Come posso configurare sshd su Mac OS X per consentire solo l'autenticazione basata su chiave?


15

Ho una macchina Mac OS X (Mac mini con 10.5) con Accesso remoto abilitato. Voglio aprire la porta sshd su Internet per poter accedere in remoto.

Per motivi di sicurezza, desidero disabilitare gli accessi remoti utilizzando le password, consentendo l'accesso solo agli utenti con una chiave pubblica valida.

Qual è il modo migliore per configurarlo in Mac OS X?

Risposte:


20

Dopo una piccola prova ed errore, ho trovato la risposta da solo. Queste opzioni devono essere impostate in /etc/sshd_config:

PasswordAuthentication no
ChallengeResponseAuthentication no

Solo cambiarne uno non è sufficiente.


3
A El Capitale (e probabilmente in Mavericks pure), il luogo è stato cambiato /etc/ssh/sshd_confige non solo/etc/sshd_config
yorch

Questa era la soluzione. Un sacco di risorse on-line non menzionano la chiave di tutta questa faccenda: ChallengeResponseAuthentication no.
the_real_one

1

In / etc / ssh / sshd_config

# To disable tunneled clear text passwords, change to no here! Also,
# remember to set the UsePAM setting to 'no'.
#PasswordAuthentication yes
#PermitEmptyPasswords no

Impostare PasswordAuthentication su no e rimuovere il # prima di esso.


Hai letto il commento sopra sull'impostazione di UsePAM su "no"?
user21715

Non sembra essere necessario (vedi la mia risposta).
Christian Berg,

0

In realtà è in / etc / sshd_config che si imposta la seguente riga:

Password autenticazione n

Se stai usando un'installazione stock (cioè, non hai creato / installato tu stesso dal sorgente), launchd dovrebbe occuparsi di raccogliere la nuova configurazione senza dover riavviare il demone.


Questo non funziona, posso ancora accedere con la mia password. Il file di log /var/log/secure.log contiene una voce come questa: sshd [16306]: accettata tastiera interattiva / pam per christian dalla porta 192.168.178.20 63841 ssh2 Credo che l'opzione PasswordAuthentication controlli solo gli accessi con password in chiaro, non keyboard-interactive?
Christian Berg,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.