Quiero deshabilitar la autenticación de contraseña, es decir, solo claves, en SSH. He hecho esto muchas veces en variantes de Linux, y algunas búsquedas aquí sugieren que es lo mismo en Mac, es decir:
/etc/ssh/sshd_config
Luego agrega/edita:
PasswordAuthentication no
Sin embargo, esto parece no tener efecto, es decir, todavía puedo iniciar sesión con una contraseña. ¿Hay algún truco diferente para hacer esto en High Sierra?
Para evitar la autenticación sin una clave pública, busque cada uno de estos en /etc/ssh/sshd_config
, elimínelos y configúrelos en 'no':
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
Para reiniciar sshd (que es necesario para que vuelva a leer el archivo de configuración), utilice
sudo launchctl stop com.openssh.sshd
sudo launchctl start com.openssh.sshd
PD: tenga en cuenta que macOS tiende a sobrescribir /etc/ssh/sshd_config
con cada actualización menor. Comenzando con Monterey, puede poner sus definiciones /etc/ssh/sshd_config.d/000-local.conf
para evitar esto.
ChallengeResponseAuthentication
agrega?/etc/ssh/sshd_config.d/000-local.conf
Monterey es una excelente idea. Según mis pruebas, los archivos de configuración con números más bajos anulan las opciones establecidas en archivos con números más altos, por lo que 000 (en lugar de 999) es de hecho la mejor opción de número para este archivo.Como se dijo en el comentario de klanomath, deshabilitar solo estas líneas no funcionará.
PermitRootLogin no
PasswordAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
Para deshabilitar el inicio de sesión con contraseña, también debe editar la línea UsePAM.
UsePAM no
comentario de klanomath
Especialmente UsePAM tiene que establecerse en no. La configuración del siguiente sshd_config de 4 años aún debería funcionar en 10.13: configuración SSH que no tiene contraseña – klanomath hace 2 horas
Parece funcionar. Nunca tuve que hacer eso en sistemas Linux. ¡Muchas gracias!
Alano
klanomath
Calrión
/etc/ssh/sshd_config
(configuré las opcionesPermitRootLogin
,PasswordAuthentication
,ChallengeResponseAuthentication
y todas en ); SIP nunca se ha deshabilitado en esta Mac en particular.UsePAM
no