新しいボックスでSSHのキーベース認証を設定していて、UsePAM
をno
にPasswordAuthentication
とともに設定することに関するいくつかの記事を読んでいました。
私の質問は、すでにUsePAM
とno
をPasswordAuthentication
に設定している場合、ChallengeResponseAuthentication
をno
に設定する目的は何ですか?
UsePAM
を無効にすることを推奨する人は、PAMスタックによって提供されるサービスを完全に理解していないと思います。認証に加えて、PAM
は、notをバイパスしたいセッション設定サービスも提供します。
例には、(pam_limit
を介した)リソース制限の設定、環境変数、マウントディレクトリなどがあります。
より快適な場合は、PAM
のsshd
の構成を変更して、あらゆる種類のパスワード認証をサポートしないようにすることができます。既存の/etc/pam.d/sshd
があると仮定して、既存のauth
行を削除して、次の行に置き換えます。
auth required pam_deny.so