In questa pagina , la spiegazione fornita è:
L'opzione PasswordAuthentication consente di specificare se utilizzare l'autenticazione basata su password. Per una sicurezza elevata, questa opzione deve essere sempre impostata su Sì.
Ma non riesce a fornire scenari di casi d'uso che chiariscano quando un Sì o un no sarebbero appropriati. Qualcuno può elaborare ulteriormente?
Risposte:
Il tuo link rimanda alla documentazione non più aggiornata di 10 anni.
SSH supporta diversi modi per autenticare gli utenti, il più comune è richiedere un login e una password, ma è anche possibile autenticare un login e una chiave pubblica. Se si imposta PasswordAuthentication su no, non sarà più possibile utilizzare un account di accesso e una password per l'autenticazione e sarà invece necessario utilizzare un account di accesso e una chiave pubblica (se PubkeyAuthentication è impostato su yes)
Si noti che l'impostazione PasswordAuthentication non controlla TUTTA l'autenticazione basata su password. ChallengeResponseAuthentication di solito richiede anche password.
PasswordAuthentication controlla il supporto per lo schema di autenticazione 'password' definito in RFC-4252 (sezione 8). ChallengeResponseAuthentication controlla il supporto per lo schema di autenticazione "interattivo da tastiera" definito in RFC-4256. Lo schema di autenticazione "interattivo da tastiera" potrebbe, in teoria, porre a un utente un numero qualsiasi di domande multiformi. In pratica spesso richiede solo la password dell'utente.
Se si desidera disabilitare completamente l'autenticazione basata su password, impostare SIA password autenticazione e ChallengeResponseAuthentication su "no". Se sei della mentalità cintura e bretelle, considera di impostare anche UsePAM su "no".
L'autenticazione basata su chiave pubblica / privata (abilitata dall'impostazione PubkeyAuthentication) è un tipo di autenticazione separato che, ovviamente, non comporta l'invio di password utente al server.
Alcuni sostengono che l'uso di ChallengeResponseAuthentication sia più sicuro di PasswordAuthentication perché è più difficile da automatizzare. Pertanto consigliano di lasciare PasswordAuthentication disabilitato lasciando ChallengeResponseAuthentication abilitato. Questa configurazione incoraggia (ma non necessariamente impedisce) l'uso dell'autenticazione con chiave pubblica per qualsiasi accesso al sistema automatizzato. Ma poiché SSH è un protocollo basato su rete, il server non ha modo di garantire che le risposte a ChallengeResponseAuthentication (alias "tastiera interattiva") siano effettivamente fornite da un utente seduto a una tastiera fintanto che le sfide sempre e consiste solo nel chiedere a un utente la sua password.
UsePAM...
PasswordAuthentication è l'implementazione più semplice, poiché non c'è nulla da fare. La controparte è che si invia la password, tramite una connessione crittografata, al server. Questo può essere un problema di sicurezza se il server è stato compromesso, poiché la password potrebbe essere acquisita.
Con la chiave pubblica, la tua password non viene trasmessa al server, è più sicura ma necessita di più configurazione.
È possibile impostarlo su no quando si usano i tasti o per forzarne l'uso.