De nombreux tutoriels vous disent de configurer votre serveur ssh comme ceci:
ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no
mais avec cette configuration, vous ne pouvez pas utiliser PAM, car je prévois d'utiliser 2 Factor Auth avec Google Authenticator (OTP Onetime Password), j'ai besoin de PAM.
Alors, comment configurer un nouveau démon debian jessie ssh, si je veux empêcher la connexion avec le mot de passe normal tout en permettant d'utiliser PAM.
peut-être que la question exacte est de savoir comment configurer pam pour interdire les mots de passe?
Détails sur l'authentification PAM
La désactivation de l'authentification par mot de passe basée sur PAM est plutôt peu intuitive. Il est nécessaire sur à peu près toutes les distributions GNU / Linux (à l'exception notable de Slackware), ainsi que FreeBSD. Si vous ne faites pas attention, vous pouvez définir PasswordAuthentication sur «non» et toujours vous connecter avec juste un mot de passe via l'authentification PAM. Il s'avère que vous devez définir «ChallengeResponseAuthentication» sur «non» afin de vraiment désactiver l'authentification PAM. Les pages de manuel de FreeBSD ont ceci à dire, ce qui peut aider à clarifier un peu la situation:
Notez que si ChallengeResponseAuthentication est «oui» et que la politique d'authentification PAM pour sshd inclut pam_unix (8), l'authentification par mot de passe sera autorisée via le mécanisme de défi-réponse quelle que soit la valeur de PasswordAuthentication.
http://www.unixlore.net/articles/five-minutes-to-more-secure-ssh.html