При настройке нового сервера я обычно хочу разрешить вход только через аутентификацию ключа, а не от пользователя root. Поэтому я редактирую sshd_config следующим образом:
Я изменяю PermitRootLogin на no и раскомментирую PasswordAuthentification, а также устанавливаю для этого параметра no. Хотя это работает очень хорошо, и я проверил и не нашел способа войти в систему только с помощью пароля, мне было интересно, почему некоторые руководства рекомендуют установить для UsePAM значение `` нет '', в то время как другие руководства вообще не упоминают об этом (и тем самым сохраняют это как «да»). Кажется, нет четкого мнения о том, следует ли менять настройку UsePAM при переключении на аутентификацию только по ключу.
Каковы последствия для безопасности, если оставить UsePAM как есть («да»), если они вообще есть?
Ты держишь UsePAM так как yes потому что когда PasswordAuthentication установлен на no PAM не вызывает раздел auth службы PAM:
UsePAM Включает интерфейс подключаемого модуля аутентификации. Если установлено «да», это включит аутентификацию PAM с использованием ChallengeResponseAuthentication и PasswordAuthentication в дополнение к обработке учетной записи PAM и модуля сеанса для всех типов аутентификации.
Поскольку аутентификация запрос-ответ PAM обычно выполняет роль, эквивалентную аутентификации по паролю, следует отключить аутентификацию PasswordAuthentication или ChallengeResponseAuthentication.
Если UsePAM включен, вы не сможете запускать sshd (8) от имени пользователя без полномочий root. По умолчанию - «нет».
Таким образом проходит PAM account и session типы правильно, что на самом деле очень важно, если вы хотите ограничить доступ к сервисам на основе IP, времени или других факторов учетной записи. Кроме того, если вы хотите, чтобы пользователи наследовали определенные переменные среды при входе в систему или запретили доступ к серверу, когда SELinux отключен.
Распространенное заблуждение - думать, что он проходит через все auth модули, когда PAM включен, но аутентификация по паролю отключена.