Mục đích đằng sau việc vô hiệu hóa PAM trong SSH

Tôi đang thiết lập xác thực dựa chính cho SSH trên một hộp mới, và đã được đọc một vài bài báo đề cập đến việc thiết UsePAMđể nocùng với PasswordAuthentication.

Câu hỏi của tôi là, mục đích của việc thiết lập là UsePAMgì nonếu bạn đã có PasswordAuthenticationvà ChallengeResponseAuthenticationđặt thành no?

security ssh pam

— ngày thứ ba
nguồn

Hy vọng điều này sẽ giúp trả lời câu hỏi của bạn - mail-index.netbsd.org/tech-security/2009/01/04/msg000153.html

— Chida

Tôi nghĩ rằng những người khuyên bạn nên vô hiệu hóa UsePAMcó thể không hiểu hoàn toàn các dịch vụ được cung cấp bởi ngăn xếp PAM. Ngoài xác thực, PAMcũng cung cấp các dịch vụ thiết lập phiên mà bạn có thể không muốn bỏ qua.

Các ví dụ bao gồm thiết lập giới hạn tài nguyên (thông qua pam_limit), biến môi trường và thư mục gắn kết.

Nếu nó giúp bạn thoải mái hơn, bạn có thể sửa đổi PAMcấu hình sao cho sshdnó không hỗ trợ xác thực mật khẩu dưới bất kỳ hình thức nào. Giả sử rằng bạn đã có sẵn /etc/pam.d/sshd, chỉ cần xóa các authdòng hiện có và thay thế chúng bằng:

auth required pam_deny.so

— larsks
nguồn

Đó là một câu trả lời rất chủ quan. Có khả năng có nhiều khả năng tương thích ngược hơn cho các trường hợp sử dụng cụ thể, chẳng hạn như một mô-đun xác thực khác mà sshd sử dụng. Có PAM là cách để đi và được thiết kế rất linh hoạt, nhưng OP đã hỏi tại sao bạn không sử dụng nó, không phải là một mô tả về cách sử dụng PAM.

— Red Thâp

Nhiều môi trường dựa trên thiết lập phiên được cung cấp bởi PAMhoạt động đúng là một thực tế khách quan, không phải là một ý kiến. OP thực sự có thể muốn sử dụng PAMlà ý kiến của tôi. Tên tôi là Lars và tôi chấp nhận tin nhắn này.

— larsks

Tôi đặt "UsePAM no" tại sshd cfg và tất cả những gì tôi cần vẫn đang hoạt động, bất kỳ mẹo nào về những gì có thể quan trọng hoặc hữu ích cần có PAM?

— Sức mạnh Bảo Bình