Zweck der Deaktivierung von PAM in SSH

18

Ich gründe Schlüssel basierte Authentifizierung für SSH auf ein neues Feld auf und wurde ein paar Artikel zu lesen , die Einstellung erwähnen UsePAMzu nomit PasswordAuthentication.

Meine Frage ist, was ist der Zweck des Einstellens UsePAM, nowenn Sie bereits haben PasswordAuthenticationund ChallengeResponseAuthenticationeinstellen no?

security ssh pam tacotuesday
quelle
1
Hoffe, dies hilft bei der Beantwortung Ihrer Frage - mail-index.netbsd.org/tech-security/2009/01/04/msg000153.html
Chida

Antworten:

13

Ich denke, dass Personen, die die Deaktivierung empfehlen, UsePAMdie vom PAM-Stack bereitgestellten Dienste möglicherweise nicht vollständig verstehen. PAMBietet neben der Authentifizierung auch Sitzungs-Setup-Dienste, die Sie möglicherweise nicht umgehen möchten.

Beispiele hierfür sind das Festlegen von Ressourcenlimits (über pam_limit), Umgebungsvariablen und Bereitstellungsverzeichnissen.

Wenn Sie es bequemer haben, können Sie die PAMKonfiguration sshdso ändern, dass die Kennwortauthentifizierung in keiner Weise unterstützt wird. Angenommen, Sie haben eine vorhandene /etc/pam.d/sshd, entfernen Sie einfach die vorhandenen authLinien und ersetzen Sie sie durch:

auth required pam_deny.so
larsks
quelle
2
Das ist eine sehr subjektive Antwort. Es ist wahrscheinlich, dass es mehr Abwärtskompatibilität für bestimmte Anwendungsfälle gibt, z. B. ein anderes Authentifizierungsmodul, das sshd verwendet. Ja, PAM ist der richtige Weg und sollte sehr flexibel sein, aber das OP fragte, warum Sie es nicht verwenden würden, und nicht, wie Sie PAM verwenden sollten.
Red Tux
6
So viele Umgebungen hängen vom Sitzungsaufbau von ab PAM für einen ordnungsgemäßen Betrieb ist eine objektive Tatsache, keine Meinung. Dass das OP dies nutzen möchte, PAMist in der Tat meine Meinung. Mein Name ist Lars und ich bin mit dieser Nachricht einverstanden.
Larsks
3
Ich habe "UsePAM no" bei sshd cfg eingestellt und alles, was ich brauchte, funktioniert noch. Gibt es einen Tipp, was so wichtig oder nützlich sein könnte, dass PAM erforderlich wäre?
Aquarius Power