web-dev-qa-db-ja.com

SSHでPAMを無効にする目的

新しいボックスでSSHのキーベース認証を設定していて、UsePAMnoPasswordAuthenticationとともに設定することに関するいくつかの記事を読んでいました。

私の質問は、すでにUsePAMnoPasswordAuthenticationに設定している場合、ChallengeResponseAuthenticationnoに設定する目的は何ですか?

19
tacotuesday

UsePAMを無効にすることを推奨する人は、PAMスタックによって提供されるサービスを完全に理解していないと思います。認証に加えて、PAMは、notをバイパスしたいセッション設定サービスも提供します。

例には、(pam_limitを介した)リソース制限の設定、環境変数、マウントディレクトリなどがあります。

より快適な場合は、PAMsshdの構成を変更して、あらゆる種類のパスワード認証をサポートしないようにすることができます。既存の/etc/pam.d/sshdがあると仮定して、既存のauth行を削除して、次の行に置き換えます。

auth required pam_deny.so
13
larsks