सवाल क्या कोई / etc / ssh / sshd_config फ़ाइल में 'पासवर्ड प्रमाणीकरण' की व्याख्या कर सकता है?


पर यह पन्ना, दिया गया स्पष्टीकरण है:

विकल्प पासवर्ड प्रमाणीकरण   निर्दिष्ट करता है कि हमें उपयोग करना चाहिए या नहीं   पासवर्ड-आधारित प्रमाणीकरण। के लिये   मजबूत सुरक्षा, यह विकल्प जरूरी है   हमेशा हाँ पर सेट किया जाना चाहिए।

लेकिन यह किसी भी उपयोग केस परिदृश्य प्रदान करने में विफल रहता है जो स्पष्ट करता है कि हाँ या नहीं उचित होगा। क्या कोई आगे विस्तार से बता सकता है?


23
2017-07-09 05:44


मूल




जवाब:


आपका लिंक 10 साल पुराना दस्तावेज दस्तावेज करता है।

एसएसएच उपयोगकर्ताओं को प्रमाणीकृत करने के कई तरीकों का समर्थन करता है, सबसे आम बात लॉगिन और पासवर्ड पूछकर होती है लेकिन आप उपयोगकर्ता को लॉगिन और सार्वजनिक कुंजी भी प्रमाणित कर सकते हैं। यदि आप पासवर्ड प्रमाणीकरण को सेट करते हैं, तो आप अब प्रमाणीकरण के लिए लॉगिन और पासवर्ड का उपयोग नहीं कर पाएंगे और इसके बजाय लॉगिन और सार्वजनिक कुंजी का उपयोग करना होगा (यदि PubkeyAuthentication हाँ पर सेट है)


19
2017-07-09 05:50



ठीक है तो अधिकृत_की 2 के लिए केवल: (1) AuthorizedKeysFile (2) पासवर्ड प्रमाणीकरण संख्या (3) Pubkey प्रमाणीकरण हाँ (4) चुनौती रिस्पॉन्स प्रमाणीकरण संख्या (5) परीक्षण करें ... अगर यह अभी भी पासवर्ड स्वीकार करता है, तो UsePam no भी जोड़ें - YumYumYum
इस सेटिंग्स का प्रयोग करें: fpaste.org/114544/04202660 जब केवल एसएसएच लॉगिन ~ / .ssh / अधिकृत_keys2 के माध्यम से अनुमति देता है लेकिन उपयोगकर्ता नाम / पासवर्ड के साथ नहीं - YumYumYum
और इसका डिफ़ॉल्ट मूल्य क्या है? मेरा मतलब है, अगर मैं कोई "पासवर्ड प्रमाणीकरण" निर्दिष्ट नहीं करता हूं तो क्या होगा? - Riccardo SCE
@TSERiccardo: किसी ने आपके प्रश्न का उत्तर नहीं दिया? यह शर्म की बात है, दोष! - Timo
नहीं, किसी ने नहीं किया: पी - Riccardo SCE


कृपया ध्यान दें कि पासवर्ड प्रमाणीकरण सेटिंग सभी पासवर्ड-आधारित प्रमाणीकरण को नियंत्रित नहीं करती है। चुनौती रिस्पॉन्स प्रमाणीकरण आमतौर पर पासवर्ड के लिए भी पूछता है।

पासवर्ड प्रमाणीकरण नियंत्रण आरएफसी -4252 (धारा 8) में परिभाषित 'पासवर्ड' प्रमाणीकरण योजना के लिए समर्थन करता है। चुनौती रिस्पॉन्स प्रमाणीकरण नियंत्रण आरएफसी -4256 में परिभाषित 'कीबोर्ड-इंटरैक्टिव' प्रमाणीकरण योजना के लिए समर्थन करता है। 'कुंजीपटल-इंटरैक्टिव' प्रमाणीकरण योजना, सिद्धांत रूप में, उपयोगकर्ता को बहु-पक्षीय प्रश्नों की संख्या से पूछ सकती है। व्यवहार में यह अक्सर उपयोगकर्ता के पासवर्ड के लिए पूछता है।

