Objectif derrière la désactivation de PAM dans SSH

18

J'installe l' authentification par clé SSH sur une nouvelle boîte, et a été lu quelques articles qui mentionnent la mise UsePAMà noavec PasswordAuthentication.

Ma question est, quel est le but de la mise UsePAMà nosi vous avez déjà PasswordAuthenticationet ChallengeResponseAuthenticationmis à no?

mardi
la source
1
J'espère que cela aidera à répondre à votre question - mail-index.netbsd.org/tech-security/2009/01/04/msg000153.html
Chida

Réponses:

13

Je pense que les personnes qui recommandent de désactiver UsePAMpeuvent ne pas comprendre complètement les services fournis par la pile PAM. En plus de l'authentification, PAMfournit également des services de configuration de session que vous ne voudrez peut-être pas contourner.

Les exemples incluent la définition des limites de ressources (via pam_limit), les variables d'environnement et le montage de répertoires.

Si cela vous rend plus confortable, vous pouvez modifier la PAMconfiguration pour sshdqu'elle ne prenne en charge aucune authentification par mot de passe. En supposant que vous en avez un /etc/pam.d/sshd, supprimez simplement les authlignes existantes et remplacez-les par:

auth required pam_deny.so
larsks
la source
2
C'est une réponse très subjective. Il y a probablement plus de compatibilité descendante pour des cas d'utilisation spécifiques tels qu'un module d'authentification différent utilisé par sshd. Oui, PAM est la voie à suivre et est conçu pour être très flexible, mais l'OP a demandé pourquoi ne pas l'utiliser, pas une description de la façon d'utiliser PAM.
Red Tux
6
Le fait que de nombreux environnements dépendent de la configuration de session fournie par PAMpour un fonctionnement correct est un fait objectif, pas une opinion. Ce que le PO peut vouloir utiliser PAMest, en effet, mon avis. Je m'appelle Lars et j'approuve ce message.
larsks
3
J'ai mis "UsePAM no" à sshd cfg et tout ce dont j'avais besoin est toujours en marche, une astuce sur ce qui pourrait être si important ou utile qui nécessiterait PAM?
Aquarius Power