linux中SSH_ASKPASS全局变量的作用

已于 2024-06-04 21:02:11 修改
阅读量538 收藏 10
点赞数 4
文章标签: linux ssh 运维
于 2024-06-04 18:08:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zerfew/article/details/139449692
版权

在工作中遇到一段代码,通过SSH_ASKPASS全局变量实现了ssh登录远程IP时的密码输入,chatgpt搜索了一下,其解释大致如下所示:

SSH_ASKPASS 是一个环境变量,它在 SSH 客户端需要用户输入密码时起作用。当 SSH 客户端检测到需要密码时,它会首先检查环境变量 SSH_ASKPASS 是否已设置。如果设置了 SSH_ASKPASS,那么 SSH 客户端会调用指定的程序来获取密码,而不是直接在终端中提示用户输入密码。

具体来说,SSH 客户端的工作流程如下:

  1. 客户端发起 SSH 连接请求。
  2. 当服务器需要验证客户端身份时,服务器向客户端发送一个密码提示请求。
  3. 客户端检查 SSH_ASKPASS 环境变量。
  4. 如果 SSH_ASKPASS 已设置,则客户端调用指定的程序来获取密码。
  5. 获取到密码后,客户端将密码传递给 SSH 客户端进行身份验证。
  6. 如果验证成功,SSH 连接建立成功;否则,连接失败。

通过设置 SSH_ASKPASS 环境变量,用户可以自定义一个程序来自动化密码输入过程,从而实现无需人工干预的 SSH 连接过程。这在自动化脚本或程序中特别有用,可以避免需要用户手动输入密码。

不过百度和谷歌却没搜索到人定义的关键信息来确认这点。让chatgpt帮我把ssh源码中的SSH_ASKPASS部分调用代码展示出来,可能理解有问题,每次都答非所问。自己下载了一份ssh源码,简单的用grep SSH_ASKPASS . -rns指令,检索到,应该是如下的代码中实现的调用:

/*
 * Reads a passphrase from /dev/tty with echo turned off/on.  Returns the
 * passphrase (allocated with xmalloc).  Exits if EOF is encountered. If
 * RP_ALLOW_STDIN is set, the passphrase will be read from stdin if no
 * tty is or askpass program is available
 */
char *
read_passphrase(const char *prompt, int flags)
{
        char cr = '\r', *askpass = NULL, *ret, buf[1024];
        int rppflags, ttyfd, use_askpass = 0, allow_askpass = 0;
        const char *askpass_hint = NULL;
        const char *s;

        if (((s = getenv("DISPLAY")) != NULL && *s != '\0') ||
            ((s = getenv("WAYLAND_DISPLAY")) != NULL && *s != '\0'))
                allow_askpass = 1;
        if ((s = getenv(SSH_ASKPASS_REQUIRE_ENV)) != NULL) {
                if (strcasecmp(s, "force") == 0) {
                        use_askpass = 1;
                        allow_askpass = 1;
                } else if (strcasecmp(s, "prefer") == 0)
                        use_askpass = allow_askpass;
                else if (strcasecmp(s, "never") == 0)
                        allow_askpass = 0;
        }

        rppflags = (flags & RP_ECHO) ? RPP_ECHO_ON : RPP_ECHO_OFF;
        if (use_askpass)
                debug_f("requested to askpass");
        else if (flags & RP_USE_ASKPASS)
                use_askpass = 1;
        else if (flags & RP_ALLOW_STDIN) {
                if (!isatty(STDIN_FILENO)) {
                        debug_f("stdin is not a tty");
                        use_askpass = 1;
                }
        } else {
                rppflags |= RPP_REQUIRE_TTY;
                ttyfd = open(_PATH_TTY, O_RDWR);
                if (ttyfd >= 0) {
                        /*
                         * If we're on a tty, ensure that show the prompt at
                         * the beginning of the line. This will hopefully
                         * clobber any password characters the user has
                         * optimistically typed before echo is disabled.
                         */
                        (void)write(ttyfd, &cr, 1);
                        close(ttyfd);
                } else {
                        debug_f("can't open %s: %s", _PATH_TTY,
                            strerror(errno));
                        use_askpass = 1;
                }
        }
        if ((flags & RP_USE_ASKPASS) && !allow_askpass)
                return (flags & RP_ALLOW_EOF) ? NULL : xstrdup("");

