Lo spediamo e lo usiamo in Fedora e RHEL. È qui da molto tempo e sta usando il codice di openssh per quasi tutte le operazioni di chiave pubblica (e openssh sta usando openssl). Il codice è abbastanza corretto.
Lo stesso pam_ssh_agent_auth fa solo la verifica che la chiave pubblica corrisponda e che la firma fornita da ssh-agent sia valida. Tutte le operazioni con le chiavi private sono ancora sul tuo ssh-agent .
Non è chiaro quale sarà il tuo caso d'uso esatto da questa domanda, ma dal mio POV, la cosa più potente su questo è avere un singolo agente sul computer locale per accedere a tutti i server e consentire sudo operazioni lì (o utilizzare una chiave separata per questo modulo). Espone un po '"single point of failure" (se si perde la chiave non crittografata, sarebbe un problema, ma questo modulo non lo espone).
Probabilmente dovresti disabilitare l'inoltro di ssh-agent per gli host non fidati (o per impostazione predefinita e la tua whitelist attendibile), magari anche aggiungere la chiave con -c per confermare le azioni PK o qualche timeout ( -t per lasciarlo scadere) .