go语言ssh客户端解决密码过期问题
go语言的ssh包居然不支持密码过期重置的功能!
版本:go v1.14.1 linux环境下安装的。
ssh包:git clone https://github.com/golang/crypto.git
是2020年4月1号左右下载的。
先描述一下问题的现象,以及必须得解决这个问题的原因:
正常的ssh客户端,如果密码过期了,或者不符合密码规则,在登陆的时候终端都会提示一段话,比如过期之类的。然后会提示你在终端输入旧密码,再输入新密码,然后确认,从而完成密码修改。
然而用这个ssh包,执行ssh.Dial的时候,如果遇到密码过期,这个函数会直接返回一个错误,并不会给你修改新密码的机会!
而我的项目恰恰需要这个功能。因为我的项目是服务器通过ssh客户端推送脚本到一个设备,其中就有修改密码的脚本,目的就是想修改目标设备的密码。如果该设备的密码没有过期,我还可以通过旧密码登陆上,然后执行修改密码的脚本。但是如果密码过期,则在ssh登陆的时候就会提示修改密码,如果像go语言这样直接返回失败,我就没法修改成功密码了。而其他语言或者终端软件,都有重置密码这个功能。我认为这可能是go语言太年轻了,没有完善这个功能的原因吧(至少我没有找到)。
再说一下解决的方法和原理:
我是自己修改了ssh包中的client_auth.c文件解决的。
具体的修改是方法是增加了一个自定义的认证方式changePassword,来代替后面要讲的“password”认证,并实现规定的auth方法和method方法。这两个方法是ssh包里规定必须要实现的,只有实现了这两个方法,才算是实现了AuthMethod接口,才能作为ssh client的一种配置去连接ssh服务器。其实我也可以直接修改“password”的代码,但是由于不太敢动,所以重新写了一个,它的还保留着。~~~~
接口定义在client_auth.go中:
type AuthMethod interface {
auth(session []byte, user string, p packetConn, rand io.Reader) (authResult, []string, error)
method() string
}ssh包中之前就定义好了几种认证方式,包括:
“none”
“Password”
“Publickeys”
"KeyboardInteractive"
"retryableAuthMethod"
"gssAPIWithMICCallback"
这几个类型都实现了刚才提到的AuthMethod接口。而我们在写代码连接ssh服务器之前,也必须使用其中的一种认证。
通常的ssh连接输入用户名密码的方式,走的都是“Password”这个认证方式,包括密码过期需要重置,也是走这个认证方式。在它实现AuthMethod接口的auth这个方法里,会先发送密码到ssh服务端,然后接收服务端的响应。问题就出现在这个对响应的解析上!如果密码过期,服务器会响应一个change password的报文,这个响应报文在rfc4252中是有明确规定的,格式如下:
但是go语言的ssh包居然不会去识别这种响应!直接返回失败!这个太坑了!具体原因如下:
client_auth.go文件中,passwordCallback.auth最后调用handleAuthResponse:
func handleAuthResponse(c packetConn) (authResult, []string, error) {
for {
packet, err := c.readPacket()
if err != nil {
return authFailure, nil, err
}
switch packet[0] {
case msgUserAuthBanner:
if err := handleBannerResponse(c, packet); err != nil {
return authFailure, nil, err
}
case msgUserAuthFailure:
var msg userAuthFailureMsg
if err := Unmarshal(packet, &msg); err != nil {
return authFailure, nil, err
}
if msg.PartialSuccess {
return authPartialSuccess, msg.Methods, nil
}
return authFailure, msg.Methods, nil
case msgUserAuthSuccess:
return authSuccess, nil, nil
default:
return authFailure, nil, unexpectedMessageError(msgUserAuthSuccess, packet\[0\])
}
}
}可以看到,对响应的解析包括三种,它们对应的响应码数字分别是
msgUserAuthFailure : 51
msgUserAuthSuccess : 52
msgUserAuthBanner : 53
而上文贴图中提到的,密码过期返回的响应码是60,不在这几个结果中,按照流程,会走default,返回一个错误并结束。
于是我在自己添加的认证方式changePassword的auth实现中,增加了对这种响应的识别,并仍然根据rfc4252文档规定的后续发送报文的格式,发送了包含新旧密码的报文。服务端收到这个报文就会重置为新的密码。这样我需要的功能就完成了。
添加的主要代码如下:
type userAuthInfoRequestChMsg struct {
User string `sshtype:"60"`
Prompts string
}
type changePassword struct{
pwd string
newPwd string
}
func (cb changePassword) auth(session []byte, user string, c packetConn, rand io.Reader) (authResult, []string, error) {
type passwordAuthMsg struct {
User string `sshtype:"50"`
Service string
Method string
Reply bool
Password string
}
pw := cb.pwd
nPw := cb.newPwd
// REVIEW NOTE: is there a need to support skipping a password attempt?
