您可以使用ssh-agent添加智能卡，然后将代理转发到另一台主机。这将允许您使用本地智能卡在第二台主机上进行身份验证。简而言之：

eval `ssh-agent`               # if the agent is not running yet
ssh-add -s /path/to/pkcs11.so  # probably /usr/lib64/opensc-pkcs11.so
                   # or Ubuntu: /usr/lib/x86_64-linux-gnu/pkcs11/opensc-pkcs11.so
# enter your pin
ssh-add -l                     # should list your smartcard
ssh -A shell.provider.com      # should not prompt for pin
ssh shell.provider2.com        # from the shell.provider.com

智能卡的解决方案可以是

• 使用代理转发或
• （有和没有 sc）使用 ssh 的代理命令。

您可以通过使用主机 B 的配置来为此使用专用配置~/.ssh/config，或者将其用作 ssh 调用中的参数。

Host B
  Hostname <the-real-hostname-for-B>
  User <user>
  Port 22
  ProxyCommand ssh -p 22 -q -W %h:%p <the-real-hostname-for-A>

一个优点是您将拥有主机的别名并且还具有代码完成功能（更少的输入）

ssh <user>@B

注意：代理转发在共享机器上是一种不好的做法，因为通过环境变量 SSH_AUTH_SOCK 劫持您的代理非常容易，因此攻击者可以接管您的身份和身份验证机制以跳转到其他主机。
当使用 yubikeys 作为您的智能卡时，您可以使用在需要登录等加密操作时需要物理触摸智能卡的功能。这样，攻击者还需要物理访问您的智能卡，从而在大多数情况下阻止攻击。