Birisi / etc / ssh / sshd_config dosyasındaki 'PasswordAuthentication'ı açıklayabilir mi?


28

On Bu sayfada , verilen açıklama:

PasswordAuthentication seçeneği, şifre tabanlı kimlik doğrulaması kullanıp kullanmamamız gerektiğini belirtir. Güçlü güvenlik için bu seçenek her zaman evet olarak ayarlanmalıdır.

Ancak, bir Evet veya hayır uygun olduğunda ne olacağını açıklayan herhangi bir kullanım senaryosu sunmakta başarısız olur. Birisi lütfen daha ayrıntılı olabilir mi?

Yanıtlar:


21

Bağlantınız, 10 yıllık eski belgelere işaret ediyor.

SSH, kullanıcıların kimliklerini doğrulamak için birden fazla yolu destekler; bunlardan en yaygın olanı bir kullanıcı girişi ve şifre sormaktır ancak aynı zamanda kullanıcı girişi veya genel anahtarın kimliğini de doğrulayabilirsiniz. PasswordAuthentication'ı hayır olarak ayarlarsanız, kimlik doğrulaması yapmak için artık bir giriş ve şifre kullanamazsınız ve bunun yerine bir giriş ve genel anahtar kullanmanız gerekmez ( PubkeyAuthentication evet olarak ayarlanmışsa).


tamam bu yüzden sadece authorized_key2 için: hala şifreleri kabul ediyorsa AuthorizedKeysFile (2) PasswordAuthentication hiçbir (3) PubkeyAuthentication evet (4) ChallengeResponseAuthentication hiçbir (5) testine dışarı (1) yorum o ..., ayrıca hiçbir UsePam eklemek
YumYumYum

Bu ayarları kullanın: fpaste.org/114544/04202660 , yalnızca ~ / .ssh / onaylı_keys2 üzerinden SSH girişine izin verirken , ancak kullanıcı adı / parola ile SSH girişine izin vermediğinde kullanın
YumYumYum

1
ve bunun varsayılan değeri nedir? Yani, herhangi bir "PasswordAuthentication" belirtmezsem ne olur?
Riccardo SCE

@TSERiccardo: Kimse sorunuzu cevaplamadı mı? Bu bir ayıp, suçu SO!
Timo

1
@RiccardoSCE sshd_config man sayfasına göre, PasswordAuthentication için varsayılan değer 'yes' olur.
Denizyıldızı

53

PasswordAuthentication ayarının TÜM parola tabanlı kimlik doğrulamasını kontrol etmediğini lütfen unutmayın. ChallengeResponseAuthentication genellikle ayrıca şifreler ister.

PasswordAuthentication kontrolleri, RFC-4252'de tanımlanan 'şifre' kimlik doğrulama şemasını destekler (bölüm 8). ChallengeResponseAuthentication RFC-4256'da tanımlanan 'klavye etkileşimli' kimlik doğrulama şeması için desteği denetler. 'Klavye etkileşimli' kimlik doğrulama şeması teorik olarak bir kullanıcıya çok sayıda çok yönlü soru sorabilir. Uygulamada sıklıkla sadece kullanıcının şifresini sorar.

Parola tabanlı kimlik doğrulamasını tamamen devre dışı bırakmak istiyorsanız, BOTH PasswordAuthentication ve ChallengeResponseAuthentication'ı "hayır" olarak ayarlayın. Kemer askısı ve zırhlısı zihniyetindeyseniz, UsePAM'i de 'hayır' olarak ayarlayın.

Genel / Özel Anahtar tabanlı kimlik doğrulama (PubkeyAuthentication ayarı tarafından etkinleştirilir) elbette sunucuya kullanıcı şifreleri gönderilmesini gerektirmeyen ayrı bir kimlik doğrulama türüdür.

Bazıları ChallengeResponseAuthentication'ı kullanmanın PasswordAuthentication'tan daha güvenli olduğunu iddia ediyor, çünkü otomatikleştirilmesi daha zor. Bu nedenle, ChallengeResponseAuthentication özelliğini etkinleştirirken PasswordAuthentication özelliğini devre dışı bırakmanızı önerirler. Bu yapılandırma aynı zamanda herhangi bir otomatik sistem oturum açma işlemi için açık kodlu kimlik doğrulamasının kullanımını teşvik eder (ancak zorunlu olarak engellemez). Ancak, SSH ağ tabanlı bir protokol olduğundan, sunucunun ChallengeResponseAuthentication (aka 'klavyeyle etkileşimli') yanıtlarının gerçekte her zaman olduğu gibi bir klavyede oturan bir kullanıcı tarafından verildiğini garanti etmenin bir yolu yoktur. ve sadece bir kullanıcının şifresini istemekten ibarettir.


7
Neler yaptığını açıklamaktan memnuniyet UsePAM
Alexey

3

PasswordAuthentication, yapılacak hiçbir şey olmadığından en kolay uygulamadır. Karşı kısım şifrenizi, şifreli bir bağlantı üzerinden sunucuya göndermenizdir. Eğer şifre daha sonra yakalanabileceğinden, sunucu tehlikede ise bu bir güvenlik problemi olabilir.
Genel anahtar ile şifreniz sunucuya iletilmez, daha güvenlidir ancak daha fazla kurulum gerektirmektedir.


Bu cevap biraz eski ama yine de bir şeyler eklemek istiyorum: Pubkey Authentication ile ilgili en güzel şey, sunucuya hiçbir sır gönderilmemesidir. Özel anahtar bilgisayarınızda gizli kalır, yani yanlışlıkla herhangi bir gizli veya tehlikeli MITM sunucusuna iletemezsiniz. Yani Pubkey kesinlikle Şifre kimlik doğrulaması konusunda avantajlıdır. Ama yine de, evet, Şifre kimlik doğrulamanın uygulanması daha kolaydır.
Jan D

Bunu yapmamak için tembel olmak için eşit, kurma bir güçlük olmazdı.
sudo

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.