sshの認証を公開鍵認証だけにしたい時にUsePAMの設定をどうすべきか

Vine4.2でsshの認証を公開鍵認証だけにしたい場合、下記のようにパスワード認証とチャレンジレスポンス認証を無効にしさえすれば良いようだ。

PasswordAuthentication no
ChallengeResponseAuthentication no

ただし、sshd_configのUsePAMのコメントには、ちょっと物騒なことも書いてある。

【原文】
Depending on your PAM configuration,
PAM authentication via ChallengeResponseAuthentication may bypass
the setting of "PermitRootLogin without-password".

【日本語訳】
PAMの構成によっては、チャレンジレスポンス認証経由のPAM認証は、"PermitRootLogin without-password"の設定を迂回する。

えーと、つまり、チャレンジレスポンス認証が無効になってれば関係ないけど、チャレンジレスポンス認証が有効だと、"PermitRootLogin without-password"の設定は、PAMの構成によっては無視される…ってことだよね?

チャレンジレスポンス認証を無効にしてるので関係ないはずだけれど、将来有効にする可能性もゼロではないし、ちょっと気持ち悪いので、sshd_confのUsePAMは無効にしてしまった方が、スッキリするかもしれません。