PAM — 完全禁用密碼登錄

我正在嘗試提高整個 IT 基礎架構的安全性，因此我開始使用智能卡進行登錄。我已經設法使用私鑰和 x.509 證書配置 PIV 智能卡並進行設置pam_pkcs#11，以便智能卡登錄工作。如文件中所述，我添加了以下內容：

auth    [success=2 default=ignore]      pam_pkcs11.so

toetc/pam.d/common-auth和 since 比智能卡登錄有效。但是現在，如果讀取器和智能卡被移除，系統將退回到密碼登錄（在這種情況下是 gnome）。

所以我的目標是完全禁用密碼登錄，無論是否有圖形界面。如果讀卡器和智能卡沒有連接，應該不能登錄。

我讀過的某處passwd -l $(whoami)將某個帳戶的密碼設置為非活動狀態，但這對我來說感覺不對。

是否可以這樣做pam，這樣整個機器都禁用密碼登錄？

順便說一句：現在我正在使用 ubuntu 19.10

該模組似乎pam_unix.so負責standard Unix authentication：

PAM_UNIX(8)                           Linux-PAM Manual                           PAM_UNIX(8)

NAME
      pam_unix - Module for traditional password authentication

SYNOPSIS
      pam_unix.so [...]

DESCRIPTION
      This is the standard Unix authentication module. It uses standard calls from the
      system's libraries to retrieve and set account information as well as authentication.
      Usually this is obtained from the /etc/passwd and the /etc/shadow file as well if
      shadow is enabled.

因此，要完全禁用基於密碼的身份驗證，我認為評論目錄中包含pam_unix.so的每一行/etc/pam.d就足夠了。

引用自：https://unix.stackexchange.com/questions/563818