কেউ / etc / ssh / sshd_config ফাইলে 'পাসওয়ার্ড প্রমাণীকরণ' ব্যাখ্যা করতে পারেন?


28

উপর এই পৃষ্ঠার , ব্যাখ্যা দেওয়া হল:

পাসওয়ার্ড-প্রমাণীকরণ বিকল্পটি উল্লেখ করে যে আমাদের পাসওয়ার্ড-ভিত্তিক প্রমাণীকরণ ব্যবহার করা উচিত। শক্তিশালী সুরক্ষার জন্য, এই বিকল্পটি সর্বদা হ্যাঁ সেট করা উচিত।

তবে এটি কোনও ব্যবহারের ক্ষেত্রে পরিস্থিতি সরবরাহ করতে ব্যর্থ হয়েছে যা হ্যাঁ বা না কখন উপযুক্ত হবে তা স্পষ্ট করে। কেউ দয়া করে আরও বিস্তারিত বলতে পারেন?

উত্তর:


21

10 বছরের পুরানো ডকুমেন্টেশনে আপনার লিঙ্কটি নির্দেশ করে।

এসএসএইচ ব্যবহারকারীদের প্রমাণীকরণের একাধিক উপায়ে সহায়তা করে, সর্বাধিক সাধারণ হ'ল লগইন এবং পাসওয়ার্ড জিজ্ঞাসা করে তবে আপনি ব্যবহারকারীকে একটি লগইন এবং একটি পাবলিক কী প্রমাণীকরণ করতে পারেন। আপনি যদি পাসওয়ার্ড প্রমাণীকরণটি না- তে সেট করে রাখেন , আপনি আর প্রমাণীকরণের জন্য লগইন এবং পাসওয়ার্ড ব্যবহার করতে পারবেন না এবং পরিবর্তে একটি লগইন এবং পাবলিক কী ব্যবহার করতে হবে (যদি পাবকিআউটিকেশন হ্যাঁ সেট করা থাকে)


ঠিক আছে, তাই শুধুমাত্র authorized_key2 জন্য: (1) আউট AuthorizedKeysFile (2) PasswordAuthentication কোন (3) PubkeyAuthentication হ্যাঁ (4) ChallengeResponseAuthentication কোন (5) পরীক্ষা মন্তব্য এটা ... যদি এটি এখনও পাসওয়ার্ড গ্রহণ করে, এছাড়াও UsePam কোন যোগ
YumYumYum

এই সেটিংসটি ব্যবহার করুন: fpaste.org/114544/04202660 যখন কেবল H / .ssh / অনুমোদিত_ keys2 এর মাধ্যমে এসএসএইচ লগইন করার অনুমতি দেয় তবে ব্যবহারকারী নাম / পাসওয়ার্ড দিয়ে নয়
YumYumYum

1
এবং এর চ্যুতি মূল্য কি? মানে, আমি যদি কোনও "পাসওয়ার্ডঅথেন্টিকেশন" নির্দিষ্ট না করি তবে কী হবে?
রিকার্ডো এসসিই

@ টিএসেরিককার্ডো: আপনার প্রশ্নের উত্তর কেউ দেয়নি? এটা লজ্জাজনক, তাই দোষ!
টিমো

1
@ রিকার্ডোএসসিইআই sshd_config ম্যান পৃষ্ঠা অনুসারে, পাসওয়ার্ডঅথেন্টিকেশনের ডিফল্ট হ'ল '।
স্টারফিশ

53

দয়া করে মনে রাখবেন যে পাসওয়ার্ড প্রমাণীকরণ সেটিংস সমস্ত পাসওয়ার্ড-ভিত্তিক প্রমাণীকরণ নিয়ন্ত্রণ করে না। চ্যালেঞ্জ রিসপোনস অনুমোদন সাধারণত পাসওয়ার্ডের জন্যও জিজ্ঞাসা করে।

পাসওয়ার্ডঅথেন্টিকেশন আরএফসি -২২৫২ (বিভাগ 8) এ সংজ্ঞায়িত 'পাসওয়ার্ড' প্রমাণীকরণ স্কিমের জন্য সমর্থন নিয়ন্ত্রণ করে। আরবিএফ -২২৫6-এ সংজ্ঞায়িত 'কীবোর্ড-ইন্টারেক্টিভ' প্রমাণীকরণ স্কিমের জন্য চ্যালেঞ্জরেসপোনস অ্যাটেন্টিকেশন সমর্থন নিয়ন্ত্রণ করে। 'কীবোর্ড-ইন্টারেক্টিভ' প্রমাণীকরণ প্রকল্পটি তাত্ত্বিকভাবে কোনও ব্যবহারকারীরকে বহু সংখ্যাযুক্ত প্রশ্ন জিজ্ঞাসা করতে পারে। অনুশীলনে এটি প্রায়শই কেবল ব্যবহারকারীর পাসওয়ার্ডের জন্য জিজ্ঞাসা করে।

আপনি যদি পাসওয়ার্ড-ভিত্তিক প্রমাণীকরণ পুরোপুরি অক্ষম করতে চান, তবে উভয় পাসওয়ার্ড প্রমাণীকরণ এবং চ্যালেঞ্জআরস্পোনস অনুমোদনটি 'না' তে সেট করুন। আপনি যদি বেল্ট এবং সাসপেন্ডারদের মানসিকতার হয়ে থাকেন তবে ইউপ্যামটিও 'না' হিসাবে সেট করার বিষয়টি বিবেচনা করুন।

পাবলিক / প্রাইভেট কী-ভিত্তিক প্রমাণীকরণ (PubkeyAuthentication সেটিংস দ্বারা সক্ষম) হ'ল পৃথক প্রমাণীকরণ যা অবশ্যই সার্ভারে ব্যবহারকারী পাসওয়ার্ড প্রেরণে জড়িত না।

কেউ কেউ যুক্তি দেখিয়েছেন যে চ্যালেঞ্জআরস্পোনস অ্যাটেন্টিফিকেশন ব্যবহার করা পাসওয়ার্ড অ্যাটেনটিকেশনের চেয়ে বেশি সুরক্ষিত কারণ এটি স্বয়ংক্রিয় করা আরও বেশি কঠিন। তারা চ্যালেঞ্জারস্পেস অটোথেন্টিকেশন সক্ষম করে রেখে পাসওয়ার্ড অ্যাটেন্টিফিকেশন অক্ষম রেখে যাওয়ার পরামর্শ দেয়। এই কনফিগারেশনটি কোনও স্বয়ংক্রিয় সিস্টেম লগইনগুলির জন্য পাবলিককি প্রমাণীকরণের ব্যবহারকে উত্সাহ দেয় (তবে প্রয়োজনীয়ভাবে প্রতিরোধ করে না)। তবে, যেহেতু এসএসএইচ একটি নেটওয়ার্ক-ভিত্তিক প্রোটোকল, তাই সার্ভারের গ্যারান্টি দেওয়ার কোনও উপায় নেই যে চ্যালেঞ্জআরস্পোনস অ্যাটেন্টেন্টিকেশন (ওরফে 'কীবোর্ড-ইন্টারেক্টিভ') এর প্রতিক্রিয়াগুলি আসলে কোনও ব্যবহারকারী কীবোর্ডে বসে এতক্ষণ চ্যালেঞ্জগুলি অবধি সরবরাহ করে being এবং শুধুমাত্র তার পাসওয়ার্ডের জন্য একজন ব্যবহারকারীকে জিজ্ঞাসা করে।


7
আমি যা করি তার কিছু ব্যাখ্যা প্রশংসা করব UsePAM...
আলেক্সি

3

পাসওয়ার্ড প্রমাণীকরণ হ'ল সহজ বাস্তবায়ন, কারণ কিছুই করার নেই। পাল্টা অংশটি হ'ল আপনি নিজের পাসওয়ার্ডটি কোনও এনক্রিপ্টড সংযোগের মাধ্যমে সার্ভারে প্রেরণ করেন। পাসওয়ার্ডটি ক্যাপচার করার কারণে সার্ভারের সাথে আপস করা থাকলে এটি একটি সুরক্ষা সমস্যা হতে পারে।
সার্বজনীন-কী দিয়ে আপনার পাসওয়ার্ডটি সার্ভারে স্থানান্তরিত হয় না, এটি আরও সুরক্ষিত তবে এর জন্য আরও সেটআপ প্রয়োজন।


এই উত্তরটি কিছুটা পুরানো, তবুও আমি কিছু যুক্ত করতে চাই: পাবকি প্রমাণীকরণের দুর্দান্ত বিষয়টি হ'ল কোনও গোপনই সার্ভারে স্থানান্তরিত হয় না। প্রাইভেট কীটি আপনার কম্পিউটারে গোপন রয়ে গেছে, আপনি দুর্ঘটনাক্রমে কোনও আপোসযুক্ত বা এমআইটিএম সার্ভারে কোনও ধরণের গোপনীয়তা প্রেরণ করতে পারবেন না। সুতরাং পাব্বি অবশ্যই পাসওয়ার্ড লেখার পক্ষে অনুকূল। তবে যাইহোক, হ্যাঁ, পাসওয়ার্ডের প্রমাণটি কার্যকর করা সহজ।
জানু ডি

এটি স্থাপনে কোনও ঝামেলা হবে না, এটি না করা অলস হওয়ার সমতুল্য।
সুডো

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.