PAMでsshサーバーを使用するが、パスワード認証を許可しない方法は？

おそらく正確な質問は、パスワードを許可しないようにpamを設定する方法ですか？

正しい。 UsePAM noの設定は一般的に悪いアドバイスであるという事実にすでに遭遇しました。 PAMベースの認証を防ぐだけでなく、accountおよびsessionモジュールも無効にします。アクセス制御とセッション構成は良いことです。

まず、要件のリストを作成しましょう。

• pam_google_authenticator.so経由のOTP。これにはUsePAM yesとChallengeResponseAuthentication yesが必要です。結局のところ、資格証明を求めているのです！
• PAMによる他の形式のパスワード認証はありません。つまり、keyboard-interactiveログインを介してパスワードを送信できる可能性があるauthモジュールを無効にします。 （OTPを有効にしておく必要があります）
• 鍵ベースの認証。 publickey認証が必要です。Kerberosが構成されている場合は、おそらくgssapi-with-micが必要です。

通常、キーによる認証はPAMベースの認証を完全にスキップします。これにより、opensshの古いバージョンを使用することができなくなりましたが、Debian 8（jessie）はAuthenticationMethodsディレクティブをサポートしています。これにより、複数の認証方法を要求できますが、SSHv2を実装するクライアントでのみ機能します。

sshd設定

以下は、/etc/ssh/sshd_configについて提案する行です。何かを壊した場合に備えて、sshdなしでこのシステムにアクセスする方法があることを確認してください！

# Require local root only
PermitRootLogin no

# Needed for OTP logins
ChallengeResponseAuthentication yes
UsePAM yes

# Not needed for OTP logins
PasswordAuthentication no

# Change to to "yes" if you need Kerberos. If you're unsure, this is a very safe "no".
GSSAPIAuthentication no


# Require an OTP be provided with key based logins
AuthenticationMethods publickey,keyboard-interactive

# Use this instead for Kerberos+pubkey, both with OTP
#
#AuthenticationMethods gssapi-with-mic,keyboard-interactive publickey,keyboard-interactive

これらの変更が完了したら、sshdをリロードすることを忘れないでください。

PAM設定

PAMを構成する必要があります。 Debian 8のクリーンインストールを前提としています（質問ごと）。

• コメント@include common-auth from /etc/pam.d/sshd。
• /etc/pam.d/sshdを確認し、authで始まる行がないことを確認します。これがクリーンインストールである必要はありませんが、安全であることが最善です。
• pam_google_authenticator.soのauthエントリを追加します。

ローカルパスワードは引き続き機能することに注意してください。

ローカルコンソールを介したログインに影響を与えるような変更を加えたり、ユーザーがパスワードを使用してSudo.を介して権限をアップグレードしたりすることを妨げませんでした。これは質問の範囲外でした。さらに物事を進めることにした場合は、rootは常にパスワードを使用してローカルでログインすることを許可されている必要があることに注意してください。そうしないと、誤ってシステムからロックアウトされる危険があります。