Tujuan Di Balik Menonaktifkan PAM di SSH

18

Saya menyiapkan otentikasi berbasis kunci untuk SSH pada kotak baru, dan sedang membaca beberapa artikel yang menyebutkan pengaturan UsePAMuntuk nobersama PasswordAuthentication.

Pertanyaan saya adalah, apa tujuan pengaturan UsePAMuntuk nojika Anda sudah memiliki PasswordAuthenticationdan ChallengeResponseAuthenticationset ke no?

security ssh pam tacotuesday
sumber
1
Semoga ini bisa membantu menjawab pertanyaan Anda - mail-index.netbsd.org/tech-security/2009/01/04/msg000153.html
Chida

Jawaban:

13

Saya pikir orang yang merekomendasikan penonaktifan UsePAMmungkin tidak sepenuhnya memahami layanan yang disediakan oleh tumpukan PAM. Selain otentikasi, PAMjuga menyediakan layanan pengaturan sesi yang mungkin tidak ingin Anda bypass.

Contohnya termasuk menetapkan batas sumber daya (via pam_limit), variabel lingkungan, dan direktori pemasangan.

Jika itu membuat Anda lebih nyaman, Anda dapat memodifikasi PAMkonfigurasi sshdsedemikian rupa sehingga tidak mendukung otentikasi kata sandi apa pun. Dengan asumsi Anda memiliki yang sudah ada /etc/pam.d/sshd, cukup hapus authbaris yang ada dan ganti dengan:

auth required pam_deny.so
larsks
sumber
2
Itu jawaban yang sangat subyektif. Kemungkinan ada lebih banyak untuk kompatibilitas mundur untuk kasus penggunaan khusus seperti modul otentikasi berbeda yang digunakan sshd. Ya PAM adalah cara untuk pergi dan dirancang untuk menjadi sangat fleksibel, tetapi OP bertanya mengapa Anda tidak menggunakannya, bukan deskripsi tentang cara menggunakan PAM.
Red Tux
6
Bahwa banyak lingkungan bergantung pada pengaturan sesi yang disediakan oleh PAMuntuk operasi yang tepat adalah fakta objektif, bukan pendapat. Bahwa OP mungkin ingin menggunakan PAM, memang, menurut saya. Nama saya Lars dan saya menyetujui pesan ini.
larsks
3
Saya menetapkan "UsePAM no" di sshd cfg dan semua yang saya butuhkan masih berfungsi, apakah ada tip tentang apa yang bisa begitu penting atau berguna yang akan membutuhkan PAM?
Aquarius Power