यदि आप पासवर्ड-आधारित प्रमाणीकरण को पूरी तरह अक्षम करना चाहते हैं, तो 'पासवर्ड' के लिए दोनों पासवर्ड प्रमाणीकरण और चुनौती रिस्पॉन्स प्रमाणीकरण सेट करें। यदि आप बेल्ट-एंड-निलंबन मानसिकता के हैं, तो'P 'पर भी UsePAM को सेट करने पर विचार करें।

सार्वजनिक / निजी कुंजी-आधारित प्रमाणीकरण (PubkeyAuthentication सेटिंग द्वारा सक्षम) एक अलग प्रकार का प्रमाणीकरण है जिसमें सर्वर पर उपयोगकर्ता पासवर्ड भेजने में शामिल नहीं है।

कुछ लोग तर्क देंगे कि ChallengeResponse प्रमाणीकरण का उपयोग पासवर्ड प्रमाणीकरण से अधिक सुरक्षित है क्योंकि इसे स्वचालित करना अधिक कठिन है। इसलिए वे ChallengeResponse प्रमाणीकरण सक्षम करते समय पासवर्ड प्रमाणीकरण को अक्षम करने की सलाह देते हैं। यह कॉन्फ़िगरेशन किसी भी स्वचालित सिस्टम लॉग इन के लिए प्रकाशनिक प्रमाणीकरण के उपयोग को भी प्रोत्साहित करता है (लेकिन जरूरी नहीं है)। लेकिन, चूंकि एसएसएच नेटवर्क-आधारित प्रोटोकॉल है, इसलिए सर्वर को यह गारंटी देने का कोई तरीका नहीं है कि चुनौती रिस्पॉन्स प्रमाणीकरण (उर्फ 'कीबोर्ड-इंटरैक्टिव') के जवाब वास्तव में एक कीबोर्ड पर बैठे उपयोगकर्ता द्वारा प्रदान किए जा रहे हैं जब तक कि चुनौती हमेशा और केवल उपयोगकर्ता को उसके पासवर्ड के लिए पूछने के होते हैं।


48
2018-01-03 19:35



मैं कुछ स्पष्टीकरण की सराहना करता हूं UsePAM कर देता है... - Alexey


पासवर्ड प्रमाणीकरण सबसे आसान कार्यान्वयन है, क्योंकि ऐसा करने के लिए कुछ भी नहीं है। काउंटर भाग यह है कि आप सर्वर पर एन्क्रिप्टेड कनेक्शन पर अपना पासवर्ड भेजते हैं। यदि सर्वर से समझौता किया गया है, तो यह एक सुरक्षा समस्या हो सकती है, क्योंकि पासवर्ड कैप्चर किया जा सकता है।
सार्वजनिक कुंजी के साथ, आपका पासवर्ड सर्वर पर प्रेषित नहीं होता है, यह अधिक सुरक्षित है लेकिन इसे और सेटअप की आवश्यकता है।


3
2017-07-09 11:13



यह उत्तर थोड़ा पुराना है, फिर भी मैं कुछ जोड़ना चाहता हूं: पब्की प्रमाणीकरण के बारे में बड़ी बात यह है कि सर्वर पर कोई रहस्य संचारित नहीं होता है। निजी कुंजी आपके कंप्यूटर पर गुप्त रहती है, यानी आप किसी समझौता या एमआईटीएम सर्वर पर किसी भी तरह का रहस्य गलती से प्रेषित नहीं कर सकते हैं। तो पासवर्ड ऑब्जेक्ट पर पब्की निश्चित रूप से अनुकूल है। लेकिन वैसे भी, हाँ, पासवर्ड ऑथ लागू करने के लिए आसान तरीका है। - Jan D
यह आलसी होने के समान ही इसे करने में परेशानी नहीं होगी। - sudo


आप इसका उपयोग करते समय इसे सेट कर सकते हैं चांबियाँ, या उनके उपयोग को मजबूर करने के लिए।


0
2017-07-09 05:48