Re: sshd_config: Nebenwirkungen von `UsePAM no' zu erwarten
On 09.02.06 15:22:47, Christoph Bier wrote:
> Hallo zusammen!
>
> Um auf einem Rechner nur noch Schlüssel-Authentfikation zuzulassen,
> reicht es nicht in /etc/ssh/sshd_config
>
> PasswordAuthentication no
>
> zu setzen.
Richtig.
> Es ist zusätzlich notwendig
>
> UsePAM no
Falsch. Du moechtest noch ChallengeResponseAuthentication deaktivieren.
UsePAM kann aktiviert bleiben.
> zu setzen. Letzteres sollte laut der sshd_config-Manpage
> Voreinstellung sein, was bei mir aber nicht der Fall war.
Bei debian ist UsePAM yes Default.
> Muss ich nun noch mit Nebenwirkungen rechnen, dadurch, dass ich
> `UsePAM no' gesetzt habe?
Ja, alles was in /etc/pam.d/ssh steht wird nicht mehr ausgefuehrt.
> Dass beide Optionen überhaupt gesetzt werden müssen, um mein Ziel zu
> erreichen, habe ich erst durch eine Suche im Netz herausgefunden.
Dann sind die Aussagen dort falsch.
> Wäre nicht in der Manpage von sshd_config unter
> PasswordAuthentication der geeignete Ort auf UsePAM hinzuweisen?
Wieso? Es steht doch ein paar Zeilen weiter unten? Und unter UsePAM sind
Verweise auf PA und CRA
> Vielleicht kann mir auch noch jemand sagen, warum unter UsePAM
> darauf hingewiesen wird, dass PasswordAuthentication ausgeschaltet
> werden sollte, wenn man UsePAM einschaltet. Oder gilt das nur, wenn
> man Passwort-Authentifizierung eben doch zulassen möchte?
Das steht doch alles dort? Es gilt nur bei passwd-auth und es erfuellt
eine aehnliche Rolle wie die 2 anderen. Wenn alle gleichzeitig aktiviert
sind wirds wohl Probleme geben (z.B. 2x Passwort eintippen - hab sowas
nie getestet)
Andreas
--
Blow it out your ear.
Reply to: