Acho que as pessoas que recomendam desativar o UsePAM
podem não entender completamente os serviços fornecidos pela pilha do PAM. Além da autenticação, PAM
também fornece serviços de configuração de sessão que você pode não querer ignorar.
Exemplos incluem a definição de limites de recursos (via pam_limit
), variáveis de ambiente e diretórios de montagem.
Se você ficar mais à vontade, poderá modificar a configuração PAM
de sshd
, de modo que não ofereça suporte a autenticação de senha de qualquer tipo. Supondo que você tenha um /etc/pam.d/sshd
existente, basta remover as linhas auth
existentes e substituí-las por:
auth required pam_deny.so