// The program may only find out that the user doesn't have a password
// when prompting.
if err := c.writePacket(Marshal(&passwordAuthMsg{
User: user,
Service: serviceSSH,
Method: cb.method(),
Reply: false,
Password: pw,
})); err != nil {
return authFailure, nil, err
}
for {
packet, err := c.readPacket()
if err != nil {
return authFailure, nil, err
}
switch packet[0] {
case msgUserAuthBanner:
if err := handleBannerResponse(c, packet); err != nil {
return authFailure, nil, err
}
case msgUserAuthInfoRequest:
// OK
case msgUserAuthFailure:
var msg userAuthFailureMsg
if err := Unmarshal(packet, &msg); err != nil {
return authFailure, nil, err
}
if msg.PartialSuccess {
return authPartialSuccess, msg.Methods, nil
}
return authFailure, msg.Methods, nil
case msgUserAuthSuccess:
return authSuccess, nil, nil
default:
return authFailure, nil, unexpectedMessageError(msgUserAuthSuccess, packet[0])
}
var msg userAuthInfoRequestChMsg
if err := Unmarshal(packet, &msg); err != nil {
return authFailure, nil, err
}
fmt.Println("msg:",msg.Prompts)
type changePasswordAuthMsg struct {
User string `sshtype:"50"`
Service string
Method string
Reply bool
OldPassword string
NewPassword string
}
if err := c.writePacket(Marshal(&changePasswordAuthMsg{
User: user,
Service: serviceSSH,
Method: cb.method(),
Reply: true,
OldPassword: pw,
NewPassword: nPw,
})); err != nil {
return authFailure, nil, err
}
}
}
func (cb changePassword) method() string {
return "password"
}谈谈探索历程:
1.一开始不觉得go语言会这么坑,居然没有按照rfc来实现功能。但是实在没办法,才开始读源码包。网上也没有文章讲解,都是靠着自己一点点的摸索硬着头皮看。
2.刚开始看代码没有看rfc,不知道他那些认证方式怎么来的,密码过期应该走哪种认证方式。我看有一个keyboardinteractive很像是正确答案,因为新旧密码都是需要输入,还有确认,觉得应该是这个认证。于是按照这个做,但是还是各种报错,一度想放弃。结果后来无意中在代码中看到注释,提到了rfc4252,就看了一下,才发现很多功能都是按照这个来实现的,然后发现密码过期走的还是password的认证,不是keyboardinteractive这个。~~~~
您可能感兴趣的文章:
go语言ssh客户端解决密码过期问题
避免SSH连接因超时闲置断开
Go语言自定义自己的SSH-Server
centos下putty连接vps
Go填坑之将Private仓库用作module依赖
linux上ssh配置指南
Go语言发展历史、核心、特性及学习路线
Golang基础第五篇——golang的gRPC
一.基于webrtc的远程控制系统设计与实现 学习
25个必须记住的ssh命令