SSH技术:插件应用、调试与常见问题解决
1. Tectia插件相关要点
Tectia插件在SSH认证和授权方面有着重要作用,但使用时需注意诸多细节。
-AuthKbdInt.Plugin关键字限制:该关键字只能指定一个插件。若插件要支持多种键盘交互式认证技术,需在初始交互时让用户选择技术,后续轮次再针对特定技术进行跟进查询。
-SecurID插件使用方式:
- 自定义插件可依据Tectia插件协议在服务器和SecurID插件间转发信息。
- 也可重新编译服务器,使其内置对SecurID的支持,从而无需单独的SecurID插件。
-失败重试逻辑:插件不应实现自身的失败重试逻辑,而应简单表明失败,让服务器根据AuthKbdInt.Retries关键字的值管理重试尝试。
-安全问题注意事项:
- 插件程序以SSH服务器的所有权限(通常为root)运行,因此要谨慎编写。需将用户提供的所有数据视为潜在的恶意数据,例如要考虑缓冲区溢出、用于构造文件名的特殊字符等。Perl的“taint mode”有助于检测可能的安全问题。
- 信息泄露是一个更隐蔽的危险。例如,插件在收到服务器的初始参数后,若发现用户名无效就立即失败,这会让远程攻击者在未认证的情况下确定哪些用户名是有效的。更好的做法是始终收集用户的所有信息,收集完成后再做认证决策。当后续交互依赖于先前响应的有效性时,提示的设计可能会很棘手,有时需要使用“假”信息,以使早期回复错误时所有交互看起来合理。
- 即使是认证时间也可
