GNU/Linux >> Znalost Linux >  >> Linux

Může někdo vysvětlit 'PasswordAuthentication' v souboru /etc/ssh/sshd_config?

Pamatujte, že nastavení PasswordAuthentication neřídí VŠECHNY ověřování založené na hesle. ChallengeResponseAuthentication obvykle také žádá o hesla.

PasswordAuthentication řídí podporu pro schéma ověřování „heslo“ definované v RFC-4252 (část 8). ChallengeResponseAuthentication řídí podporu pro schéma ověřování „interaktivní klávesnice“ definované v RFC-4256. Autentizační schéma „interaktivní klávesnice“ by teoreticky mohlo uživateli položit libovolný počet mnohostranných otázek. V praxi často požaduje pouze heslo uživatele.

Chcete-li plně zakázat ověřování na základě hesla, nastavte Ověření hesla i ChallengeResponseAuthentication na 'ne'. Pokud zastáváte opasek a podvazky, zvažte také nastavení UsePAM na „ne“.

Autentizace na základě veřejného/soukromého klíče (povolená nastavením PubkeyAuthentication) je samostatný typ autentizace, který samozřejmě nezahrnuje odesílání uživatelských hesel na server.

Někdo by mohl namítnout, že použití ChallengeResponseAuthentication je bezpečnější než PasswordAuthentication, protože je obtížnější jej automatizovat. Doporučují proto nechat PasswordAuthentication deaktivovanou a zároveň nechat ChallengeResponseAuthentication povolenou. Tato konfigurace také podporuje (ale nemusí nutně bránit) použití autentizace pomocí veřejného klíče pro jakékoli automatické přihlašování do systému. Ale protože SSH je síťový protokol, server nemá žádný způsob, jak zaručit, že odpovědi na ChallengeResponseAuthentication (aka „keyboard-interactive“) skutečně poskytuje uživatel sedící u klávesnice, pokud jsou výzvy vždy a spočívá pouze v dotazování uživatele na její heslo.


Váš odkaz ukazuje na dokumentaci 10 let zastaralou.

SSH podporuje několik způsobů autentizace uživatelů, nejběžnějším z nich je zadání přihlašovacího jména a hesla, ale můžete také ověřit uživatele přihlašovacím jménem a veřejným klíčem. Pokud nastavíte PasswordAuthentication na ne, nebudete již moci k ověřování používat přihlašovací jméno a heslo a místo toho musíte použít přihlašovací jméno a veřejný klíč (pokud je PubkeyAuthentication nastaveno na yes)


PasswordAuthentication je nejjednodušší implementace, protože není co dělat. Protistranou je, že své heslo odešlete na server prostřednictvím šifrovaného připojení. To může být bezpečnostní problém, pokud byl server kompromitován, protože heslo by pak mohlo být zachyceno.
S veřejným klíčem se vaše heslo nepřenáší na server, je bezpečnější, ale vyžaduje více nastavení.


Linux
  1. Nelze spustit X aplikací přes SSH v Linuxu

  2. Pochopení souboru /etc/exports

  3. Jak ověřit syntaxi souboru /etc/ssh/sshd_config

  1. Jaké je spojení mezi adresáři /etc/init.d a /etc/rcX.d v Linuxu?

  2. Jak mohu vrátit chmod v adresáři etc?

  3. Jaký je limit velikosti /etc/hosts?

  1. Úvod do souboru Linux /etc/fstab

  2. Rozdíl mezi ~/.profile, ~/.bashrc, ~/.bash_profile, ~/.gnomerc, /etc/bash_bashrc, /etc/screenrc …?

  3. SSH - Jak zahrnout příkaz -t do souboru ~/.ssh/config