Propósito detrás de deshabilitar PAM en SSH

18

Soy la creación de la autenticación basada en una clave de SSH en una nueva caja, y estaba leyendo algunos artículos que mencionan el establecimiento UsePAMa nolo largo de con PasswordAuthentication.

Mi pregunta es, ¿cuál es el propósito de establecer UsePAMque nosi ya tiene PasswordAuthenticationy ChallengeResponseAuthenticationlisto para no?

tacotuesday
fuente
1
Espero que esto ayude a responder su pregunta: mail-index.netbsd.org/tech-security/2009/01/04/msg000153.html
Chida

Respuestas:

13

Creo que las personas que recomiendan deshabilitar UsePAMpueden no comprender completamente los servicios proporcionados por la pila PAM. Además de la autenticación, PAMtambién proporciona servicios de configuración de sesión que quizás no desee omitir.

Los ejemplos incluyen el establecimiento de límites de recursos (vía pam_limit), variables de entorno y montaje de directorios.

Si te hace sentir más cómodo, puedes modificar la PAMconfiguración para sshdque no admita autenticación de contraseña de ningún tipo. Suponiendo que tiene una existente /etc/pam.d/sshd, simplemente elimine las authlíneas existentes y reemplácelas con:

auth required pam_deny.so
larsks
fuente
2
Esa es una respuesta muy subjetiva. Es probable que haya más para la compatibilidad con versiones anteriores para casos de uso específicos, como un módulo de autenticación diferente que utiliza sshd. Sí, PAM es el camino a seguir y está diseñado para ser muy flexible, pero el OP le preguntó por qué no lo usaría, no una descripción de cómo usar PAM.
Red Tux
66
Que muchos entornos se basen en la configuración de la sesión proporcionada por PAMel funcionamiento adecuado es un hecho objetivo, no una opinión. Que el OP puede querer usar PAMes, de hecho, mi opinión. Mi nombre es Lars y apruebo este mensaje.
larsks
3
Configuré "UsePAM no" en sshd cfg y todo lo que necesitaba todavía funciona, ¿algún consejo sobre qué podría ser tan importante o útil que requiriera PAM?
Acuario Power