On Bu sayfada , verilen açıklama:
PasswordAuthentication seçeneği, şifre tabanlı kimlik doğrulaması kullanıp kullanmamamız gerektiğini belirtir. Güçlü güvenlik için bu seçenek her zaman evet olarak ayarlanmalıdır.
Ancak, bir Evet veya hayır uygun olduğunda ne olacağını açıklayan herhangi bir kullanım senaryosu sunmakta başarısız olur. Birisi lütfen daha ayrıntılı olabilir mi?
Yanıtlar:
Bağlantınız, 10 yıllık eski belgelere işaret ediyor.
SSH, kullanıcıların kimliklerini doğrulamak için birden fazla yolu destekler; bunlardan en yaygın olanı bir kullanıcı girişi ve şifre sormaktır ancak aynı zamanda kullanıcı girişi veya genel anahtarın kimliğini de doğrulayabilirsiniz. PasswordAuthentication'ı hayır olarak ayarlarsanız, kimlik doğrulaması yapmak için artık bir giriş ve şifre kullanamazsınız ve bunun yerine bir giriş ve genel anahtar kullanmanız gerekmez ( PubkeyAuthentication evet olarak ayarlanmışsa).
PasswordAuthentication ayarının TÜM parola tabanlı kimlik doğrulamasını kontrol etmediğini lütfen unutmayın. ChallengeResponseAuthentication genellikle ayrıca şifreler ister.
PasswordAuthentication kontrolleri, RFC-4252'de tanımlanan 'şifre' kimlik doğrulama şemasını destekler (bölüm 8). ChallengeResponseAuthentication RFC-4256'da tanımlanan 'klavye etkileşimli' kimlik doğrulama şeması için desteği denetler. 'Klavye etkileşimli' kimlik doğrulama şeması teorik olarak bir kullanıcıya çok sayıda çok yönlü soru sorabilir. Uygulamada sıklıkla sadece kullanıcının şifresini sorar.
Parola tabanlı kimlik doğrulamasını tamamen devre dışı bırakmak istiyorsanız, BOTH PasswordAuthentication ve ChallengeResponseAuthentication'ı "hayır" olarak ayarlayın. Kemer askısı ve zırhlısı zihniyetindeyseniz, UsePAM'i de 'hayır' olarak ayarlayın.
Genel / Özel Anahtar tabanlı kimlik doğrulama (PubkeyAuthentication ayarı tarafından etkinleştirilir) elbette sunucuya kullanıcı şifreleri gönderilmesini gerektirmeyen ayrı bir kimlik doğrulama türüdür.
Bazıları ChallengeResponseAuthentication'ı kullanmanın PasswordAuthentication'tan daha güvenli olduğunu iddia ediyor, çünkü otomatikleştirilmesi daha zor. Bu nedenle, ChallengeResponseAuthentication özelliğini etkinleştirirken PasswordAuthentication özelliğini devre dışı bırakmanızı önerirler. Bu yapılandırma aynı zamanda herhangi bir otomatik sistem oturum açma işlemi için açık kodlu kimlik doğrulamasının kullanımını teşvik eder (ancak zorunlu olarak engellemez). Ancak, SSH ağ tabanlı bir protokol olduğundan, sunucunun ChallengeResponseAuthentication (aka 'klavyeyle etkileşimli') yanıtlarının gerçekte her zaman olduğu gibi bir klavyede oturan bir kullanıcı tarafından verildiğini garanti etmenin bir yolu yoktur. ve sadece bir kullanıcının şifresini istemekten ibarettir.
UsePAM
PasswordAuthentication, yapılacak hiçbir şey olmadığından en kolay uygulamadır. Karşı kısım şifrenizi, şifreli bir bağlantı üzerinden sunucuya göndermenizdir. Eğer şifre daha sonra yakalanabileceğinden, sunucu tehlikede ise bu bir güvenlik problemi olabilir.
Genel anahtar ile şifreniz sunucuya iletilmez, daha güvenlidir ancak daha fazla kurulum gerektirmektedir.
Tuşları kullanırken hayır olarak veya kullanımlarını zorlamak için ayarlayabilirsiniz .