Lo enviamos y lo usamos en Fedora y RHEL. Está aquí por mucho tiempo y está usando el código de openssh para casi todas las operaciones de clave pública (y openssh está usando openssl). El código es bastante justo.
El propio pam_ssh_agent_auth básicamente solo verifica que la clave pública coincida y que la firma proporcionada por ssh-agent es válida. Todas las operaciones de clave privada aún se dejan en su ssh-agent .
No está claro cuál será su caso de uso exacto en esta pregunta, pero desde mi punto de vista, lo más poderoso es tener un solo agente en la máquina local para iniciar sesión en todos los servidores y permitir sudo operaciones allí (o usar clave separada para este módulo). Expone un poco "solo punto de falla" (si pierde la clave no encriptada, sería un problema, pero este módulo no lo expone).
Probablemente debería deshabilitar el reenvío de ssh-agent para los hosts que no son de confianza (o, de forma predeterminada, y en su lista blanca de confianza), tal vez también agregue la tecla con el interruptor -c para confirmar las acciones de PK o algún tiempo de espera ( -t para dejar que caduque) .