SSHでPAMを無効にする目的
新しいボックスでSSHのキーベース認証を設定していて、UsePAMをnoにPasswordAuthenticationとともに設定することに関するいくつかの記事を読んでいました。
私の質問は、すでにUsePAMとnoをPasswordAuthenticationに設定している場合、ChallengeResponseAuthenticationをnoに設定する目的は何ですか?
UsePAMを無効にすることを推奨する人は、PAMスタックによって提供されるサービスを完全に理解していないと思います。認証に加えて、PAMは、notをバイパスしたいセッション設定サービスも提供します。
例には、(pam_limitを介した)リソース制限の設定、環境変数、マウントディレクトリなどがあります。
より快適な場合は、PAMのsshdの構成を変更して、あらゆる種類のパスワード認証をサポートしないようにすることができます。既存の/etc/pam.d/sshdがあると仮定して、既存のauth行を削除して、次の行に置き換えます。
auth required pam_deny.so