В чем недостаток отключения PAM в OpenSSH, если разрешен только вход с открытым ключом?

Question

В чем недостаток отключения PAM в OpenSSH, если разрешен только вход с открытым ключом?

/etc/ssh/sshd_config по умолчанию имеет следующую строку

UsePAM yes

Я прочитал доступную документацию и пришел к выводу, что PAM не используется, если я использую только логин с открытым ключом. Какие могут быть негативные последствия, если я отключу PAM? например

UsePAM no

11

ssh pam

Источник

Rio 18 фев '15 в 00:46

1 ответ

Решение

Другие вопросы по тегам ssh pam

Matthew Ife 18 фев '15 в 01:11 2015-02-18 01:11 · Accepted Answer · 2015-02-18 01:11

PAM выполняет не только аутентификацию, но и авторизацию и сервис сеансов. Вы, вероятно, хотите оставить его включенным, поскольку он добавляет немного гибкости.

PAM будет вызван для успешной аутентификации pubkey, потому что сервисы сеанса и учетной записи все еще проверяются.

PAM может делать то, что SSH не может. Этот список не является исчерпывающим:

Запретить доступ пользователя, если SELinux не находится в принудительном режиме (если это ваша вещь).
Установите ограничения ресурсов, такие как максимальное количество процессов и максимальное количество входов в систему.
Гибко запрещать пользователю на основе его IP-адреса пользователя и удаленного источника (возможно и в SSH, но довольно кратко в PAM)
Установите ряд переменных окружения, которые вы можете передать.
Создайте домашний каталог для пользователя, если он не существует.
Запретить пользователям на основании времени / даты их попытки доступа.
Запретить неактивным пользователям.
Запретить пользователям использование недопустимой оболочки.
Настройка средств регистрации ключей ввода.