(编辑:jimmy 日期: 2024/12/23 浏览:2)
go语言的ssh包居然不支持密码过期重置的功能!
版本:go v1.14.1 linux环境下安装的。
ssh包:git clone https://github.com/golang/crypto.git
是2020年4月1号左右下载的。
先描述一下问题的现象,以及必须得解决这个问题的原因:
正常的ssh客户端,如果密码过期了,或者不符合密码规则,在登陆的时候终端都会提示一段话,比如过期之类的。然后会提示你在终端输入旧密码,再输入新密码,然后确认,从而完成密码修改。
然而用这个ssh包,执行ssh.Dial
的时候,如果遇到密码过期,这个函数会直接返回一个错误,并不会给你修改新密码的机会!
而我的项目恰恰需要这个功能。因为我的项目是服务器通过ssh客户端推送脚本到一个设备,其中就有修改密码的脚本,目的就是想修改目标设备的密码。如果该设备的密码没有过期,我还可以通过旧密码登陆上,然后执行修改密码的脚本。但是如果密码过期,则在ssh登陆的时候就会提示修改密码,如果像go语言这样直接返回失败,我就没法修改成功密码了。而其他语言或者终端软件,都有重置密码这个功能。我认为这可能是go语言太年轻了,没有完善这个功能的原因吧(至少我没有找到)。
再说一下解决的方法和原理:
我是自己修改了ssh包中的client_auth.c
文件解决的。
具体的修改是方法是增加了一个自定义的认证方式changePassword,来代替后面要讲的“password”认证,并实现规定的Auth方法和method方法。这两个方法是ssh包里规定必须要实现的,只有实现了这两个方法,才算是实现了auth接口,才能作为ssh client的一种配置去连接ssh服务器。其实我也可以直接修改“password”的代码,但是由于不太敢动,所以重新写了一个,它的还保留着。~~~~
ssh中之前就定义好了几个同样的类型,代表认证方式,包括“password”,“publickey”,"keyboardinactive","gcc"这几个。这几种都是按照ssh协议规定来的。参考的文档是rfc4252。
正常的ssh连接输入用户名密码的方式,走的都是“password”这个认证方式,包括密码过期需要重置,也是走这个认证方式。每个认证方式都会实现Auth这个接口,这个接口会发送密码,然后接收服务端的响应。问题就出现在这个实现上!如果密码过期,服务器会响应一个change password的响应,这个响应报文在rfc4252中是有明确规定的。
但是go语言的ssh包居然不会去识别这种响应!直接返回失败!这个太坑了!
于是我自己的认证方式changePassword的Auth实现上,增加了对这种响应的识别,并仍然根据rfc4252文档规定的后续发送报文的格式,发送了包含新旧密码的报文。服务端收到这个报文就会重置为新的密码。这样我需要的功能就完成了。
谈谈探索历程:
1.一开始不觉得go语言会这么坑,居然没有按照rfc来实现功能。但是实在没办法,才开始读源码包。网上也没有文章讲解,都是靠着自己一点点的摸索硬着头皮看。
2.刚开始看代码没有看rfc,不知道他那些认证方式怎么来的,密码过期应该走哪种认证方式。我看有一个keyboardinteractive很像是正确答案,因为新旧密码都是需要输入,还有确认,觉得应该是这个认证。于是按照这个做,但是还是各种报错,一度想放弃。结果后来无意中在代码中看到注释,提到了rfc4252,就看了一下,才发现很多功能都是按照这个来实现的,然后发现密码过期走的还是password的认证,不是keyboardinteractive这个。~~~~
总结