O PAM não faz apenas autenticação, mas serviços de autorização e sessão. Você provavelmente quer mantê-lo, pois adiciona um pouco de flexibilidade.
O PAM será chamado para uma autenticação de pubkey bem-sucedida, porque os serviços de sessão e conta ainda são verificados.
O PAM pode fazer coisas que o SSH não pode. Esta lista não é exaustiva:
- Negar o acesso de um usuário se o SELinux não estiver no modo de execução (se isso for seu problema).
- Defina limites de recursos, como processos máximos e logins máximos permitidos.
- Negar com flexibilidade um usuário baseado em seu IP de origem remota e de usuário (possível no SSH também, mas é bastante conciso no PAM)
- Configure uma série de variáveis de ambiente que você pode querer passar.
- Crie um diretório inicial para um usuário, se ele não existir.
- Negar usuários com base na hora / data da tentativa de acesso.
- Negar usuários inativos.
- Negar usuários usando um shell inválido.
- Configurar os principais recursos de registro de entrada.