go语言ssh客户端解决密码过期问题

cuidi · · 719 次点击 · · 开始浏览    
这是一个创建于 的文章,其中的信息可能已经有所发展或是发生改变。

go语言的ssh包居然不支持密码过期重置的功能!
版本:go v1.14.1 linux环境下安装的。
ssh包:git clone https://github.com/golang/crypto.git
是2020年4月1号左右下载的。

先描述一下问题的现象,以及必须得解决这个问题的原因:
正常的ssh客户端,如果密码过期了,或者不符合密码规则,在登陆的时候终端都会提示一段话,比如过期之类的。然后会提示你在终端输入旧密码,再输入新密码,然后确认,从而完成密码修改。

然而用这个ssh包,执行ssh.Dial的时候,如果遇到密码过期,这个函数会直接返回一个错误,并不会给你修改新密码的机会!

而我的项目恰恰需要这个功能。因为我的项目是服务器通过ssh客户端推送脚本到一个设备,其中就有修改密码的脚本,目的就是想修改目标设备的密码。如果该设备的密码没有过期,我还可以通过旧密码登陆上,然后执行修改密码的脚本。但是如果密码过期,则在ssh登陆的时候就会提示修改密码,如果像go语言这样直接返回失败,我就没法修改成功密码了。而其他语言或者终端软件,都有重置密码这个功能。我认为这可能是go语言太年轻了,没有完善这个功能的原因吧(至少我没有找到)。

再说一下解决的方法和原理:
我是自己修改了ssh包中的client_auth.c文件解决的。
具体的修改是方法是增加了一个自定义的认证方式changePassword,来代替后面要讲的“password”认证,并实现规定的auth方法和method方法。这两个方法是ssh包里规定必须要实现的,只有实现了这两个方法,才算是实现了AuthMethod接口,才能作为ssh client的一种配置去连接ssh服务器。其实我也可以直接修改“password”的代码,但是由于不太敢动,所以重新写了一个,它的还保留着。~~~~

接口定义在client_auth.go中:

type AuthMethod interface {
    auth(session []byte, user string, p packetConn, rand io.Reader) (authResult, []string, error)
    method() string
}

ssh包中之前就定义好了几种认证方式,包括:
“none”
“Password”
“Publickeys”
"KeyboardInteractive"
"retryableAuthMethod"
"gssAPIWithMICCallback"
这几个类型都实现了刚才提到的AuthMethod接口。而我们在写代码连接ssh服务器之前,也必须使用其中的一种认证。

通常的ssh连接输入用户名密码的方式,走的都是“Password”这个认证方式,包括密码过期需要重置,也是走这个认证方式。在它实现AuthMethod接口的auth这个方法里,会先发送密码到ssh服务端,然后接收服务端的响应。问题就出现在这个对响应的解析上!如果密码过期,服务器会响应一个change password的报文,这个响应报文在rfc4252中是有明确规定的,格式如下:
image.png

image.png
但是go语言的ssh包居然不会去识别这种响应!直接返回失败!这个太坑了!具体原因如下:
client_auth.go文件中,passwordCallback.auth最后调用handleAuthResponse:

func handleAuthResponse(c packetConn) (authResult, []string, error) {
    for {
        packet, err := c.readPacket()
        if err != nil {
            return authFailure, nil, err
        }
        switch packet[0] {
        case msgUserAuthBanner:
            if err := handleBannerResponse(c, packet); err != nil {
                return authFailure, nil, err
            }
        case msgUserAuthFailure:
            var msg userAuthFailureMsg
            if err := Unmarshal(packet, &msg); err != nil {
                return authFailure, nil, err
            }
            if msg.PartialSuccess {
                return authPartialSuccess, msg.Methods, nil
            }
            return authFailure, msg.Methods, nil
        case msgUserAuthSuccess:
            return authSuccess, nil, nil
        default:
            return authFailure, nil, unexpectedMessageError(msgUserAuthSuccess, packet\[0\])
        }
    }
}

可以看到,对响应的解析包括三种,它们对应的响应码数字分别是
msgUserAuthFailure : 51
msgUserAuthSuccess : 52
msgUserAuthBanner : 53
而上文贴图中提到的,密码过期返回的响应码是60,不在这几个结果中,按照流程,会走default,返回一个错误并结束。

