LINUX.ORG.RU
ФорумAdmin

PasswordAuthentication yes или UsePAM yes

 


0

2
vi /etc/ssh/sshd_config
PasswordAuthentication yes
UsePAM yes

Подскажите как работают эти две опции с параметром yes в одном конфиге. Я не понимаю как работает PasswordAuthentication.По умолчанию UsePAM yes, а PasswordAuthentication no. я по ssh работаю с паролем и ключами и все ок, но некий пользователей со своей программы не смог зайти по SFTP. зато когда я ему добавил PasswordAuthentication yes он смог зайти. По умолчанию у меня стоит так:

vi /etc/ssh/sshd_config
PasswordAuthentication no
UsePAM yes

А зачем ты в код вставил vi? Типо выпендриться, что ты некрофил?

По теме, man ssh

anonymous ()
Ответ на: комментарий от Bootmen

Да тут вообще вставлять не надо было ничего. Он привел две строки конфига, нафиг тут текстовый редактор? Вставлен только для выпендрежа какого-то, типо я юзаю ви, я батя олдскул некрофилия все дела. Вот я его и осадил, указал ему место.

anonymous ()
Ответ на: комментарий от anonymous

не сравнивай нормальных людей с собой и сам почитай тот самый ман.

Shinma ()
Ответ на: комментарий от anonymous

Сынок я бы тебя «осадил», но думается мне тебя уже природа осадила наградив таким мозгом и мышлением испорченного человека. Остается только посочувствовать идиоту, думающему, что он недообезьяна для которой vi в чате это преводсходство над этой обезьяной и надо срочно писать хрень в чат, а то вдруг кто-то незаметит, что для тебя недообезьяны есть кому дело с твоей реакцией на ви. Но да твой мозг уже не изменить, выросло то, что выросло.

Shinma ()
Ответ на: комментарий от Shinma

Видишь ли в чем проблема. Обезьяна нашла в мане ответ на твой вопрос, причем четко и ясно. А ты нет. Делай выводы.

anonymous ()
Ответ на: комментарий от anonymous

Да там даже и без мана в конфиге четко и ясно:

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes
sergej ★★★★★ ()
Ответ на: комментарий от anonymous

Выводы: обезяна нашла что vi - это, что-то на что надо сразу включать гопно-обезьяну и вставить единственные два варианта если не шаришь в теме - man ssh и ман sshd_config + оскорбления. Отсюда делая вывод я прекрасно вижу, что обезьяна поняла мой вопрос ровно на столько на соклько vi для нее это как палка в жопе и она продолжает умничать.

Shinma ()
Ответ на: комментарий от sergej

ну нет тут описания как работает PasswordAuthentication. Если PAM я когда-то разбирал и в нем понимаю, но совершенно не врубаюсь в PasswordAuthentication. Для меня это пока черная дыра. А в этих описаловках ровным счетом ноль ценной информации если я хочу понять как оно работает. Я не вижу из мана, ни плохих ни хороших сторон PasswordAuthentication по сравнению с PAM.

Shinma ()
Ответ на: комментарий от Shinma

Ты как будто первый раз на лоре и впервые увидел анонимуса.

Кстати про vi он прав: если твой «vi /etc/ssh/sshd_config» выдаёт только эти 2 строчки, то у тебя есть проблемы с sshd :)

написал бы хоть «grep -E 'PasswordAuthentication|UsePAM' /etc/ssh/sshd_config» или как-то так

sergej ★★★★★ ()
Ответ на: комментарий от sergej

Я просто вставил в форму ввода вывод с экрана и удалил в чате все лишнее из скопированного в него. И не посчитал что vi заденет чьи-то релегиозные чувства или какие там нынче у озлобленных меньшинств болезни. Конечно я бы спрятал vi если бы знал, что это фифифи и нунуну ататай в общем «не то что нынешнее племя».

