#gStore-weekly | gStore源码解析(四):安全机制之黑白名单配置解析

最新推荐文章于 2023-04-19 19:19:55 发布
最新推荐文章于 2023-04-19 19:19:55 发布
阅读量522 收藏
点赞数
分类专栏: gStore-weekly 文章标签: 安全 java 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48167662/article/details/125479954
版权

​ 上一章我们介绍了安全机制的用户权限管理,接下来将对安全机制中黑白名单配置的源码进行解析。

1.1 简介

​ 在gstore安全机制中的黑白名单是指访问IP的黑名单库和白名单库;黑名单规则为:黑名单库中的IP将被禁止访问,白名单规则为:仅允许白名单库中的IP访问;原则上黑白名单的配置为二选一,若二者都开启则是白名单优先。

1.2 配置黑白名单

​ 首先通过gstore根目录的init.conf文件进行配置:启动黑名单或者白名单模式;默认为黑名单模式,如下配置文件所示:

[ghttp]
......
# 白名单库文件路径,为空表示不启用
ip_allow_path=""
# 黑名单库文件路径,为空表示不启用
ip_deny_path="ipDeny.config"
......

​ 然后根据配置的模式,可以复制对应的黑白名单库示例文件进行配置,配置支持单个IP和某一范围的IP组,如下所示:

#ipDeny.config.example
#two kinds of ip format
#1. a single ip address 
1.2.2.1
#2. a closed intervel represent by "-", to allow for a segment of ips or deny a segment of ips
1.1.1.1-1.1.1.2


###########################################################
#                  Notice!!!!                             #
#    1. use "#" to comment out a Whole line               #
#    2. ip address write in one line                      #
#    3. do not include extra space or other char          #
#    4. keep it only numbers or with one '-'              #
#    5. to enable black list, use "--ipDeny=<filename>"   #
###########################################################

1.3 黑白名单管理

​ 在完成黑白名单的配置后,我们还可以通过接口进行动态的配置,ghttp网络服务提供了黑白名单的查询和更新接口。

​ 当ghttp网络服务启动时,将会对黑白名单进行初始化,读取配置文件init.conf配置的黑白名单库路径,并读取解析黑白名单的库数据,部分关键代码如下:

// 与黑白名单相关的全局参数
// 是否启用黑名单
int blackList = 0;
// 是否启用白名单
int whiteList = 0;
// 白名单库路径
string ipBlackFile = "ipDeny.config";
// 黑名单库路径
string ipWhiteFile = "ipAllow.config";
// 白名单库
IPWhiteList* ipWhiteList;
// 黑名单库
IPBlackList* ipBlackList;

​ ghttp服务器启动时将调用函数ghttp::initialize进行初始化:

int initialize(int argc, char *argv[])
{
    cout << "ghttp begin initialize..." << endl;
	cout << "init param..." << endl;
    Util util;
    // 读取init.conf文件中的配置参数
    Util::configure_new();
    ......
    else
    {
        ......
        ipWhiteFile = Util::getConfigureValue("ip_allow_path");
        ipBlackFile = Util::getConfigureValue("ip_deny_path");
        cout<<"ipWhiteFile:"<<ipWhiteFile<<endl;
        cout<<"ipBlackFile:"<<ipBlackFile<<endl;
        // 判断是否配置白名单库
        if (ipWhiteFile.empty()) {
            whiteList = 0;
        } else {
            whiteList = 1;
        }
        // 判断是否配置黑名单库
        if (ipBlackFile.empty()) {
            blackList = 0;
        } else {
            blackList = 1;
        }
        ......
    }
    // 判断黑白名单的启用规则,在二者同时启用的情况下,白名单优先
    if (whiteList) {
        cout << "IP white List enabled." << endl;
        ipWhiteList = new IPWhiteList();
        ipWhiteList->Load(ipWhiteFile);
    } else if (blackList) {
        cout << "IP black list enabled." << endl;
        ipBlackList = new IPBlackList();
        ipBlackList->Load(ipBlackFile);
    }
}

​ 在初始化白名单的库时将调用IPWhiteList::Init和IPWhiteList::Load函数进行解析(黑名单库也类似):

// IPWhiteList中的参数ipList用于保存IP库
std::set<std::string> ipList;

