分享
 
 
 

sshd与tcp-wrappers的关系

王朝other·作者佚名  2006-05-11
窄屏简体版  字體: |||超大  

今天配置sshd的时候,发现openssh-server不同过xinetd依然可以得到tcp-wrappers的知识,好奇之下就察看了 sshd和tcp-wrapper的代码,做成笔记写在下面。这些笔记对想使用tcp-wrappers的程序员来说有一定的参考价值。

一些基础知识

什么是ssh

ssh secure shell,是用户在进行传输的时候使用的一种保密协议。本来这是为telnet登录开发的一种保密性更好的协议,它有RSA(公钥),DSA(密钥)两 种加密方式,通信的双方倒入同样的公钥和密钥来进行通信,就算是使用公钥,因为解码的复杂性很大,所以保密性依然很好。

什么是openssh

这是openbsd开发组开发的一个ssh实现,广泛的用于linux等操作系统上,其中包括了sshd(ssh远程登录守护进程),sftp(加ssh的ftp守护子系统),ssh(远程登录程序等组件)。

什么是tcp-wrappers

tcp-wrappers是一个验证ip合法性的函数库,其还包括了一个验证ip合法性的守护进程程序。

openssh-server如何使用Tcp-wrapperts

平 时,tcp-wrappers都是和xinetd或者inetd一起工作,xinetd调用tcp-wrappers来进行IP合法性的检查。而sshd 则不同,虽然其也可以工作在xinetd后面,但是在独立运行的时候,sshd依然可以使用tcp-wrappers来进行ip合法性的验证。看下面的代 码(截取至sshd.c第942-957)

#ifdef LIBWRAP

/* XXX LIBWRAP noes not know about IPv6 */

{

struct request_info req;

request_init(&req, RQ_DAEMON, av0, RQ_FILE, sock_in, NULL);

fromhost(&req);

if (!hosts_access(&req)) {

close(sock_in);

close(sock_out);

refuse(&req);

}

/*XXX IPv6 verbose("Connection from %.500s port %d", eval_client(&req), remote_port); */

}#endif

/* LIBWRAP */

其中的host_access就是Tcp-wrapperts的api,其功能就是判断进来的ip是否可以访问sshd。如果返回false,则close掉socket_in,换句话说,要使用tcp-Wrappert,只需要这么一个函数就足够了。

而host_access API则查找用户定义好的hosts.allow和hosts.deny。这两个文件的位置可以在编译Tcp-Wrappert的时候指定,一般的发行版都把这两个文件给放到了/etc下面。

Tcp-wrapperts自己如何工作

这 些代码在host_access.c里面,其中host_access这个函数要查找两个表,一个是hosts.allow,一个是 hosts.deny。如果在hosts.allow里面,待验证ip是合法的,则返回YES这个结果;如果hosts.allow匹配不通过,则在 hosts.deny里面匹配,如果匹配通过,则返回NO;默认返回YES。参考下面的代码。

int hosts_access(request)

struct request_info *request;

{

int verdict;

if (resident <= 0)

resident++;

verdict = setjmp(tcpd_buf);

if (verdict != 0)

return (verdict == AC_PERMIT);

if (table_match(hosts_allow_table, request))

return (YES);

if (table_match(hosts_deny_table, request))

return (NO);

return (YES);

}

在这个文件里面,还有两个重要的变量。就是

char *hosts_allow_table = HOSTS_ALLOW;

char *hosts_deny_table = HOSTS_DENY;

这两个变量指定了这个函数库所需要的hosts.allow和hosts.deny的位置,它们通过HOST_ALLOW 和 HOSTS_DENY这两个宏得到路径,而这些都会在编译的时候指定,运行时无法修改。这也算是小小的不便吧。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有