今天配置sshd的时候,发现openssh-server不同过xinetd依然可以得到tcp-wrappers的知识,好奇之下就察看了 sshd和tcp-wrapper的代码,做成笔记写在下面。这些笔记对想使用tcp-wrappers的程序员来说有一定的参考价值。
一些基础知识
什么是ssh
ssh secure shell,是用户在进行传输的时候使用的一种保密协议。本来这是为telnet登录开发的一种保密性更好的协议,它有RSA(公钥),DSA(密钥)两 种加密方式,通信的双方倒入同样的公钥和密钥来进行通信,就算是使用公钥,因为解码的复杂性很大,所以保密性依然很好。
什么是openssh
这是openbsd开发组开发的一个ssh实现,广泛的用于Linux等操作系统上,其中包括了sshd(ssh远程登录守护进程),sFTP(加ssh的ftp守护子系统),ssh(远程登录程序等组件)。
什么是tcp-wrappers
tcp-wrappers是一个验证ip合法性的函数库,其还包括了一个验证ip合法性的守护进程程序。
openssh-server如何使用Tcp-wrapperts
平 时,tcp-wrappers都是和xinetd或者inetd一起工作,xinetd调用tcp-wrappers来进行IP合法性的检查。而sshd 则不同,虽然其也可以工作在xinetd后面,但是在独立运行的时候,sshd依然可以使用tcp-wrappers来进行ip合法性的验证。看下面的代 码(截取至sshd.c第942-957)
#ifdef LIBWRAP
/* XXX LIBWRAP noes not know about IPv6 */
{
strUCt request_info req;
request_init(&req, RQ_DAEMON, av0, RQ_FILE, sock_in, NULL);
fromhost(&req);
if (!hosts_Access(&req)) {
close(sock_in);
close(sock_out);
refuse(&req);
}
/*XXX IPv6 verbose("Connection from %.500s port %d", eval_client(&req), remote_port); */
}#endif
/* LIBWRAP */