วัตถุประสงค์เบื้องหลังการปิดใช้งาน PAM ใน SSH

ฉันตั้งค่าการตรวจสอบตามที่สำคัญสำหรับ SSH บนกล่องใหม่และอ่านไม่กี่บทความที่กล่าวถึงการตั้งค่าUsePAMไปพร้อมกับnoPasswordAuthentication

คำถามของฉันคือสิ่งที่เป็นวัตถุประสงค์ของการตั้งค่าUsePAMไปnoถ้าคุณมีอยู่แล้วPasswordAuthenticationและChallengeResponseAuthenticationกำหนดให้no?

security ssh pam

— tacotuesday
แหล่งที่มา

หวังว่านี่จะช่วยตอบคำถามของคุณ - mail-index.netbsd.org/tech-security/2009/01/04/msg000153.html

— Chida

ฉันคิดว่าคนที่แนะนำให้ปิดการใช้งานUsePAMอาจไม่เข้าใจบริการทั้งหมดที่มีให้โดย PAM stack นอกจากการรับรองความถูกต้องแล้วPAMยังมีบริการตั้งค่าเซสชันที่คุณอาจไม่ต้องการเลี่ยงผ่าน

ตัวอย่างรวมถึงการตั้งค่าข้อ จำกัด ทรัพยากร (ผ่านpam_limit) ตัวแปรสภาพแวดล้อมและไดเรกทอรีการติดตั้ง

ถ้ามันทำให้คุณสะดวกสบายมากขึ้นคุณสามารถปรับเปลี่ยนการPAMตั้งค่าเพื่อsshdที่จะไม่สนับสนุนการตรวจสอบรหัสผ่านใด ๆ สมมติว่าคุณมีอยู่/etc/pam.d/sshdแล้วเพียงแค่ลบauthบรรทัดที่มีอยู่และแทนที่ด้วย:

auth required pam_deny.so

— larsks
แหล่งที่มา

นั่นคือคำตอบส่วนตัว เป็นไปได้ว่าจะมีความเข้ากันได้แบบย้อนกลับสำหรับกรณีการใช้งานเฉพาะเช่นโมดูลการตรวจสอบความถูกต้องที่ sshd ใช้ ใช่ PAM เป็นวิธีที่จะไปและถูกออกแบบมาให้มีความยืดหยุ่นมาก แต่ OP ถามว่าทำไมคุณไม่ใช้มันไม่ใช่คำอธิบายวิธีใช้ PAM

— ทักซิโดแดง

ว่าสภาพแวดล้อมจำนวนมากขึ้นอยู่กับการตั้งค่าเซสชันที่จัดทำโดยPAMสำหรับการดำเนินการที่เหมาะสมเป็นข้อเท็จจริงวัตถุประสงค์ไม่ใช่ความคิดเห็น ที่ OP ต้องการใช้PAMจริง ๆ แล้วความคิดเห็นของฉัน ฉันชื่อลาร์สและฉันอนุมัติข้อความนี้

— larsks

ฉันตั้งค่า "UsePAM no" ที่ sshd cfg และสิ่งที่ฉันต้องการยังคงทำงานอยู่เคล็ดลับอะไรที่สำคัญหรือมีประโยชน์ที่จะต้องใช้ PAM

— กุมภ์กำลัง