ในหน้านี้คำอธิบายที่ให้ไว้คือ:
ตัวเลือก PasswordAuthentication ระบุว่าเราควรใช้การตรวจสอบตามรหัสผ่านหรือไม่ เพื่อความปลอดภัยที่แข็งแกร่งตัวเลือกนี้จะต้องตั้งค่าเป็นใช่เสมอ
แต่ล้มเหลวในการจัดเตรียมสถานการณ์จำลองการใช้งานใด ๆ ที่ชี้แจงเมื่อใช่หรือไม่เหมาะสม บางคนช่วยอธิบายเพิ่มเติมได้ไหม?
คำตอบ:
ลิงก์ของคุณชี้ไปที่เอกสารประกอบ 10 ปีที่ล้าสมัย
SSH สนับสนุนหลายวิธีในการรับรองความถูกต้องของผู้ใช้สิ่งที่พบบ่อยที่สุดคือการขอล็อกอินและรหัสผ่าน แต่คุณสามารถตรวจสอบสิทธิ์การใช้งานและรหัสสาธารณะ หากคุณตั้งรหัสผ่านการตรวจสอบเป็นไม่คุณจะไม่สามารถใช้การเข้าสู่ระบบและรหัสผ่านเพื่อตรวจสอบสิทธิ์และต้องใช้การเข้าสู่ระบบและกุญแจสาธารณะแทน (หากตั้งค่าPubkeyAuthenticationเป็นใช่)
โปรดทราบว่าการตั้งค่า PasswordAuthentication ไม่ได้ควบคุมการรับรองความถูกต้องด้วยรหัสผ่านทั้งหมด ChallengeResponseAuthentication มักถามรหัสผ่านด้วย
PasswordAuthentication ควบคุมการสนับสนุนสำหรับรูปแบบการรับรองความถูกต้อง 'รหัสผ่าน' ที่กำหนดไว้ใน RFC-4252 (มาตรา 8) ChallengeResponseAuthentication ควบคุมการสนับสนุนสำหรับรูปแบบการตรวจสอบ 'แป้นพิมพ์แบบโต้ตอบ' ที่กำหนดใน RFC-4256 รูปแบบการตรวจสอบความถูกต้องของแป้นพิมพ์แบบโต้ตอบได้โดยทางทฤษฎีแล้วสามารถถามคำถามแบบใช้หลายคำถามได้หลายคำถาม ในทางปฏิบัติมักจะถามเฉพาะรหัสผ่านของผู้ใช้
หากคุณต้องการปิดใช้งานการรับรองความถูกต้องด้วยรหัสผ่านอย่างสมบูรณ์ให้ตั้งค่าทั้งสองรหัสผ่านการตรวจสอบและ ChallengeResponseAuthentication เป็น 'ไม่' หากคุณอยู่ในกรอบความคิดของเข็มขัดและสายแขวนให้พิจารณาตั้งค่า UsePAM เป็น 'ไม่' เช่นกัน
การรับรองความถูกต้องสาธารณะ / ส่วนตัวใช้คีย์ (เปิดใช้งานโดยการตั้งค่า PubkeyAuthentication) เป็นประเภทของการรับรองความถูกต้องแยกต่างหากที่ไม่เกี่ยวข้องกับการส่งรหัสผ่านผู้ใช้ไปยังเซิร์ฟเวอร์แน่นอน
บางคนอาจโต้แย้งว่าการใช้ ChallengeResponseAuthentication นั้นปลอดภัยกว่า PasswordAuthentication เพราะมันยากที่จะทำให้เป็นอัตโนมัติ พวกเขาจึงแนะนำให้ปิดการใช้ PasswordAuthentication ในขณะที่เปิดใช้งาน ChallengeResponseAuthentication การกำหนดค่านี้ยังสนับสนุน (แต่ไม่จำเป็นต้องป้องกัน) การใช้การรับรองความถูกต้อง publickey สำหรับการเข้าสู่ระบบอัตโนมัติใด ๆ แต่เนื่องจาก SSH เป็นโปรโตคอลบนเครือข่ายเซิร์ฟเวอร์จึงไม่มีวิธีที่จะรับประกันได้ว่าการตอบสนองต่อ ChallengeResponseAuthentication (aka 'แป้นพิมพ์แบบโต้ตอบ') จะให้บริการโดยผู้ใช้ที่นั่งอยู่ที่แป้นพิมพ์ตราบใดที่ความท้าทายอยู่เสมอ และประกอบด้วยการขอรหัสผ่านจากผู้ใช้เท่านั้น
UsePAMเกิดขึ้น ...
PasswordAuthentication เป็นการใช้งานที่ง่ายที่สุดเนื่องจากไม่มีอะไรให้ทำ ส่วนของตัวนับคือคุณส่งรหัสผ่านผ่านการเชื่อมต่อที่เข้ารหัสไปยังเซิร์ฟเวอร์ นี่อาจเป็นปัญหาด้านความปลอดภัยหากเซิร์ฟเวอร์ได้รับความเสียหายเนื่องจากรหัสผ่านอาจถูกดักจับได้
ด้วยรหัสสาธารณะรหัสผ่านของคุณจะไม่ถูกส่งไปยังเซิร์ฟเวอร์จึงปลอดภัยมากขึ้น แต่จำเป็นต้องมีการตั้งค่าเพิ่มเติม
คุณสามารถตั้งค่าเป็นไม่เมื่อใช้ปุ่มหรือบังคับให้ใช้งาน