/etc/ssh/sshd_configPAMはDebian 10でデフォルトで有効になっています。
UsePAM yes
パスワードやKerberosログインを許可せずにSSHキー認証のみを許可する状況でPAMsshdでこれを有効にすると、どのような利点がありますか?それともUsePAM「いいえ」に設定すると、プロセスが簡素化され、潜在的に安全になりますか?
SSHDでPAMを無効にすると、実際の影響は何ですか?違いがわかりますか?
ベストアンサー1
マニュアルページ(および他の答え)が主張するのとは対照的にUsePAM yes、許可するroot 以外のユーザーとして sshd を実行しますが、root 以外のユーザーとして sshd を実行して実行することもできます。パスワード認証(同じユーザーが実行している場合)setuid/sbin/unix_chkpwdプログラムを介して。
後者はまったく予期しないことです。
user$ /usr/sbin/sshd -f /dev/null -p 9009 -h ~/.ssh/id_rsa
user$ /usr/sbin/sshd -f /dev/null -o UsePAM=yes -p 7007 -h ~/.ssh/id_rsa
user$ ssh -p 7007 localhost
The authenticity of host '[localhost]:7007 ([::1]:7007)' can't be established.
...
Password: <correct password>
Linux deb11 5.10.0-8-amd64 #1 SMP Debian 5.10.46-4 (2021-08-03) x86_64
...
user$ <I'm logged in!>
user$ ^D
Connection to localhost closed.
user$ ssh -p 9009 localhost
The authenticity of host '[localhost]:9009 ([::1]:9009)' can't be established.
...
user@localhost's password:
Permission denied, please try again.
user@localhost's password:
Permission denied, please try again.
user@localhost's password:
user@localhost: Permission denied (publickey,password,keyboard-interactive).
user$