        if (use_askpass && allow_askpass) {
                if (getenv(SSH_ASKPASS_ENV))
                        askpass = getenv(SSH_ASKPASS_ENV);
                else
                        askpass = _PATH_SSH_ASKPASS_DEFAULT;
                if ((flags & RP_ASK_PERMISSION) != 0)
                        askpass_hint = "confirm";
                if ((ret = ssh_askpass(askpass, prompt, askpass_hint)) == NULL)
                        if (!(flags & RP_ALLOW_EOF))
                                return xstrdup("");
                return ret;
        }

        if (readpassphrase(prompt, buf, sizeof buf, rppflags) == NULL) {
                if (flags & RP_ALLOW_EOF)
                        return NULL;
                return xstrdup("");
        }

        ret = xstrdup(buf);
        explicit_bzero(buf, sizeof(buf));
        return ret;
}

其中askpass即为SSH_ASKPASS_ENV,也就是SSH_ASKPASS,可通过如下检索获取到:

./ssh.h:68:#define SSH_ASKPASS_ENV        "SSH_ASKPASS"

通过SSH_ASKPASS获取密码的关键代码为:
ret = ssh_askpass(askpass, prompt, askpass_hint):

static char *
ssh_askpass(char *askpass, const char *msg, const char *env_hint)
{
        pid_t pid, ret;
        size_t len;
        char *pass;
        int p[2], status;
        char buf[1024];
        void (*osigchld)(int);

        if (fflush(stdout) != 0)
                error_f("fflush: %s", strerror(errno));
        if (askpass == NULL)
                fatal("internal error: askpass undefined");
        if (pipe(p) == -1) {
                error_f("pipe: %s", strerror(errno));
                return NULL;
        }
        osigchld = ssh_signal(SIGCHLD, SIG_DFL);
        if ((pid = fork()) == -1) {
                error_f("fork: %s", strerror(errno));
                ssh_signal(SIGCHLD, osigchld);
                return NULL;
        }
        if (pid == 0) {
                close(p[0]);
                if (dup2(p[1], STDOUT_FILENO) == -1)
                        fatal_f("dup2: %s", strerror(errno));
                if (env_hint != NULL)
                        setenv("SSH_ASKPASS_PROMPT", env_hint, 1);
                execlp(askpass, askpass, msg, (char *)NULL);
                fatal_f("exec(%s): %s", askpass, strerror(errno));
        }
        close(p[1]);

        len = 0;
        do {
                ssize_t r = read(p[0], buf + len, sizeof(buf) - 1 - len);

                if (r == -1 && errno == EINTR)
                        continue;
                if (r <= 0)
                        break;
                len += r;
        } while (sizeof(buf) - 1 - len > 0);
        buf[len] = '\0';

        close(p[0]);
        while ((ret = waitpid(pid, &status, 0)) == -1)
                if (errno != EINTR)
                        break;
        ssh_signal(SIGCHLD, osigchld);
        if (ret == -1 || !WIFEXITED(status) || WEXITSTATUS(status) != 0) {
                explicit_bzero(buf, sizeof(buf));
                return NULL;
        }

        buf[strcspn(buf, "\r\n")] = '\0';
        pass = xstrdup(buf);
        explicit_bzero(buf, sizeof(buf));
        return pass;
}

ssh_askpass的关键调用指令就是execlp(askpass, askpass, msg, (char *)NULL);

参数释义,第一个和第二个都是SSH_ASKPASS文件路径,msg是提示词,也就是ssh登录时的“user@192.68.1.10 password:”打印信息,第四个参数无什么含义,不解释。

上面代码execlp调用SSH_ASKPASS后,无任何返回值判定和处理,那密码是怎么实现自动输入到stdin输入的呢?

看源码中,execlp是在fork的子进程中执行的,执行前,其通过close(p[0])关闭了子进程的stdin,并通过dup2(p[1], STDOUT_FILENO)将stdout重定向到标准输出流STDOUT_FILENO,并关闭子进程的stdout。这样子进程通过print函数,即可将密码输出到STDOUT_FILENO。

所以,如果我们有需求,ssh登录时,期望自动输入密码,可以使用这个功能来自动后台运行,只需要在运行前指定系统的SSH_ASKPASS全局变量即可。下面写一个简单的SSH_ASKPASS功能函数(写的很简单,未实测,基本道理是说的通的)。

#!/usr/bin/python3
import sys

if "password" in sys.argv[1]:
    print("123456")

zerfew
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SSH 指南
吾欲乘风
04-06 903
OpenSSHOpenSSHSSH (Secure SHell) 协议的免费开源实现。它用安全、加密的网络连接工具代替了 telnet、ftp、 rlogin、rsh 和 rcp 工具。OpenSSH 支持 SSH 协议的版本 1.3、1.5、和 2。自从 OpenSSH 的版本 2.9 以来,默认的协议是版本 2,该协议默认使用 RSA 钥匙。1. 为什么使用 SSH?使用 OpenSSH
ssh-askpass:用于OS XmacOS的ssh-askpass
05-01
ssh-askpass 用于OS X / macOS的ssh-askpass。 可在(至少)10.7以上版本(括莫哈韦沙漠)使用 用于接受(或拒绝)使用通过ssh-add -c添加到SSH身份验证代理的私钥。 如果在操作系统升级后使用ssh-askpass遇到麻烦,请再次执行安装步骤。 安装 跑步: $ brew install theseal/ssh-askpass/ssh-askpass 遵循警告 没有自制 跑步: $ cp ssh-askpass /usr/local/bin/ $ cp ssh-askpass.plist ~/Library/LaunchAgents/ 注销并登录,然后才能使用ssh-add -c向代理添加密钥 启用键盘导航 出于安全原因,ssh-askpass默认为取消,因为按下空格键和接受连接或其他可能使用ssh-key的操作太容易了。 为了使按下O
推荐开源项目:ssh-askpass —— macOS 上的 SSH 密码询问工具
最新发布
gitblog_00039的博客
06-03 316
推荐开源项目:ssh-askpass —— macOS 上的 SSH 密码询问工具 项目地址:https://gitcode.com/theseal/ssh-askpass SSH(Secure SHell)是系统管理员和开发者最常使用的远程访问和管理工具之一。然而,在涉及到密钥认证时,特别是当需要确认是否使用已添加到 SSH 认证代理的私钥时,macOS 用户可能会遇到一些困扰。这就是我们为何要...
成功解决:ssh_askpass: exec(/usr/libexec/openssh/ssh-askpass): No such file or directory Permission denie
未来社会二十年发展的核心技术趋势由ABCD四个字母组成,分别是AI(人工智能)、BlockChain(区块链)、Cloud(云)、和Data(大数据)每一次进步都有新的认知和感触
04-16 2953
成功解决:ssh_askpass: exec(/usr/libexec/openssh/ssh-askpass): No such file or directory Permission denied, please try again.提示没有这样的文件或目录,权限被拒绝,请重试。
askpass:R,Git和SSH的安全密码输入
04-10
询问通行证 R,Git和SSH的安全密码输入 跨平台实用程序,用于提示用户输入凭据或密码短语,例如,通过服务器进行身份验证或读取受保护的密钥。 括适用于MacOS和Windows的本机程序,因此不需要“ tcltk”。 可以两种不同的方式调用密码输入:直接通过R的askpass()函数从R调用,或通过SSH_ASKPASS和GIT_ASKPASS环境变量间接作为“ ssh-agent”或“ git-credential”的密码输入后端。 因此,当R调用git或ssh时,如果需要,可以提示用户输入凭据或密码。 从R呼叫 要手动调用密码提示,请使用: askpass :: askpass() 例如,这用于读取受保护的密钥文件: library( openssl ) key <- rsa_keygen() write_pem( key , ' testkey.pem ' , passw
linux ssh环境变量,linux-通过环境变量提供ssh密钥密码
weixin_39616477的博客
05-06 500
我在应用程序使用ssh命令运行shell脚本.使用的私钥通过密码短语加密,问题是-当询问时我无法交互传递它.ssh-agent未添加密钥.我无法执行ssh-add my_key,因为该密码短语应该以交互方式传递.这对终端通信很有用,但在内部应用程序却不太好用.手册页显示:DISPLAY and SSH_ASKPASSIf ssh-add needs a passphrase, it will...
x11-ssh-askpass-1.2.4.1.tar.gz
11-26
这个软件是X11 SSH Askpass的1.2.4.1版本,它是一个用于SSH连接的安全凭证助手,特别适用于那些依赖于X Window System(简称X11)的Linux或Unix系统。 首先,我们需要理解X11。X11是Unix和类Unix操作系统上的一个...
win-ssh-askpass-开源
05-03
标题的“win-ssh-askpass-开源”指的是一个专为Windows系统设计的开源软件,它的主要功能是作为SSH(Secure Shell)连接过程的密码管理工具。SSH是一种网络协议,用于安全地远程登录到服务器,执行命令或传输...
