指令或嵌入在证书中的命令取代。
使用ssh-keygen -O force-command="command"允许将命令嵌入到证书中。但是如何验证命令没有嵌入到证书中呢?沿着防止执行意外命令的相同思路,是否ForceCommand总是覆盖嵌入在证书中的命令?
恶意用户能否绕过 ssh authorized_keys 强制命令?问了一个关于安全性的更一般的问题,但目前那里的答案没有提到嵌入在证书中的命令。