Cel za wyłączeniem PAM w SSH

18

Ja konfigurowania uwierzytelniania opartego kluczy SSH na nowym polu, i czytał kilka artykułów, które wspominają ustawienie UsePAMaby nowraz z PasswordAuthentication.

Moje pytanie brzmi, jaki jest cel zakładania UsePAMaby nojeśli już masz PasswordAuthenticationi ChallengeResponseAuthenticationzestaw do no?

security ssh pam wtorek
źródło
1
Mam nadzieję, że to pomoże odpowiedzieć na twoje pytanie - mail-index.netbsd.org/tech-security/2009/01/04/msg000153.html
Chida

Odpowiedzi:

13

Myślę, że osoby, które zalecają wyłączenie, UsePAMmogą nie rozumieć całkowicie usług świadczonych przez stos PAM. Oprócz uwierzytelniania PAMzapewnia także usługi konfiguracji sesji, których możesz nie chcieć ominąć.

Przykłady obejmują ustawianie limitów zasobów (poprzez pam_limit), zmiennych środowiskowych i katalogów montowania.

Jeśli to sprawia, że ​​czujesz się bardziej komfortowo, możesz zmodyfikować PAMkonfigurację sshdtak, aby nie obsługiwała żadnego rodzaju uwierzytelniania hasła. Zakładając, że masz już istniejącą /etc/pam.d/sshd, po prostu usuń istniejące authlinie i zastąp je:

auth required pam_deny.so
Larsks
źródło
2
To bardzo subiektywna odpowiedź. Prawdopodobnie istnieje jeszcze więcej kompatybilności wstecznej dla określonych przypadków użycia, takich jak inny moduł uwierzytelniania, którego używa sshd. Tak, PAM to droga, która ma być bardzo elastyczna, ale OP zapytał, dlaczego by jej nie użyć, a nie opis, jak korzystać z PAM.
Red Tux,
6
To, że wiele środowisk korzysta z ustawień sesji zapewnianych przez PAMprawidłowe działanie, jest obiektywnym faktem, a nie opinią. PAMMoim zdaniem OP może chcieć wykorzystać . Nazywam się Lars i akceptuję tę wiadomość.
larsks
3
Ustawiłem „UsePAM no” na sshd cfg i wszystko, czego potrzebowałem, nadal działa, jest jakaś wskazówka, co może być tak ważne lub przydatne, które wymagałoby PAM?
Aquarius Power