// IPWhiteList构造函数
IPWhiteList::IPWhiteList(){
    this->Init();
}
// 初始化参数ipList
void IPWhiteList::Init(){
    ipList.erase(ipList.begin(), ipList.end());
}
// 通过文件记载IP库
void IPWhiteList::Load(std::string file){
    this->Init();
    this->ReadIPFromFile(file);
}
// 解析IP库
void IPWhiteList::ReadIPFromFile(std::string file){
    ifstream infile(file.c_str());
    string line;
    if (!infile.is_open())
    {
        cout << "open white list file failed." << endl;
        return;
    }
    while(getline(infile, line)) {
        if (line.length() >= 7) {
            int pos = line.find("#");
            if(pos != -1)
                continue;
            this->ipList.insert(line);
        }
    }
    infile.close();
}

​ 在完成初始化后,如果需要实时的更新黑白名单库数据,可以通过调用api接口来修改,将会调用ghttp::IPManager_thread_new(说明:黑白名单的启用规则不支持动态切换,只能通过init.conf进行修改,修改后需要重启ghttp服务才生效),代码如下:

/**
 * @brief IP manager
 * 
 * @param response 
 * @param ips ip string
 * @param ip_type 1-black ip 2-white ip
 * @param type  1-query 2-save
 */
void IPManager_thread_new(const shared_ptr<HttpServer::Response>& response, string ips, string ip_type, string type) {
	Document all;
	Document::AllocatorType& allocator = all.GetAllocator(); 
	all.SetObject();
    // 查询接口将返回当前生效的规则是白名单还是黑名单,以及生效规则对应的IP库列表
	if ( type == "1") { // query
		Document responseBody;
		Document listDoc;
		responseBody.SetObject();
		listDoc.SetArray();
        // 在初始化时通过是否配置白名单路径来设置改参数值
		if (whiteList) // white IP
		{
			cout << "IP white List enabled." << endl;
			responseBody.AddMember("ip_type", "2", allocator);
			for (std::set<std::string>::iterator it = ipWhiteList->ipList.begin(); it!=ipWhiteList->ipList.end();it++)
			{
				Value item(kStringType);
				item.SetString((*it).c_str(), allocator);
				listDoc.PushBack(item, allocator);
			}
		}
        // 在初始化时通过是否配置黑名单路径来设置改参数值
        // (若白名单已生效,则优先使用白名单,即便配置了黑名单库路径)
		else if (blackList) // black IP
		{
			cout << "IP black List enabled." << endl;
			responseBody.AddMember("ip_type", "1", allocator);
			for (std::set<std::string>::iterator it = ipBlackList->ipList.begin(); it!=ipBlackList->ipList.end();it++)
			{
				Value item(kStringType);
				item.SetString((*it).c_str(), allocator);
				listDoc.PushBack(item, allocator);
			}
		}
		......
		responseBody.AddMember("ips", listDoc, allocator);
        ......
	}
	else if (type == "2") { // save
		......
		vector<string> ipVector;
		Util::split(ips,",", ipVector);
		if (ip_type == "1") { // black IP
            // 更新黑名单库并重新加载
			if (blackList) {
				ipBlackList->UpdateIPToFile(ipBlackFile, ipVector, "update by wrokbanch");
				// realod ip list
				ipBlackList->Load(ipBlackFile);
			}
            ......
		}
		else if (ip_type == "2") { // white IP
            // 更新白名单库并重新加载
			if (whiteList) {
				ipWhiteList->UpdateIPToFile(ipWhiteFile, ipVector, "update by wrokbanch");
				// realod ip list
				ipWhiteList->Load(ipWhiteFile);
			}
			......
		}
		......
	}
}

​ 在更新黑白名单库时将会调用IPWhiteList::UpdateIPToFile和IPBlackList::UpdateIPToFile函数,将最新的配置数据更新到文件中,部分代码片段如下:

/**
 * @brief 
 * 
 * @param file
 * @param ips
 * @param reason
 */
void IPWhiteList::UpdateIPToFile(std::string file, vector<std::string>& ips, std::string reason)
{
    ofstream outfile;
    outfile.open(file.c_str());
    if (!outfile)
    {
        cout << "open white list file failed." << endl;
        return;
    }
    // 记录每次变更的原因
    outfile << "#" << reason << "\n";
    for(vector<std::string>::iterator it = ips.begin(); it != ips.end(); it++)
    {
        outfile << (*it) << "\n";
    }
    outfile.close();
}

1.4 黑白名单校验

​ 黑白名单校验一般是在开启gstore网络服务(如ghttp服务)后,外部通过接口对数据库进行操作时,会对发起请求的客户端IP进行验证,是否满足黑白名单规则要求,部分代码片段如下:

// 在请求处理的子线程中会对请求的接口进行IP验证
void request_thread(const shared_ptr<HttpServer::Response>& response, 
const shared_ptr<HttpServer::Request>& request, string RequestType)
{
    // 验证IP是否符合黑白名单的访问规则
	if (!ipCheck(request)) {
		string error = "IP Blocked!";
		sendResponseMsg(1101, error, response,remote_ip,"ipCheck");
		return;
	}
    ......
}

​ 在函数ghttp::ipCheck中,会判断当前黑白名单生效的规则,再根据生效规则进行校验,代码如下:

bool ghttp::ipCheck(const shared_ptr<HttpServer::Request>& request){
    // 获取请求的IP地址
	string remote_ip;
	unordered_multimap<std::string, std::string, case_insensitive_hash, case_insensitive_equals> m=request->header;
	string map_key = "X-Real-IP";
	pair<std::unordered_multimap<std::string, std::string, case_insensitive_hash, case_insensitive_equals>::iterator,std::unordered_multimap<std::string, std::string, case_insensitive_hash, case_insensitive_equals>::iterator> lu = m.equal_range(map_key);
	if(lu.first != lu.second)
		remote_ip = lu.first->second;
	else
		remote_ip = request->remote_endpoint_address;
	// 执行白名单规则
	if(whiteList == 1) {
		return ipWhiteList->Check(remote_ip);
	}
    // 执行黑名单规则
	else if(blackList == 1){
		return ipBlackList->Check(remote_ip);
	}
	return true;
}

// 白名单规则匹配:命中规则返回true,否则返回false
bool IPWhiteList::Check(std::string ip){
    if(this->ipList.empty())
        return false;
    else if(this->ipList.find(ip) != this->ipList.end())
        return true;
    for(std::set<string>::iterator it=this->ipList.begin(); it!=this->ipList.end(); ++it) {
        // case for xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx
        string test = *it;
        if(test.find("-") != -1){
            std::vector<std::string> fields;
            std::vector<std::string> start;
            std::vector<std::string> end;
            std::vector<std::string> test_ip;
            boost::split( fields, test, boost::is_any_of( "-" ) );
            boost::split( start, fields[0], boost::is_any_of( "\\." ) );
            boost::split( end, fields[1], boost::is_any_of( "\\." ) );
            boost::split( test_ip, ip, boost::is_any_of( "\\." ) );
            bool res = true;
            for(int i = 0; i < 4; i++){
                int s = std::stoi(start[i]);
                int e = std::stoi(end[i]);
                int candidate = std::stoi(test_ip[i]);

                if(!(s <= candidate && candidate <= e)){
                    res = false;
                    break;
                }
            }
            if(res)
                return true;
        }
    }
    return false;
}

// 黑名单规则匹配:命中规则返回false,否则返回true
bool IPBlackList::Check(std::string ip){
    if(this->ipList.empty())
        return true;
    else if(this->ipList.find(ip) != this->ipList.end())
        return false;
    for(std::set<string>::iterator it=this->ipList.begin(); it!=this->ipList.end(); ++it){
        // case for xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx
        string test = *it;
        if(test.find("-") != -1){
            std::vector<std::string> fields;
            std::vector<std::string> start;
            std::vector<std::string> end;
            std::vector<std::string> test_ip;
            boost::split( fields, test, boost::is_any_of( "-" ) );
            boost::split( start, fields[0], boost::is_any_of( "\\." ) );
            boost::split( end, fields[1], boost::is_any_of( "\\." ) );
            boost::split( test_ip, ip, boost::is_any_of( "\\." ) );
            bool res = false;
            for(int i = 0; i < 4; i++){
                int s = std::stoi(start[i]);
                int e = std::stoi(end[i]);
                int candidate = std::stoi(test_ip[i]);
                if(!(s <= candidate && candidate <= e)){
                    res = true;
                    break;
                }
            }
            if(!res)
                return false;
        }
    }
    return true;
}

1.6 小结

​ 本章节介绍了安全机制的黑白名单模块,分析了如何配置黑白名单、如何管理黑白名单以及如何使用黑白名单规则来校验请求,建议在阅读的同时结合源码Main/ghttp.cpp、Util/IPWhiteList.cpp、Util/IPBlackList.cpp一起分析,会更容易理解。下一章将解析gstore安全机制中的日志追踪模块。

PKUMOD
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于Redis的Set实现白名单的过滤校验器
mutf7的博客
08-21 2393
基于Redis实现白名单的过滤校验器 白名单过滤器在实际开发中有很多种,比如:用户名单,IP名单等。在一些场景下,如果仅仅通过数据库DB来进行过滤处理。在并发量小的情况下是没有问题。 但是如果在高并发的场景下,可能会出现性能瓶颈,这时采用redis来实现是最佳的选择方案。如何进行开发和处理呢? 答案:redis中的数据结构 set。 把名单的用户数据放入到redis的集合中。 在登录、评价或在一些需要限制的地方,通过sismember命令来查询用户是否在名单列表中,如果存在就返回1,不存在就返
Gstreamer 插件名单问题
lh0616的博客
02-10 1254
本文是基于gstreamer-1.0版本来介绍 背景介绍 无论是在PC上还是在开发板上,第一次安装gstreamer-1.0的时候,gst-plugin_scanner会扫描系统内集成的gstreamer插件,并将插件的信息存入文件系统(缓存),存放缓存的文件路径是 $XDG_CACHE_HOME/gstreamer-1.0/registry-$ARCH.bin PC 上的默认路径是/home/用户名/.cache/gstreamer-1.0/registry.x86_64.bin,如...
iptables详解【9】: 白名单机制
focus_lyh的博客
10-24 453
iptables详解(9):iptables的白名单机制 22 A+ 所属分类:IPtables Linux基础 在本博客中,从理论到实践,系统的介绍了iptables,如果你想要从头开始了解iptables,可以查看iptables文章列表,直达链接如下 iptables零基础快速入门系列 注意:在参照本文进行iptables实验时,请务必在个人的测试机上进行,因为如果iptables规则设置不当,有可能使你无法连接到远程主机中。 前文中一直在强调一个概念:报文在经过iptables的链时,会匹配链中
Sentinel—接口访问白名单控制
最新发布
深圳市多克创新科技有限公司
04-19 316
Sentinel—接口访问白名单控制
【快代理API】设置IP白名单
K哥爬虫
03-28 1721
接口描述 https://dev.kdlapi.com/api/setipwhitelist 接口地址 设置订单的IP白名单 返回结果 参数说明 注意参数iplist,如果不带此参数代表设置您的当前IP作为白名单 必填参数 orderid 订单号 signature API Key 获取订单号和API Key教程 代码样例 import requests # API接口 api_u...
gstore-node:适用于Node.js的Google数据存储区实体建模
05-13
gstore节点 Google数据存储区的实体建模 :party_popper: 新闻:新的维护者! 几周前,我宣布不推荐使用gstore-node ,因为我目前没有带宽来处理它。 几天后, 介入并提出要担任该项目的维护者。 我很激动! :...
gStore:gStore - 基于图的 RDF 三元存储
08-04
Gstore System(也称为gStore)是一个用于管理大型图结构数据的图数据库引擎,它是开源的,针对Linux操作系统。 整个项目是用C++编写的,并借助了readline、antlr等一些库。 目前仅提供源代码压缩包,这意味着如果您...
gstore-master.zip
02-01
总的来说,gstore-master.zip文件封装了gstore项目的全部源码,它不仅是一个数据存储库,更是一个学习Python数据库操作和ORM设计模式的宝贵资源。无论你是想要提升项目的数据管理能力,还是希望深入理解数据存储的...
GStore 网上商店发售Vista-Ready显卡
11-29
标题中的“GStore 网上商店发售Vista-Ready显卡”指的是GStore这个在线商店开始销售一种专为Windows Vista操作系统设计的显卡。Vista-Ready表明该显卡符合微软Windows Vista的硬件要求,能够充分利用操作系统的新...
gstore:一种用于按纬度存储和检索数据的服务
02-04
GSTore 抽象 有很多内容需要与特定位置链接。 此服务提供了一组rest api,用于使用纬度和经度存储内容,这使得以后更容易找到它们。 例子 请求通过用户名和密码获取有效的访问令牌。 curl -X POST --data "username...
暴露接口IP白名单设置
CherishL_的专栏
01-03 6448
String realIp = IPUtil.getIpAddr(request); if(!"0:0:0:0:0:0:0:1".equals(realIp)){ List<String> ipList = Resources.readLines(Resources.getResource("ipWhiteList.txt"),Charset.forName("utf-8
哪个更安全白名单还是名单?Agent端对监控指标白名单的支持
weixin_53971298的博客
02-04 943
“实际上,agent端指标的白名单名单也是Zabbix培训中的一个重要主题。”   ——Kaspars Mednis , 全球培训师负责人,Zabbix SIA   本文整理自Kaspars 在2020Zabbix中国峰会的演讲,ppt获取链接见文末。更多演讲视频可关注官方Bilibili账号主页(ID:Zabbix中国)。   目录 一 为什么需要agent端指标的白名单名单 二 如何保障安全性 三 关于通配符 关于功能注释 五 哪个更安全白名单还是名单?   为什么需要agent端指标的
gstreamer插件用不了,及名单Blacklist的解决办法
柳鲲鹏
12-02 6129
  公司开发了三个gstreamer插件,结果有一个能用,另外两个死活用不了(即gst_element_factory_make结果为空).去/usr/lib/x86_64-linux-gnu/gstreamer-1.0目录下看,插件文件也是存在的。这是怎么回事? gst-inspect-1.0 …… …… …… 总数: 239 个插件 (2 个名单记录 not shown), 1326 ...
程序中的白名单控制
热门推荐
认知 行动 坚持
01-02 1万+
在软件开发中, 经常需要对程序进行调试, 很多时候, 我们需要增加访问控制, 也就是所谓的白名单。 讲普通用户定义为名单用户, 将VIP用户定义为白名单。 下面来看看程序:
Spring-Security 实现白名单功能
zhouzhiwengang的专栏
07-16 8455
添加该功能是在原有功能上新增功能: SpringBoot +SpringSecurity+mysql 实现用户数据权限管理 本文仅做重点代码的和相关依赖说明:SpringBoot +SpringSecurity+mysql 实现用户数据权限管理文章中,我们采用的了分布式架构搭建该项目,导致controller 模块是不存在数据库连接资源(DataSource),由此,我们在controller...
项目思路---接口的权限控制、登陆校验以及白名单的设置
人生有点bug的程序员的博客
11-27 1万+
接口的权限控制、登陆校验以及白名单的设置 在登陆成功之后,才可以去访问一些接口,否则其他的接口都是不可以访问状态,或者校验这个用户在发起请求的时候,是否是登陆状态,同时有些接口不需要登陆也可以访问,在这里做一个简单的记录。 首先,在看到这些需求的时候,要在配置文件里面进行配置白名单,之后读取白名单配置文件获取到白名单的列表,这样就可以拿到了那写接口不需要判断。 其次,要做一个拦截器,在每一...
web安全-文件上传(Js,MIME,文件头,白名单等校验)
nareku的博客
03-07 4740
客户端校验————javascript校验 1.绕过JS校验方法 1)抓包改包 2)禁用JS 例:(源于网络信息安全攻防平台) 查看源码知道有JS验证 可知绕过前端JS验证才可得到flag,可将事先准备好的一句话木马的文件后缀改成jpg,随后用bp抓包 将JPG改成其他文件后缀名即可(习惯性php),发送包,得到flag 服务端校验————content-type字段校验 1.MIME类型检测 MIME type代表互联网媒体类型,MIME使用一个简单的字符串组..
python白名单验证-Python中XSS白名单过滤的实现
weixin_37988176的博客
11-01 547
在Web开发中很多地方需要用户输入富文本但又要确保输入的这些内容绝对安全不会引发XSS漏洞,那么最常用的技术就是白名单技术。白名单的通常做法都是构建一个允许使用的标签及对应属性的列表,然后对用户输入的HTML文本进行解析解析出的tag及属性去白名单中进行查找,如果对应上了,那么就保留下来,没有对应上就进行移除。白名单的结构都是这样一个层次: 允许的tag->允许的属性->允许的属性值。拿img标...
IP白名单
凉茶铺的博客
07-28 2199
DDOS又称为分布式拒绝服务,全称是Distributed Denial of Service。DDOS本是利用合理的请求造成资源过载,导致服务不可用。 比如一个停车场总共有100个车位,当100个车位都停满车后,再有车想要停进来,就必须等已有的车先出去才行。如果已有的车一直不出去,那么停车场的入口就会排起长队,停车场的负荷过载,不能正常工作了,这种情况就是“拒绝服务”。我们的系统就好比是停车场,系统中的资源就是车位。资源是有限的,而服务必须一直提供下去。如果资源都已经被占用了,那么服务也将过
gStore:高效图基SPARQL查询引擎
gStore正是为了解决这个问题而设计的,它将数据存储和查询处理建立在图结构之上,利用图的特性来提高查询效率。 首先,gStore的核心是它的图模型。与传统的关系数据库不同,gStore将每个RDF三元组表示为图中的一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值