于是我在自己添加的认证方式changePassword的auth实现中,增加了对这种响应的识别,并仍然根据rfc4252文档规定的后续发送报文的格式,发送了包含新旧密码的报文。服务端收到这个报文就会重置为新的密码。这样我需要的功能就完成了。

添加的主要代码如下:

type userAuthInfoRequestChMsg struct {
    User               string `sshtype:"60"`
    Prompts                string
}

type changePassword struct{
    pwd    string
    newPwd    string
}

func (cb changePassword) auth(session []byte, user string, c packetConn, rand io.Reader) (authResult, []string, error) {
    type passwordAuthMsg struct {
        User     string `sshtype:"50"`
        Service  string
        Method   string
        Reply    bool
        Password string
    }

    pw := cb.pwd
    nPw := cb.newPwd
    // REVIEW NOTE: is there a need to support skipping a password attempt?
    // The program may only find out that the user doesn't have a password
    // when prompting.

    if err := c.writePacket(Marshal(&passwordAuthMsg{
        User:     user,
        Service:  serviceSSH,
        Method:   cb.method(),
        Reply:    false,
        Password: pw,
    })); err != nil {
        return authFailure, nil, err
    }

    for {
        packet, err := c.readPacket()
        if err != nil {
            return authFailure, nil, err
        }

        switch packet[0] {
        case msgUserAuthBanner:
            if err := handleBannerResponse(c, packet); err != nil {
                return authFailure, nil, err
            }
        case msgUserAuthInfoRequest:
            // OK
        case msgUserAuthFailure:
            var msg userAuthFailureMsg
            if err := Unmarshal(packet, &msg); err != nil {
                return authFailure, nil, err
            }
            if msg.PartialSuccess {
                return authPartialSuccess, msg.Methods, nil
            }
            return authFailure, msg.Methods, nil
        case msgUserAuthSuccess:
            return authSuccess, nil, nil
        default:
            return authFailure, nil, unexpectedMessageError(msgUserAuthSuccess, packet[0])
        }

        var msg userAuthInfoRequestChMsg
        if err := Unmarshal(packet, &msg); err != nil {
            return authFailure, nil, err
        }

        fmt.Println("msg:",msg.Prompts)

        type changePasswordAuthMsg struct {
            User     string `sshtype:"50"`
            Service  string
            Method   string
            Reply    bool
            OldPassword string
            NewPassword string
        }

        if err := c.writePacket(Marshal(&changePasswordAuthMsg{
            User:     user,
            Service:  serviceSSH,
            Method:   cb.method(),
            Reply:    true,
            OldPassword: pw,
            NewPassword: nPw,
        })); err != nil {
            return authFailure, nil, err
        }
    }
}

func (cb changePassword) method() string {
    return "password"
}

谈谈探索历程:
1.一开始不觉得go语言会这么坑,居然没有按照rfc来实现功能。但是实在没办法,才开始读源码包。网上也没有文章讲解,都是靠着自己一点点的摸索硬着头皮看。
2.刚开始看代码没有看rfc,不知道他那些认证方式怎么来的,密码过期应该走哪种认证方式。我看有一个keyboardinteractive很像是正确答案,因为新旧密码都是需要输入,还有确认,觉得应该是这个认证。于是按照这个做,但是还是各种报错,一度想放弃。结果后来无意中在代码中看到注释,提到了rfc4252,就看了一下,才发现很多功能都是按照这个来实现的,然后发现密码过期走的还是password的认证,不是keyboardinteractive这个。~~~~


有疑问加站长微信联系(非本文作者)

本文来自:Segmentfault

感谢作者:cuidi

查看原文:go语言ssh客户端解决密码过期问题

入群交流(和以上内容无关):加入Go大咖交流群,或添加微信:liuxiaoyan-s 备注:入群;或加QQ群:692541889

719 次点击  
加入收藏 微博
暂无回复
添加一条新回复 (您需要 登录 后才能回复 没有账号 ?)
  • 请尽量让自己的回复能够对别人有帮助
  • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`
  • 支持 @ 本站用户;支持表情(输入 : 提示),见 Emoji cheat sheet
  • 图片支持拖拽、截图粘贴等方式上传