如果只允许公钥登录，在 OpenSSH 中禁用 PAM 的缺点是什么？

Question

/etc/ssh/sshd_config 默认情况下有以下行

UsePAM yes

我通读了可用的文档并得出结论，如果我只使用公钥登录，则不会使用 PAM。如果我禁用 PAM，可能会产生什么负面后果？例如

UsePAM no

Answer 1

PAM 不仅执行身份验证，还执行授权和会话服务。您可能希望继续使用它，因为它增加了相当多的灵活性。

PAM 将被调用以进行成功的公钥身份验证，因为会话和帐户服务仍在检查中。

PAM 可以做 SSH 不能做的事情。此列表并不详尽：

• 如果 SELinux 未处于强制模式（如果那是您的事），则拒绝用户访问。
• 设置资源限制，例如最大进程数和允许的最大登录数。
• 根据用户和远程源 IP 灵活拒绝用户（在 SSH 中也可以，但在 PAM 中非常简洁）
• 设置一系列您可能想要传递的环境变量。
• 如果用户主目录不存在，则为其创建主目录。
• 根据访问尝试的时间/日期拒绝用户。
• 拒绝不活跃的用户。
• 拒绝使用无效外壳的用户。
• 设置输入的关键日志记录设施。