Может ли кто-нибудь объяснить 'PasswordAuthentication' в конфигурационном файле /etc/ssh/sshd?

On на этой странице, дано объяснение:

параметр PasswordAuthentication
указывает, следует ли использовать
аутентификация на основе пароля. Для
сильная обеспеченность, этот вариант
всегда устанавливайте значение да.

но он не предоставляет каких-либо сценариев использования, которые разъясняют, когда Да или нет будет уместно. Кто-нибудь может поподробнее?

9
задан Zeta2
04.04.2023 22:36 Количество просмотров материала 2753
Распечатать страницу

4 ответа

ваша ссылка на документацию 10 лет устарел.

SSH поддерживает несколько способов аутентификации пользователей, наиболее распространенным является запрос логина и пароля, но вы также можете аутентифицировать пользователя по логину и открытому ключу. Если задать для PasswordAuthentication значение no, вы больше не сможете использовать логин и пароль для аутентификации и должны использовать логин и открытый ключ (если PubkeyAuthentication установлено в yes)

19
отвечен radius 2023-04-06 06:24

обратите внимание, что параметр PasswordAuthentication не управляет проверкой подлинности на основе пароля. ChallengeResponseAuthentication обычно также запрашивает пароли.

PasswordAuthentication управляет поддержкой схемы аутентификации 'password', определенной в RFC-4252 (раздел 8). ChallengeResponseAuthentication управляет поддержкой "интерактивной клавиатуры" схемы аутентификации, определенной в RFC-4256. "Интерактивная клавиатура" схема аутентификации может теория, задать пользователю любое количество мульти-facited вопросы. На практике он часто запрашивает только пароль пользователя.

Если вы хотите полностью отключить аутентификацию на основе пароля, установите PasswordAuthentication и ChallengeResponseAuthentication в 'no'. Если вы из пояса и подтяжки мышления, рассмотреть вопрос о настройке UsePAM "нет", а также.

открытый/закрытый ключ аутентификации (включен параметр PubkeyAuthentication) - это отдельный тип проверки подлинности разумеется, это не связано с отправкой паролей пользователей на сервер.

некоторые утверждают, что использование ChallengeResponseAuthentication более безопасно, чем PasswordAuthentication, потому что его сложнее автоматизировать. Поэтому они рекомендуют оставить PasswordAuthentication отключенным, оставив ChallengeResponseAuthentication включенным. Эта конфигурация также поощряет (но не обязательно предотвращает) использование аутентификации publickey для любых автоматизированных системных входов в систему. Но, так как SSH-это сетевой протокол, сервер не может гарантировать, что ответы на ChallengeResponseAuthentication (a.k.a. "интерактивная клавиатура") фактически предоставляются Пользователем, сидящим за клавиатурой, до тех пор, пока вызов(ы) всегда и только состоит в том, чтобы попросить пользователя ввести пароль.

48
отвечен Izzy 2023-04-06 08:41

PasswordAuthentication-самая простая реализация, так как делать нечего. Часть счетчика заключается в том, что вы отправляете свой пароль через зашифрованное соединение на сервер. Это может быть проблемой безопасности, если сервер был взломан, а пароль мог быть захват.

С открытым ключом ваш пароль не передается на сервер, он более безопасен, но требует дополнительной настройки.

3
отвечен kaklon 2023-04-06 10:58

вы можете установить его в НЕТ при использовании ключи, или заставить их использовать.

0
отвечен Ignacio Vazquez-Abrams 2023-04-06 13:15

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх