今天配置sshd的时候,发现openssh-server不同过xinetd依然可以得到tcp-wrappers的知识,好奇之下就察看了 sshd和tcp-wrapper的代码,做成笔记写在下面。这些笔记对想使用tcp-wrappers的程序员来说有一定的参考价值。
一些基础知识
什么是ssh
ssh secure shell,是用户在进行传输的时候使用的一种保密协议。本来这是为telnet登录开发的一种保密性更好的协议,它有RSA(公钥),DSA(密钥)两 种加密方式,通信的双方倒入同样的公钥和密钥来进行通信,就算是使用公钥,因为解码的复杂性很大,所以保密性依然很好。
什么是openssh
这是openbsd开发组开发的一个ssh实现,广泛的用于linux等操作系统上,其中包括了sshd(ssh远程登录守护进程),sftp(加ssh的ftp守护子系统),ssh(远程登录程序等组件)。
什么是tcp-wrappers
tcp-wrappers是一个验证ip合法性的函数库,其还包括了一个验证ip合法性的守护进程程序。
openssh-server如何使用Tcp-wrapperts
平 时,tcp-wrappers都是和xinetd或者inetd一起工作,xinetd调用tcp-wrappers来进行IP合法性的检查。而sshd 则不同,虽然其也可以工作在xinetd后面,但是在独立运行的时候,sshd依然可以使用tcp-wrappers来进行ip合法性的验证。看下面的代 码(截取至sshd.c第942-957)
#ifdef LIBWRAP
/* XXX LIBWRAP noes not know about IPv6 */
{
struct request_info req;
request_init(&req, RQ_DAEMON, av0, RQ_FILE, sock_in, NULL);
fromhost(&req);
if (!hosts_access(&req)) {
close(sock_in);
close(sock_out);
refuse(&req);
}
/* XXX IPv6 verbose("Connection from %.500s port %d", eval_client(&req), remote_port); */
} #endif
/* LIBWRAP */
其中的host_access就是Tcp-wrapperts的api,其功能就是判断进来的ip是否可以访问sshd。如果返回false,则close掉socket_in,换句话说,要使用tcp-Wrappert,只需要这么一个函数就足够了。
而host_access API则查找用户定义好的hosts.allow和hosts.deny。这两个文件的位置可以在编译Tcp-Wrappert的时候指定,一般的发行版都把这两个文件给放到了/etc下面。
Tcp-wrapperts自己如何工作
这 些代码在host_access.c里面,其中host_access这个函数要查找两个表,一个是hosts.allow,一个是 hosts.deny。如果在hosts.allow里面,待验证ip是合法的,则返回YES这个结果;如果hosts.allow匹配不通过,则在 hosts.deny里面匹配,如果匹配通过,则返回NO;默认返回YES。参考下面的代码。
struct request_info *request;
{
int verdict;
if (resident <= 0)
resident++;
verdict = setjmp(tcpd_buf);
if (verdict != 0)
return (verdict == AC_PERMIT);
if (table_match(hosts_allow_table, request))
return (YES);
if (table_match(hosts_deny_table, request))
return (NO);
return (YES);
}
在这个文件里面,还有两个重要的变量。就是
char *hosts_deny_table = HOSTS_DENY;
这两个变量指定了这个函数库所需要的hosts.allow和hosts.deny的位置,它们通过HOST_ALLOW 和 HOSTS_DENY这两个宏得到路径,而这些都会在编译的时候指定,运行时无法修改。这也算是小小的不便吧。