nps-ssh-askpass-开源
04-24
2. **使用方式**:在使用nps-ssh-askpass时,需要将其设置为SSH的`SSH_ASKPASS`环境变量,这样SSH就能调用这个程序来获取密码。例如,你可以在命令行运行: ``` SSH_ASKPASS=/path/to/nps-ssh-askpass ssh user@...
ssh 学习笔记1
tby314的博客
07-30 877
名称 ssh— OpenSSH 远程登录客户端 概要 ssh [ -46AaCfGgKkMNnqsTtVvXxYy] [ -B 绑定接口 ] [ -b 绑定地址 ] [ -c cipher_spec ] [ -D[ 绑定地址 :] 端口 ] [ -E 日志文件 ] [ -e 转义字符 ] [ -F 配置文件 ] [ -I pkcs11 ] [ -i 身份文件 ] [ -J 目的地 ] [ -L 地址 ] [ -l 登录名 ] [ -m mac_spec ] [ -O ctl_cmd ] [
远程访问及控制SSH 服务
weixin_67582338的博客
04-18 1726
前言 传统的网络服务程序如 FTP、POP 和 TELNET 在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有弱点的, 很容易受到 “间人”(man-in-the-middle)这种方式的攻击。所谓 “间人” 的攻击方式, 就是 “间人” 冒充真正的服务器接收你传给服务器的数据,然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被 “间人” 一转手做了手脚之后,就会出现很严重的问题。通过使用
Linux如何设置SUDO_ASKPASS
qq_41566366的博客
11-07 1541
你是否遇到过这种场景,需要通过某个程序调用linux命令,如果命令存在sudo,那么程序将无法执行,因为sudo命令需要等待输入密码才能继续执行。SUDO_ASKPASS可以理解为提供密码的可执行文件关于SUDO_ASKPASS的解释,可以参考man sudo。
【Android Studio】git pull 时遇到askpass 问题的解决方法
Charon1997的博客
02-25 6587
Android Studio 使用git工具时,git pull失败,出现askpass错误的问题
如何在 Python 隐藏和加密密码?
努力是为了站在万人之中,成为别人的光
02-16 4789
作者主页:海拥 作者简介:CSDN全栈领域优质创作者、HDZ核心组成员 粉丝福利:粉丝群 每周送13本书,不定期送各种小礼品 直接跳到末尾 去评论区领书 有多种 Python 模块用于隐藏用户输入的密码,其一个是**maskpass()模块。在 Python ,借助maskpass()模块和base64()**模块,我们可以在输入时使用星号(*) 隐藏用户的密码,然后借助 base64() 模块可以对其进行加密。 maskpass() maskpass()
Shell 编程
qinshang007的专栏
01-29 422
Shell 是linux的命令解释程序,它负责将用户输入的命令传递给内核执行并将执行结果反馈给用户。 1. bash 的使用          命令通配符:              *:匹配任何字符和字符串,括空字符串              ?:匹配任意一个字符。例如,?abc,可以匹配任何以abc结束,并且以任意字符开头的含有四个字符的字符串           [...]:
如何在 Python 隐藏和加密密码?(1)
u010508150的博客
04-10 446
这些模块有两种类型的功能/方法:askpass()advpass()
ssh_askpass No such file or directory
卡农的魔笛
11-23 3485
安装 x11-ssh-askpass: sudo pacman -S x11-ssh-askpass 安装之后,就会出来这个玩意了:
c语言main退出后线程不运行,C语言 在子线程setsid()后执行exevp(ssh,...)怎样不自动打开ssh-askpass...
weixin_39912984的博客
05-19 267
问题描述用C语言 在子线程setsid()后执行execvp(arglist[0], arglist);。如果没有安装ssh-askpass则提示ssh_askpass: exec(/usr/libexec/openssh/ssh-askpass): No such file or directoryPermission denied, please try again.ssh_askpass: ...
ssh_askpass: exec(/usr/bin/ssh
03-16
_askpass) failed: 没有这个文件或目录 这个错误提示是因为系统找不到 /usr/bin/ssh_askpass 这个文件或目录。可能是因为该文件不存在或者权限不足。需要检查一下该文件是否存在,并且确认当前用户是否有执行该文件的权限。如果文件确实不存在,可以尝试重新安装或者更新相关软件。如果权限不足,可以尝试使用管理员权限执行该命令。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值