sshd - Change options defaults to be more secure
authorMatthew Dillon <dillon@apollo.backplane.com>
Tue, 18 Jun 2019 18:54:08 +0000 (11:54 -0700)
committerMatthew Dillon <dillon@apollo.backplane.com>
Tue, 18 Jun 2019 18:54:08 +0000 (11:54 -0700)
* Change the password_authentication default to 0.  Passworded logins
  are NOT considered secure by default in DragonFly.

* Put in a succinct comment for both the pam default (0) and the
  password authentication default (also 0) to try to prevent them
  from being improper changed back to 1 accidently.

crypto/openssh/servconf.c

index ffac5d2..02c007c 100644 (file)
@@ -274,7 +274,13 @@ fill_default_server_options(ServerOptions *options)
 {
        u_int i;
 
-       /* Portable-specific options */
+       /*
+        * Portable-specific options.
+        *
+        * Please do NOT under any circumstances change the default to 1,
+        * for any reason.  The use of PAM is not considered to be secure
+        * by default.
+        */
        if (options->use_pam == -1)
                options->use_pam = 0;
 
@@ -355,8 +361,13 @@ fill_default_server_options(ServerOptions *options)
                options->gss_cleanup_creds = 1;
        if (options->gss_strict_acceptor == -1)
                options->gss_strict_acceptor = 1;
+       /*
+        * Please do NOT under any circumstances change the default to 1,
+        * for any reason.  The use of plaintext passwords are not considered
+        * secure by default.
+        */
        if (options->password_authentication == -1)
-               options->password_authentication = 1;
+               options->password_authentication = 0;
        if (options->kbd_interactive_authentication == -1)
                options->kbd_interactive_authentication = 0;
        if (options->challenge_response_authentication == -1)