Re: [SSH] authentification defi-réponse
Erwann PENCREACH <naios@hypercube.dynalias.org> writes:
> Bonjour,
>
> Ce matin, pendant la petite mise à jour quotidienne openssh-server me
> produit un message d'information qui me pose un problème :
>
> ************************************************************************
> L'authentification par mots de passe semble être désactivée dans la
> configuration actuelle de votre serveur OpenSSH. Afin de vraiment
> empêcher les utilisateurs de se connecter avec un mot de passe (par
> exemple en n'autorisant que l'authentification par clé publique), vous
> devez aussi désactiver l'authentification par défi-réponse dans les
> versions récentes d'OpenSSH, ou alors vous assurer que votre
> configuration de PAM n'autorise pas l'authentification avec le fichier
> de mots de passe.
>
> Si vous désactivez l'authentification par défi-réponse, alors les
> utilisateurs ne pourront pas se connecter en entrant un mot de passe. Si
> vous la laissez active (ce qui est le défaut), alors l'option
> « PasswordAuthentication no » n'aura d'effet que si vous ajustez aussi
> la configuration de PAM dans /etc/pam.d/ssh.
> ************************************************************************
>
> Mon problème est que je ne connais pas l'authentification par
> defi-reponse, je fais donc appel aux bonnes âmes qui sauraient
> m'éclairer sur ce que sait, comment ça marche et les problèmes de
> sécurité que cette méthode implique.
>
> (pour information je souhaite n'avoir que l'authentification par clef de
> disponible via ssh)
,----[ /etc/ssh/sshd_config ]
| ChallengeResponseAuthentication no
`----
C'est l'authentification classique utilisateur/mot de passe. Une fois
désactivée, seule l'authentification par clé est possible.
--
Léo.
Reply to: