Призначення поза відключенням PAM в SSH

Я настройка аутентифікації на основі ключів для SSH на нову коробку, і читав кілька статей , в яких згадується установка UsePAMна noпоряд з PasswordAuthentication.

Моє питання, яка мета створення UsePAMв noякщо у вас вже є PasswordAuthenticationі ChallengeResponseAuthenticationнабір для no?

security ssh pam

— такотуторг
джерело

Сподіваюся , що це допомагає відповісти на ваше запитання - mail-index.netbsd.org/tech-security/2009/01/04/msg000153.html

— Тіди

Я думаю, що люди, які рекомендують відключити, UsePAMможуть не повністю зрозуміти послуги, що надаються стеком PAM. На додаток до аутентифікації, PAMтакож надаються послуги з налаштування сеансу, які ви, можливо, не захочете обійти.

Приклади включають в себе встановлення лімітів ресурсів (через pam_limit), змінні середовища та монтаж каталогів.

Якщо вам це зручніше, ви можете змінити PAMконфігурацію sshdтаким чином, щоб вона не підтримувала автентифікацію паролів будь-якого типу. Припускаючи, що у вас є існуючі /etc/pam.d/sshd, просто видаліть існуючі authрядки та замініть їх на:

auth required pam_deny.so

— лорс
джерело

Це дуже суб'єктивна відповідь. Ймовірно, є більше для зворотної сумісності для конкретних випадків використання, таких як інший модуль аутентифікації, який використовує sshd. Так, PAM - це шлях, який розроблений таким чином, щоб бути дуже гнучким, але ОП запитав, чому ви не використовуєте його, а не опис того, як використовувати PAM.

— Red Tux

Те, що багато середовищ покладаються на налаштування сеансу, передбачене PAMдля належної роботи, є об'єктивним фактом, а не думкою. Те, що ОП, можливо, захоче використати PAM- це справді моя думка. Мене звуть Ларс, і я схвалюю це повідомлення.

— larsks

Я встановлюю "UsePAM ні" на sshd cfg, і все, що мені потрібно, все ще працює, будь-яка порада щодо того, що може бути настільки важливим чи корисним, що вимагало б PAM?

— Сила Водолія