Имеется сервер на основе ASPLinux 7.3. Закачал последние версии исходников openssh, openssl, zlib, pam. Скомпилировал и установил openssh без --with-pam. Все работает нормально.Вопрос: Как лучше собирать sshd - c поддержкой PAM или можно и без него, и при этом безопасность будет не хуже?
Насколько я понимаю PAM - это общесистемный API для аутентификации пользователей. Я собрал sshd без PAM, так как подумал, что чем меньше модулей использует критический сервис - тем лучше. Прав ли я? Ведь мне необходима только устойчивая работа sshd для аутентификации по ключу + парольной фразе. Это лучше или хуже в плане безопасности? И в чем плюсы и минусы установки sshd C и БЕЗ PAM? Как там оно на практике?
>Я собрал sshd без PAM, так как подумал, что чем меньше модулей использует критический сервис - тем лучшеПолностью согласен.
Есть несколько соображений по сабжу.
Имеет смысл использовать РАМ в случае предоставления массовых публичных услуг (mail, FTP, free shell over SSH, etc). В этом случае мы не можем знать, как будут развиваться события в плане роста количества пользователей. Вполне вероятно, что потребуется организовать какое-либо хранилище учетных записей (LDAP, SQL). Вот тут-то РАМ будет незаменим.Если SSH используется (и будет впредь) только для доступа администратора(-ов) на сервер - поддержка РАМ не требуется. И, как правильно заметил автор поста, будет только ухудшать общую безопасность.
Вот такое IMHO.
Спасибо.