Adakah yang bisa menjelaskan 'PasswordAuthentication' di file / etc / ssh / sshd_config?

28

Di halaman ini , penjelasan yang diberikan adalah:

Opsi PasswordAuthentication menentukan apakah kita harus menggunakan otentikasi berbasis kata sandi. Untuk keamanan yang kuat, opsi ini harus selalu disetel ke ya.

Tetapi gagal memberikan skenario kasus penggunaan yang mengklarifikasi kapan Ya atau tidak akan sesuai. Bisakah seseorang menjelaskan lebih lanjut?

Zeta2
sumber

Jawaban:

21

Tautan Anda mengarah ke dokumentasi 10 tahun kedaluwarsa.

SSH mendukung berbagai cara untuk mengautentikasi pengguna, yang paling umum adalah dengan meminta login dan kata sandi tetapi Anda juga dapat mengotentikasi login dan kunci publik. Jika Anda mengatur Kata Sandi Kebenaran ke tidak, Anda tidak lagi dapat menggunakan login dan kata sandi untuk mengotentikasi dan harus menggunakan login dan kunci publik sebagai gantinya (jika PubkeyAuthentication diatur ke ya)

radius
sumber
oke jadi untuk otor_key2 saja: (1) beri komentar pada AuthorizedKeysFile (2) PasswordAuthentication no (3) PubkeyAuthentication ya (4) ChallengeResponseAuthentication no (5) mengujinya ... jika masih menerima kata sandi, tambahkan juga UsePam no
YumYumYum
Gunakan pengaturan ini: fpaste.org/114544/04202660 ketika hanya mengizinkan SSH masuk melalui ~ / .ssh / Authorized_keys2 tetapi tidak dengan nama pengguna / kata sandi
YumYumYum
1
dan apa nilai DEFAULT dari itu? Maksud saya, bagaimana jika saya tidak menentukan "PasswordAuthentication"?
Riccardo SCE
@TSERiccardo: Tidak ada yang menjawab pertanyaan Anda? Sayang sekali, salahkan saja SO!
Timo
1
@RiccardoSCE Menurut halaman manual sshd_config, default untuk PasswordAuthentication adalah 'ya'.
Starfish
53

Harap dicatat bahwa pengaturan PasswordAuthentication tidak mengontrol SEMUA otentikasi berbasis kata sandi. ChallengeResponseAuthentication biasanya juga meminta kata sandi.

PasswordAuthentication mengontrol dukungan untuk skema otentikasi 'kata sandi' yang didefinisikan dalam RFC-4252 (bagian 8). ChallengeResponseAuthentication mengontrol dukungan untuk skema otentikasi 'keyboard-interaktif' yang didefinisikan dalam RFC-4256. Skema otentikasi 'keyboard-interaktif' dapat, secara teori, menanyakan kepada pengguna sejumlah pertanyaan multi-faceted. Dalam praktiknya sering hanya meminta kata sandi pengguna.

Jika Anda ingin sepenuhnya menonaktifkan otentikasi berbasis kata sandi, atur KEDUA Kata Sandi Kebenaran dan ChallengeResponseAuthentication ke 'tidak'. Jika Anda termasuk orang yang memiliki pola pikir seperti itu, pertimbangkan untuk mengatur UsePAM menjadi 'tidak' juga.

Otentikasi berbasis Kunci Publik / Pribadi (diaktifkan oleh pengaturan PubkeyAuthentication) adalah jenis otentikasi terpisah yang tidak melibatkan pengiriman kata sandi pengguna ke server, tentu saja.

Beberapa berpendapat bahwa menggunakan ChallengeResponseAuthentication lebih aman daripada PasswordAuthentication karena lebih sulit untuk diotomatisasi. Karena itu mereka merekomendasikan membiarkan PasswordAuthentication dinonaktifkan sementara membiarkan ChallengeResponseAuthentication diaktifkan. Konfigurasi ini juga mendorong (tetapi tidak mencegah) penggunaan otentikasi publickey untuk login sistem otomatis. Tetapi, karena SSH adalah protokol berbasis jaringan, server tidak memiliki cara untuk menjamin bahwa respons terhadap ChallengeResponseAuthentication (alias 'keyboard-interactive') sebenarnya disediakan oleh pengguna yang duduk di keyboard selama tantangan selalu ada. dan hanya terdiri dari meminta kata sandi pengguna.

Izzy
sumber
7
Saya akan sangat menghargai beberapa penjelasan tentang apa yang UsePAM...
Alexey
3

PasswordAuthentication adalah implementasi termudah, karena tidak ada yang bisa dilakukan. Bagian balasannya adalah Anda mengirim kata sandi, melalui koneksi terenkripsi, ke server. Ini bisa menjadi masalah keamanan jika server telah dikompromikan, karena kata sandi kemudian dapat ditangkap.
Dengan kunci publik, kata sandi Anda tidak dikirimkan ke server, kata sandi itu lebih aman tetapi membutuhkan pengaturan lebih lanjut.

kaklon
sumber
Jawaban ini agak lama, namun saya ingin menambahkan sesuatu: Hal terbaik dari Otentikasi Pubkey adalah sama sekali tidak ada rahasia yang dikirimkan ke server. Kunci pribadi tetap rahasia di komputer Anda, yaitu Anda tidak dapat secara tidak sengaja mengirimkan segala jenis rahasia ke server MITM yang dikompromikan atau dikompromikan. Jadi Pubkey pasti lebih disukai daripada Sandi auth. Tapi bagaimanapun, ya, kata sandi auth lebih mudah untuk diterapkan.
Jan D
Tidak akan repot mengaturnya, hanya untuk menjadi malas untuk tidak melakukannya.
sudo
0

Anda dapat mengaturnya untuk tidak saat menggunakan tombol , atau untuk memaksakan penggunaannya.

Ignacio Vazquez-Abrams
sumber