"/etc/ssh/sshd_config" ファイルの "ChallengeResponseAuthentication" のデフォルト値
Environment
Red Hat Enterprise Linux 5 および 6
Issue
"man 5 sshd_config" によると、"ChallengeResponseAuthentication" オプションのデフォルト値は "yes" になります。
ただし、RHEL に同梱されている "/etc/ssh/sshd_config" ファイルでは、"ChallengeResponseAuthentication" の値は "no" になります。
[man 5 ssh_config]
ChallengeResponseAuthentication
Specifies whether to use challenge-response authentication.The argument to this keyword must be "yes" or "no".The default is "yes".
[/etc/ssh/sshd_config]
# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no
Resolution
セキュリティの問題のため、Red Hat に含まれる 'sshd_config' ファイルでは、"ChallengeResponseAuthentication" のデフォルトは "no" に設定されています。
"ChallengeResponseAuthentication" オプションは、RFC-4256 で定義された "keyboard-interactive" 認証スキーマに対するサポートを制御します。"keyboard-interactive" 認証スキーマでは、多目的な質問をすることができますが、多くの場合、ユーザーのパスワードだけが質問されます。
そのため、challenge-response 認証 (S/Key など) の特定フォームを使用するには、チャレンジを送信してレスポンスを確認するバックエンド (PAM など) を使用するようにサーバーを設定する必要があります。デフォルトで設定されていない場合は、"ChallengeResponseAuthentication" を "no" に設定し、設定されていないバックエンドを ssh が使用しないようにします。
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments