Question But Derrière Désactiver PAM dans SSH


Je configure une authentification basée sur une clé pour SSH sur une nouvelle boîte de dialogue et lisais quelques articles qui mentionnent le paramètre UsePAM à no de même que PasswordAuthentication.

Ma question est la suivante: quel est le but de définir UsePAM à no si vous avez déjà PasswordAuthentication et ChallengeResponseAuthentication mis à no?


18
2017-08-17 18:11


origine


J'espère que cela aide à répondre à votre question - mail-index.netbsd.org/tech-security/2009/01/04/msg000153.html - Chida


Réponses:


Je pense que les gens qui recommandent de désactiver UsePAM peut ne pas comprendre complètement les services fournis par la pile PAM. En plus de l'authentification, PAM fournit également des services de configuration de session que vous pouvez ne pas vouloir contourner.

Les exemples incluent la définition de limites de ressources (via pam_limit), les variables d’environnement et les répertoires de montage.

Si cela vous rend plus à l'aise, vous pouvez modifier la PAM configuration pour sshd de telle sorte qu'il ne supporte aucune authentification par mot de passe. En supposant que vous avez un existant /etc/pam.d/sshd, il suffit de supprimer l'existant auth lignes et les remplacer par:

auth required pam_deny.so

12
2017-08-17 18:25



C'est une réponse très subjective. Il existe probablement davantage de compatibilité ascendante pour des cas d'utilisation spécifiques, tels qu'un module d'authentification différent utilisé par sshd. Oui, PAM est la voie à suivre et est conçu pour être très flexible, mais le PO a demandé pourquoi vous ne l'utiliseriez pas, pas une description de la façon d'utiliser PAM. - Red Tux
Que de nombreux environnements reposent sur la configuration de session fournie par PAM car le bon fonctionnement est un fait objectif, pas une opinion. Que le PO voudra utiliser PAM est, en effet, mon opinion. Je m'appelle Lars et j'approuve ce message. - larsks
J'ai défini "UsePAM no" sur sshd cfg et tout ce dont j'avais besoin fonctionnait toujours. Avez-vous une idée de ce qui pourrait être si important ou utile pour pouvoir utiliser PAM? - Aquarius Power