В чем обратная сторона отключения PAM в OpenSSH, если разрешен только вход с открытым ключом?

PAM выполняет не только аутентификацию, но и услуги авторизации и сеанса. Вы, вероятно, захотите оставить его включенным, так как он добавляет немного гибкости.

PAM будет вызываться для успешной аутентификации открытого ключа, поскольку службы сеанса и учетной записи все еще проверяются.

PAM может делать то, что не может SSH. Этот список не является исчерпывающим:

• Запретить пользователю доступ, если SELinux не находится в принудительном режиме (если это ваше дело).
• Установите ограничения ресурсов, такие как максимальное количество процессов и максимальное количество разрешенных входов в систему.
• Гибко запрещать пользователю на основе его пользователя и IP-адреса удаленного источника (возможно и в SSH, но довольно кратко в PAM)
• Задайте ряд переменных среды, которые вы можете передать.
• Создайте домашний каталог для пользователя, если он не существует.
• Запретить пользователям на основании времени / даты их попытки доступа.
• Запретить неактивных пользователей.
• Запретить пользователям использовать недопустимую оболочку.
• Настройка ключевых средств ведения журнала ввода.