Назначение отключения PAM в SSH

18

Я настройка аутентификации на основе ключей для SSH на новую коробку, и читал несколько статей , в которых упоминается установка UsePAMна noнаряду с PasswordAuthentication.

Мой вопрос, какова цель создания UsePAMв noесли у вас уже есть PasswordAuthenticationи ChallengeResponseAuthenticationнабор для no?

security ssh pam tacotuesday
источник
1
Надеюсь , что это помогает ответить на ваш вопрос - mail-index.netbsd.org/tech-security/2009/01/04/msg000153.html
Тиды

Ответы:

13

Я думаю, что люди, которые рекомендуют отключать, UsePAMмогут не понимать полностью услуги, предоставляемые стеком PAM. В дополнение к аутентификации, PAMтакже предоставляет сервисы настройки сеанса, которые вы можете не захотеть обходить.

Примеры включают в себя настройку ограничений ресурсов (через pam_limit), переменные среды и монтирование каталогов.

Если вам удобнее, вы можете изменить PAMконфигурацию так sshd, чтобы она не поддерживала аутентификацию по паролю любого рода. Предполагая, что у вас есть существующий /etc/pam.d/sshd, просто удалите существующие authстроки и замените их на:

auth required pam_deny.so
larsks
источник
2
Это очень субъективный ответ. Вероятно, существует больше возможностей для обратной совместимости для конкретных случаев использования, таких как другой модуль аутентификации, который использует sshd. Да, PAM - это путь, который должен быть очень гибким, но ОП спросил, почему вы его не используете, а не описание того, как использовать PAM.
Red Tux
6
То, что многие среды полагаются на настройку сеанса, предоставленную PAMдля правильной работы, является объективным фактом, а не мнением. То, что ОП может захотеть использовать PAM, действительно, мое мнение. Меня зовут Ларс, и я одобряю это сообщение.
Жаворонки
3
Я установил «UsePAM no» в sshd cfg, и все, что мне было нужно, все еще работает, любой совет, что может быть настолько важным или полезным, что потребует PAM?
Водолей Сила