Objetivo por trás da desativação do PAM no SSH

18

Eu sou a criação de autenticação baseada chave para SSH em uma nova caixa, e estava lendo alguns artigos que mencionam a criação UsePAMde no, juntamente com PasswordAuthentication.

Minha pergunta é, qual é o propósito de definir UsePAMpara nose você já tem PasswordAuthenticatione ChallengeResponseAuthenticationpronto para no?

security ssh pam terça-feira
fonte
11
Espero que isso ajude a responder à sua pergunta - mail-index.netbsd.org/tech-security/2009/01/04/msg000153.html
Chida

Respostas:

13

Eu acho que as pessoas que recomendam desativar UsePAMpodem não entender completamente os serviços fornecidos pela pilha do PAM. Além da autenticação, PAMtambém fornece serviços de configuração de sessão que você pode não querer ignorar.

Os exemplos incluem a definição de limites de recursos (via pam_limit), variáveis ​​de ambiente e diretórios de montagem.

Se você se sentir mais confortável, poderá modificar a PAMconfiguração para sshdque não suporte autenticação de senha de nenhum tipo. Supondo que você tenha um /etc/pam.d/sshd, basta remover as authlinhas existentes e substituí-las por:

auth required pam_deny.so
larsks
fonte
2
Essa é uma resposta muito subjetiva. É provável que exista mais compatibilidade retroativa para casos de uso específicos, como um módulo de autenticação diferente usado pelo sshd. Sim, o PAM é o caminho a seguir e foi projetado para ser muito flexível, mas o OP perguntou por que você não o usaria, não uma descrição de como usar o PAM.
Tux vermelho
6
O fato de muitos ambientes confiarem na configuração da sessão fornecida PAMpara uma operação adequada é um fato objetivo, não uma opinião. Que o OP possa querer usar PAMé, de fato, minha opinião. Meu nome é Lars e aprovo esta mensagem.
Larsks 17/08
3
Defino "UsePAM no" em sshd cfg e tudo que eu precisava ainda estava funcionando, alguma dica sobre o que poderia ser tão importante ou útil que exigiria PAM?
Aquarius Power