Назначение отключения PAM в SSH


18

Я настройка аутентификации на основе ключей для SSH на новую коробку, и читал несколько статей , в которых упоминается установка UsePAMна noнаряду с PasswordAuthentication.

Мой вопрос, какова цель создания UsePAMв noесли у вас уже есть PasswordAuthenticationи ChallengeResponseAuthenticationнабор для no?


1
Надеюсь , что это помогает ответить на ваш вопрос - mail-index.netbsd.org/tech-security/2009/01/04/msg000153.html
Тиды

Ответы:


13

Я думаю, что люди, которые рекомендуют отключать, UsePAMмогут не понимать полностью услуги, предоставляемые стеком PAM. В дополнение к аутентификации, PAMтакже предоставляет сервисы настройки сеанса, которые вы можете не захотеть обходить.

Примеры включают в себя настройку ограничений ресурсов (через pam_limit), переменные среды и монтирование каталогов.

Если вам удобнее, вы можете изменить PAMконфигурацию так sshd, чтобы она не поддерживала аутентификацию по паролю любого рода. Предполагая, что у вас есть существующий /etc/pam.d/sshd, просто удалите существующие authстроки и замените их на:

auth required pam_deny.so

2
Это очень субъективный ответ. Вероятно, существует больше возможностей для обратной совместимости для конкретных случаев использования, таких как другой модуль аутентификации, который использует sshd. Да, PAM - это путь, который должен быть очень гибким, но ОП спросил, почему вы его не используете, а не описание того, как использовать PAM.
Red Tux

6
То, что многие среды полагаются на настройку сеанса, предоставленную PAMдля правильной работы, является объективным фактом, а не мнением. То, что ОП может захотеть использовать PAM, действительно, мое мнение. Меня зовут Ларс, и я одобряю это сообщение.
Жаворонки

3
Я установил «UsePAM no» в sshd cfg, и все, что мне было нужно, все еще работает, любой совет, что может быть настолько важным или полезным, что потребует PAM?
Водолей Сила
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.