Ai đó có thể giải thích 'Mật khẩu xác thực' trong tệp / etc / ssh / sshd_config không?


28

Trên trang này , lời giải thích được đưa ra là:

Tùy chọn PasswordAuthentication chỉ định xem chúng ta có nên sử dụng xác thực dựa trên mật khẩu hay không. Để bảo mật mạnh, tùy chọn này phải luôn được đặt thành có.

Nhưng nó không cung cấp bất kỳ tình huống sử dụng nào làm rõ khi nào có hoặc không phù hợp. Ai đó có thể xin vui lòng giải thích thêm?

Câu trả lời:


21

Liên kết của bạn chỉ đến tài liệu 10 năm lỗi thời.

SSH hỗ trợ nhiều cách để xác thực người dùng, cách phổ biến nhất là yêu cầu đăng nhập và mật khẩu nhưng bạn cũng có thể xác thực người dùng đăng nhập và khóa chung. Nếu bạn đặt Mật khẩu xác thực thành không, bạn sẽ không còn có thể sử dụng thông tin đăng nhập và mật khẩu để xác thực và phải sử dụng khóa đăng nhập và khóa chung thay thế (nếu PubkeyAuthentication được đặt thành có)


ổn như vậy vì chỉ authorized_key2: (1) bình luận ra (2) thực mật khẩu không (3) PubkeyAuthentication yes (4) ChallengeResponseAuthentication không (5) kiểm tra AuthorizedKeysFile nó ... nếu nó vẫn chấp nhận mật khẩu, cũng thêm UsePam không
YumYumYum

Sử dụng cài đặt này: fpaste.org/114544/04202660 khi chỉ cho phép đăng nhập SSH qua ~ / .ssh / ủy
quyền_key2

1
và giá trị DEFAULT của nó là gì? Ý tôi là, nếu tôi không chỉ định bất kỳ "Mật khẩu xác thực" thì sao?
Riccardo SCE

@TSERiccardo: Không ai trả lời câu hỏi của bạn? Thật là xấu hổ, đổ lỗi cho SO!
Timo

1
@RiccardoSCE Theo trang man sshd_config, mặc định cho PasswordAuthentication là 'yes'.
Sao biển

53

Xin lưu ý rằng cài đặt Mật khẩu xác thực không kiểm soát TẤT CẢ xác thực dựa trên mật khẩu. ChallengeResponseAuthentication cũng thường yêu cầu mật khẩu.

Kiểm soát mật khẩu hỗ trợ cho sơ đồ xác thực 'mật khẩu' được xác định trong RFC-4252 (phần 8). Các điều khiển ChallengeResponseAuthentication hỗ trợ cho sơ đồ xác thực 'tương tác bàn phím' được xác định trong RFC-4256. Về mặt lý thuyết, sơ đồ xác thực 'tương tác bàn phím' có thể hỏi người dùng bất kỳ số lượng câu hỏi đa khía cạnh nào. Trong thực tế, nó thường chỉ hỏi mật khẩu của người dùng.

Nếu bạn muốn vô hiệu hóa hoàn toàn xác thực dựa trên mật khẩu, hãy đặt CẢ HAI Mật khẩu xác thực và Thử thách phản hồi thành 'không'. Nếu bạn là người có suy nghĩ về vành đai và nghi ngờ, hãy cân nhắc cài đặt UsePAM thành 'không'.

Tất nhiên, xác thực dựa trên khóa công khai / riêng tư (được bật bởi cài đặt PubkeyAuthentication) là một loại xác thực riêng biệt không liên quan đến việc gửi mật khẩu người dùng đến máy chủ, tất nhiên.

Một số người sẽ lập luận rằng việc sử dụng ChallengeResponseAuthentication an toàn hơn so với PasswordAuthentication vì khó tự động hóa hơn. Do đó, họ khuyên bạn nên tắt PasswordAuthentication trong khi bật ChallengeResponseAuthentication. Cấu hình này cũng khuyến khích (nhưng không nhất thiết ngăn chặn) sử dụng xác thực khóa công khai cho bất kỳ thông tin đăng nhập hệ thống tự động nào. Nhưng, vì SSH là giao thức dựa trên mạng, nên máy chủ không có cách nào để đảm bảo rằng các phản hồi đối với ChallengeResponseAuthentication (còn gọi là 'tương tác bàn phím') thực sự được cung cấp bởi người dùng ngồi trên bàn phím miễn là luôn luôn có thách thức và chỉ bao gồm yêu cầu người dùng cho mật khẩu của cô ấy.


7
Tôi sẽ đánh giá cao một số lời giải thích về những gì UsePAM...
Alexey

3

PasswordAuthentication là cách thực hiện dễ dàng nhất, vì không có gì để làm. Phần truy cập là bạn gửi mật khẩu của mình qua kết nối được mã hóa đến máy chủ. Đây có thể là một vấn đề bảo mật nếu máy chủ đã bị xâm phạm, vì mật khẩu sau đó có thể bị bắt.
Với khóa chung, mật khẩu của bạn không được truyền đến máy chủ, nó an toàn hơn nhưng cần thiết lập nhiều hơn.


Câu trả lời này hơi cũ, nhưng tôi muốn thêm một điều: Điều tuyệt vời về Xác thực Pubkey là không có bí mật nào được truyền đến máy chủ cả. Khóa riêng vẫn là bí mật trên máy tính của bạn, tức là bạn không thể vô tình truyền bất kỳ loại bí mật nào đến máy chủ MITM bị xâm nhập. Vì vậy, Pubkey chắc chắn là thuận lợi hơn so với Mật khẩu auth. Nhưng dù sao, vâng, Mật khẩu auth là cách dễ thực hiện hơn.
ngày 1 tháng

Sẽ không rắc rối khi thiết lập nó, chỉ ngang với việc lười biếng không làm điều đó.
sudo

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.