Scopo dietro la disabilitazione di PAM in SSH


18

Sono la creazione di autenticazione basata su chiave SSH su una nuova scatola, e stava leggendo alcuni articoli che menzionano l'impostazione UsePAMdi noinsieme PasswordAuthentication.

La mia domanda è, qual è lo scopo di fissare UsePAMper nose già avete PasswordAuthenticatione ChallengeResponseAuthenticationinsieme a no?


1
Spero che questo aiuti a rispondere alla tua domanda - mail-index.netbsd.org/tech-security/2009/01/04/msg000153.html
Chida

Risposte:


13

Penso che le persone che raccomandano di disabilitare UsePAMpotrebbero non comprendere completamente i servizi forniti dallo stack PAM. Oltre all'autenticazione, PAMfornisce anche servizi di impostazione della sessione che potresti non voler ignorare.

Gli esempi includono l'impostazione dei limiti delle risorse (via pam_limit), delle variabili di ambiente e delle directory di montaggio.

Se ti rende più comodo, puoi modificare la PAMconfigurazione in modo sshdtale che non supporti l'autenticazione con password di alcun tipo. Supponendo che tu abbia un esistente /etc/pam.d/sshd, basta rimuovere le authlinee esistenti e sostituirle con:

auth required pam_deny.so

2
Questa è una risposta molto soggettiva. È probabile che ci sia di più per la retrocompatibilità per casi d'uso specifici come un diverso modulo di autenticazione utilizzato da sshd. Sì, PAM è la strada da percorrere ed è progettata per essere molto flessibile, ma l'OP ha chiesto perché non lo utilizzeresti, non una descrizione di come usare PAM.
Red Tux,

6
Il fatto che molti ambienti facciano affidamento sull'impostazione della sessione fornita PAMper il corretto funzionamento è un fatto oggettivo, non un'opinione. Che l'OP potrebbe voler usare PAMè, in effetti, la mia opinione. Mi chiamo Lars e approvo questo messaggio.
Larks

3
Ho impostato "UsePAM no" su sshd cfg e tutto ciò di cui avevo bisogno è ancora funzionante, qualche suggerimento su cosa potrebbe essere così importante o utile che richiederebbe PAM?
Aquarius Power,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.