Jak skonfigurować sshd w systemie Mac OS X, aby zezwalał tylko na uwierzytelnianie oparte na kluczach?

15

Mam maszynę Mac OS X (Mac mini z systemem 10.5) z włączonym Zdalnym logowaniem. Chcę otworzyć port sshd w Internecie, aby móc zalogować się zdalnie.

Ze względów bezpieczeństwa chcę wyłączyć zdalne logowanie przy użyciu haseł, umożliwiając logowanie tylko użytkownikom z prawidłowym kluczem publicznym.

Jaki jest najlepszy sposób na skonfigurowanie tego w Mac OS X?

security ssh mac-osx password keys Christian Berg
źródło

Odpowiedzi:

20

Po kilku próbach i błędach sam znalazłem odpowiedź. Opcje te należy ustawić w /etc/sshd_config:

PasswordAuthentication no
ChallengeResponseAuthentication no

Tylko zmiana jednego z nich nie wystarczy.

Christian Berg
źródło
3
W El Capital (i prawdopodobnie także w Mavericks) lokalizacja zmieniła się na /etc/ssh/sshd_configzamiast/etc/sshd_config
15.15
To była poprawka. Dużo zasobów internetowych nie wspominając o klucz do całej sprawy: ChallengeResponseAuthentication no.
the_real_one
1

W / etc / ssh / sshd_config

# To disable tunneled clear text passwords, change to no here! Also,
# remember to set the UsePAM setting to 'no'.
#PasswordAuthentication yes
#PermitEmptyPasswords no

Ustaw PasswordAuthentication na no i usuń # przed nim.

użytkownik21715
źródło
Czy przeczytałeś powyższy komentarz dotyczący ustawienia UsePAM na „nie”?
user21715,
Nie wydaje się to konieczne (patrz moja odpowiedź).
Christian Berg,
0

W rzeczywistości w / etc / sshd_config ustawiasz następujący wiersz:

Hasło Numer uwierzytelnienia

Jeśli używasz instalacji standardowej (tzn. Nie zbudowałeś / nie zainstalowałeś jej sam ze źródła), uruchomiona powinna zająć się pobieraniem nowej konfiguracji bez konieczności restartowania demona.

użytkownik5336
źródło
To nie działa, nadal mogę zalogować się przy użyciu mojego hasła. Plik dziennika /var/log/secure.log zawiera następujący wpis: sshd [16306]: Akceptowana klawiatura-interaktywna / pam dla chrześcijanina z portu 192.168.178.20 63841 ssh2 Wierzę, że opcja PasswordAuthentication kontroluje tylko loginy hasła w postaci jawnego tekstu, a nie klawiatura interaktywna?
Christian Berg,