sshd中tcp-wrappers的调用

今天配置sshd的时候,发现openssh-server不同过xinetd依然可以得到tcp-wrappers的知识,好奇之下就察看了 sshd和tcp-wrapper的代码,做成笔记写在下面。这些笔记对想使用tcp-wrappers的程序员来说有一定的参考价值。

一些基础知识

什么是ssh

ssh secure shell,是用户在进行传输的时候使用的一种保密协议。本来这是为telnet登录开发的一种保密性更好的协议,它有RSA(公钥),DSA(密钥)两 种加密方式,通信的双方倒入同样的公钥和密钥来进行通信,就算是使用公钥,因为解码的复杂性很大,所以保密性依然很好。

什么是openssh

这是openbsd开发组开发的一个ssh实现,广泛的用于linux等操作系统上,其中包括了sshd(ssh远程登录守护进程),sftp(加ssh的ftp守护子系统),ssh(远程登录程序等组件)。

什么是tcp-wrappers

tcp-wrappers是一个验证ip合法性的函数库,其还包括了一个验证ip合法性的守护进程程序。

openssh-server如何使用Tcp-wrapperts

平 时,tcp-wrappers都是和xinetd或者inetd一起工作,xinetd调用tcp-wrappers来进行IP合法性的检查。而sshd 则不同,虽然其也可以工作在xinetd后面,但是在独立运行的时候,sshd依然可以使用tcp-wrappers来进行ip合法性的验证。看下面的代 码(截取至sshd.c第942-957)


#ifdef LIBWRAP
 
/* XXX LIBWRAP noes not know about IPv6 */ 
{
    struct request_info req;   
    request_init(&req, RQ_DAEMON, av0, RQ_FILE, sock_in, NULL);   
    fromhost(&req);   
    if (!hosts_access(&req)) {     
        close(sock_in);     
    close(sock_out);     
    refuse(&req);   
}
/*
XXX IPv6 verbose("Connection from %.500s port %d", eval_client(&req), remote_port); */ 
} #endif
/* LIBWRAP */

其中的host_access就是Tcp-wrapperts的api,其功能就是判断进来的ip是否可以访问sshd。如果返回false,则close掉socket_in,换句话说,要使用tcp-Wrappert,只需要这么一个函数就足够了。

而host_access API则查找用户定义好的hosts.allow和hosts.deny。这两个文件的位置可以在编译Tcp-Wrappert的时候指定,一般的发行版都把这两个文件给放到了/etc下面。

Tcp-wrapperts自己如何工作

这 些代码在host_access.c里面,其中host_access这个函数要查找两个表,一个是hosts.allow,一个是 hosts.deny。如果在hosts.allow里面,待验证ip是合法的,则返回YES这个结果;如果hosts.allow匹配不通过,则在 hosts.deny里面匹配,如果匹配通过,则返回NO;默认返回YES。参考下面的代码。

int     hosts_access(request)
struct request_info *request;
{
        int     verdict;
        if (resident <= 0)
            resident++;
        verdict = setjmp(tcpd_buf);
        if (verdict != 0)
            return (verdict == AC_PERMIT);
        if (table_match(hosts_allow_table, request))
            return (YES);
        if (table_match(hosts_deny_table, request))
            return (NO);
            return (YES);
}

在这个文件里面,还有两个重要的变量。就是

               
char   *hosts_allow_table = HOSTS_ALLOW;
char   *hosts_deny_table = HOSTS_DENY;

这两个变量指定了这个函数库所需要的hosts.allow和hosts.deny的位置,它们通过HOST_ALLOW 和 HOSTS_DENY这两个宏得到路径,而这些都会在编译的时候指定,运行时无法修改。这也算是小小的不便吧。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值