从man 8 sshd关于授权密钥文件格式和command="command"选项:
请注意,该命令可能被sshd_config(5)ForceCommand伪指令或embedded在证书中的命令取代。
使用ssh-keygen -O force-command="command"可以将命令embedded到证书中。 但是,如何validation命令没有embedded到证书中呢? 沿着这些防止意外命令被执行的相同的方法, ForceCommand总是覆盖embedded在证书中的命令吗?
恶意用户可以绕过一个ssh authorized_keys强制命令? 问一个关于安全的更一般的问题,但是目前的答案没有提到embedded在证书中的命令。
ssh-keygen手册页说
-O选项
Specify a certificate option when signing a key.
-O force-command=command选项涉及证书而非密钥。
您需要通过签署密钥来生成证书,然后才能解密证书并查看embedded的命令。