Propósito detrás de deshabilitar PAM en SSH

Soy la creación de la autenticación basada en una clave de SSH en una nueva caja, y estaba leyendo algunos artículos que mencionan el establecimiento UsePAMa nolo largo de con PasswordAuthentication.

Mi pregunta es, ¿cuál es el propósito de establecer UsePAMque nosi ya tiene PasswordAuthenticationy ChallengeResponseAuthenticationlisto para no?

security ssh pam

— tacotuesday
fuente

Espero que esto ayude a responder su pregunta: mail-index.netbsd.org/tech-security/2009/01/04/msg000153.html

— Chida

Creo que las personas que recomiendan deshabilitar UsePAMpueden no comprender completamente los servicios proporcionados por la pila PAM. Además de la autenticación, PAMtambién proporciona servicios de configuración de sesión que quizás no desee omitir.

Los ejemplos incluyen el establecimiento de límites de recursos (vía pam_limit), variables de entorno y montaje de directorios.

Si te hace sentir más cómodo, puedes modificar la PAMconfiguración para sshdque no admita autenticación de contraseña de ningún tipo. Suponiendo que tiene una existente /etc/pam.d/sshd, simplemente elimine las authlíneas existentes y reemplácelas con:

auth required pam_deny.so

— larsks
fuente

Esa es una respuesta muy subjetiva. Es probable que haya más para la compatibilidad con versiones anteriores para casos de uso específicos, como un módulo de autenticación diferente que utiliza sshd. Sí, PAM es el camino a seguir y está diseñado para ser muy flexible, pero el OP le preguntó por qué no lo usaría, no una descripción de cómo usar PAM.

— Red Tux

Que muchos entornos se basen en la configuración de la sesión proporcionada por PAMel funcionamiento adecuado es un hecho objetivo, no una opinión. Que el OP puede querer usar PAMes, de hecho, mi opinión. Mi nombre es Lars y apruebo este mensaje.

— larsks

Configuré "UsePAM no" en sshd cfg y todo lo que necesitaba todavía funciona, ¿algún consejo sobre qué podría ser tan importante o útil que requiriera PAM?

— Acuario Power