Shinma ()
Ответ на: комментарий от sergej

Подскажи плиз еще если разбирал тему. Я прочитал про skey по той ссылке, но там описывают ситуацию когда пассвд всегда новый. Я не понимаю как это укладывается в рамках работы той ситуации где некий пользователь использует какой-то там софт которые коннектится по SFTP и у него всегда ОДИН пароль. То есть как я понимаю тут тогда секретность по skey ровняется нулю и перехватывается снифером как нефиг делать и спасет лишь шифрование ssh. так? и то от атаки по середине, а запущенный локально снифер выдаст и пароль и прочее если уж ключь фингер ssh получил?

Shinma ()
Ответ на: комментарий от sergej

Кстати про vi...

Кстати такой стиль, $EDITOR filename встречается когда описывается только кусок из filename. В случаях когда пишут только filename чаше подразумевается cat filename. Так что с редактором логика определенная есть, это кусок из файла, ведь у вас же зачастую не весь текст файла помещается на экране (вы редактируете не весь файл).

anc ★★★★★ ()
Ответ на: комментарий от anc

Перезашел на основной аккаунт и оправдания лепишь? Забавно.

anonymous ()
Ответ на: комментарий от Shinma

Я прочитал про skey по той ссылке, но там описывают ситуацию когда пассвд всегда новый

Нет, там описывают как получить одноразовый пароль из нормального пароля, чтобы сам пароль не передавался по сети.

sergej ★★★★★ ()
Последнее исправление: sergej (всего исправлений: 1)

Это хорошо, что бы задаешься такими вопросами - многие этого не знают, и даже не пытаются разобраться.

Сейчас я тебе все расскажу.
Иногда, когда логинишься на сервер, приглашение к вводу пароля выглядит так:

$ ssh server1
username@server1's password:

А иногда вот так:

$ ssh server2
Password:

Замечал такое различие? Не задумывался, почему оно так?

Дело в том, что в протоколе SSH предусмотрены 2 метода парольной аутентификации: password и keyboard-interactive (который в конфиге SSH упорно называют ChallengeResponse). Соответственно, если ты хочешь логиниться по паролю, то тебе нужно использовать какой-то из этих двух методов.

В примере выше первое приглашение на ввод пароля выдано при аутентификации методом password, а второе - keyboard-interactive (ака ChallengeResponse).

Когда ты используешь метод password, то пароль у тебя запрашивает твой локальный клиент ssh и отсылает его удаленному серверу. При использовании keyboard-interactive открывается сессия с удаленным сервером, и уже удаленный сервер ведет с тобой диалог, запрашивая пароль.

Keyboard-interactive нужен тогда, когда нужен диалог на этапе аутентификации. Например, если у тебя истек пароль и PAM-модулю приспичило запросить тебя его поменять. Метод password такого не позволяет, там PAM-модуль не сможет с тобой «поговорить». Или всякие там одноразовые пароли - там тоже требуется диалог с пользователем, поэтому при описании метода keyboard-interactive часто описывают всякие S/KEY.

Так вот - ты говоришь, что у некого пользователя его программа не могла соединиться по SFTP до тех пор, пока ты не включил метод password, так это просто означает, что его программа - тупая, и не умеет метода keyboard-interactive (умеет только password).

А «UsePAM yes» тут ни при чем.

bigbit ★★★★★ ()
Ответ на: комментарий от bigbit

Спасибо, очень полезно. Тогда выходит, что безопасность пароля одинакова с PAM и с password ? Как я понимаю метод работы с паролем из /etc/shadow для них одинаковый, разница лишь в интерактивном взаимодействии (надеюсь эта строка не заденет ни чьих религиозных чувств):?

Shinma ()
Ответ на: комментарий от Shinma

Одинакова по сравнению с чем?
Надеюсь, ты не сравниваешь UsePAM с PasswordAuthentication/ChallengeResponseAuthentication? Это же совершенно разные вещи.

bigbit ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.