Что такое PAM и почему AWS включает его по умолчанию?
Я только хочу соединиться со своим экземпляром EC2 с помощью SSH, но моего sshd_config имеет UsePAM yes. Что это, и я буду заблокирован из моего экземпляра, если я установил его на нет?
Также я установил a cronjob проверять, бодрствует ли мой вышибала ZNC и мой /var/log/auth.log полно их:
КРОН [5216]: pam_unix (cron:session): сеанс закрыт для пользовательского znc-администратора
Поскольку Вы видите, что существует a pam_unix вещь, которая имеет отношение назад к моему первому вопросу.
1 ответ
Pam является Сменными Модулями аутентификации.
Это - бэкенд для аутентификации, которая обрабатывает аутентификацию для приложений в системе. Как имя говорит, это является сменным. У Вас могут быть приблизительно разъемы обеспечивающая аутентификация из других источников. Общий источник является/etc/passwd и/etc/shadow в комбинации. Другие могут быть LDAP, Kerberos, NIS или считывателями отпечатков пальцев.
Короче говоря, это обеспечивает последовательный интерфейс для приложений, таких как вход в систему и ssh, для аутентификации против.
Это состоит из четырех частей:
- Учетные записи - отслеживание имен пользователей.
- Аутентификация - проверка паролей (или цифровые отпечатки.. или...)
- управление сеансами - действия, которые будут выполнены при запуске и окончании сессии, как учет.
- обновление Passord - обновление паролей и также осуществление стандартов пароля.
, Если мы взглянули на man sshd_config, мы можем считать следующее:
UsePAM
Включает интерфейс Pluggable Authentication Module. Если установлено на “yes” это включит использованию аутентификации PAM ChallengeResponseAuthentication и PasswordAuthentication в дополнение к учетной записи PAM и обработке модуля сессии для всех типов аутентификации., поскольку аутентификация типа "запрос-ответ" PAM обычно выполняет эквивалентную роль к аутентификации по паролю, необходимо отключить или PasswordAuthentication или ChallengeResponseAuthentication.
, Если UsePAM включают, Вы не сможете выполнить sshd (8) как некорневой пользователь. Значение по умолчанию является “no”.
можно установить его на не, если Вы не хотите использовать PAM. На единственном постоянном экземпляре нет никакого большой причина использовать PAM - у Вас обычно только есть один источник аутентификационной информации так или иначе (/etc/passwd//etc/shadow). С другой стороны, нет никаких больших причин изменить любого в этой среде.
то, Что Вы видите в своем журнале, является частью модулей сессии: это регистрирует аутентифицируемых пользователей - в этом случае, потому что скрипт был запущен как этот пользователь. Это нормально, и не что-то, чтобы волноваться об или даже заботиться о.
Редактирование: поскольку пользователь жестоко знал - делают не , устанавливает его на не, если Вы или не имеете работу аутентификации с открытым ключом или включаете другие схемы аутентификации по паролю. С ssh также возможно изменить конфигурацию, перезапустить ssh и попытаться войти в систему прежде вход из текущей оболочки. Таким образом, можно вернуться, если Вы - медальон.