rsa認証用の個人鍵を持ち歩くめどが立ったのでさっくりパスワード認証もチャレンジレスポンス認証も無効にして、ついでにPAM認証も無効にしてみました。
# vi /etc/ssh/sshd_configPasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
これで、多少はセキュアになったかなと思っていたんですが、今日ふとリモートマシンがsshを利用したバックアップに失敗している事に気がつきました。
こいつはリモートバックアップ専用アカウントなのでパスワードを設定せず元々rha認証を使ってたんで、なんでかなぁと思いながら早速syslogをのぞいみていると
sshd[---]: User hoge not allowed because account is locked
ロックアカウントって何?(苦笑)
どうも↓の変更が関係しているようで
利用される認証方式に関わらず、
ロックアカウントに対して接続を拒否するようになった.
RCS file: /home/web/eviladmin/cvsweb/openssh_cvs/auth.c,v
retrieving revision 1.74
retrieving revision 1.75
diff -u -r1.74 -r1.75
っていうか、なんか気持ち悪いのでダミーでもパスワード設定したくないなぁ(´・ω・`)と思っていたらPAMを有効にすればとりあえず動くことが判明(苦笑)
ということで妥協の末PAMを使うことにしました(^^;
(でもやっぱりダミーパスワードの方が安心かなぁ・・・・)