go语言的ssh包居然不支持密码过期重置的功能！

版本：go v1.14.1 linux环境下安装的。

ssh包：git clone https://github.com/golang/crypto.git

是2020年4月1号左右下载的。

先描述一下问题的现象，以及必须得解决这个问题的原因：

正常的ssh客户端，如果密码过期了，或者不符合密码规则，在登陆的时候终端都会提示一段话，比如过期之类的。然后会提示你在终端输入旧密码，再输入新密码，然后确认，从而完成密码修改。

然而用这个ssh包，执行ssh.Dial的时候，如果遇到密码过期，这个函数会直接返回一个错误，并不会给你修改新密码的机会！

而我的项目恰恰需要这个功能。因为我的项目是服务器通过ssh客户端推送脚本到一个设备，其中就有修改密码的脚本，目的就是想修改目标设备的密码。如果该设备的密码没有过期，我还可以通过旧密码登陆上，然后执行修改密码的脚本。但是如果密码过期，则在ssh登陆的时候就会提示修改密码，如果像go语言这样直接返回失败，我就没法修改成功密码了。而其他语言或者终端软件，都有重置密码这个功能。我认为这可能是go语言太年轻了，没有完善这个功能的原因吧(至少我没有找到)。

再说一下解决的方法和原理：

我是自己修改了ssh包中的client_auth.c文件解决的。

具体的修改是方法是增加了一个自定义的认证方式changePassword，来代替后面要讲的“password”认证，并实现规定的auth方法和method方法。这两个方法是ssh包里规定必须要实现的，只有实现了这两个方法，才算是实现了AuthMethod接口，才能作为ssh client的一种配置去连接ssh服务器。其实我也可以直接修改“password”的代码，但是由于不太敢动，所以重新写了一个，它的还保留着。~~~~

接口定义在client_auth.go中：

type AuthMethod interface {

auth(session []byte, user string, p packetConn, rand io.Reader) (authResult, []string, error)

method() string

}

ssh包中之前就定义好了几种认证方式，包括:

“none”

“Password”

“Publickeys”

"KeyboardInteractive"

"retryableAuthMethod"

"gssAPIWithMICCallback"

这几个类型都实现了刚才提到的AuthMethod接口。而我们在写代码连接ssh服务器之前，也必须使用其中的一种认证。

通常的ssh连接输入用户名密码的方式，走的都是“Password”这个认证方式，包括密码过期需要重置，也是走这个认证方式。在它实现AuthMethod接口的auth这个方法里，会先发送密码到ssh服务端，然后接收服务端的响应。问题就出现在这个对响应的解析上！如果密码过期，服务器会响应一个change password的报文，这个响应报文在rfc4252中是有明确规定的，格式如下：

但是go语言的ssh包居然不会去识别这种响应！直接返回失败！这个太坑了！具体原因如下：

client_auth.go文件中，passwordCallback.auth最后调用handleAuthResponse：

func handleAuthResponse(c packetConn) (authResult, []string, error) {

for {

packet, err := c.readPacket()

if err != nil {

return authFailure, nil, err

}

switch packet[0] {

case msgUserAuthBanner:

if err := handleBannerResponse(c, packet); err != nil {

return authFailure, nil, err

}

case msgUserAuthFailure:

var msg userAuthFailureMsg

if err := Unmarshal(packet, &msg); err != nil {

return authFailure, nil, err

}

if msg.PartialSuccess {

return authPartialSuccess, msg.Methods, nil

}

return authFailure, msg.Methods, nil

case msgUserAuthSuccess:

return authSuccess, nil, nil

default:

return authFailure, nil, unexpectedMessageError(msgUserAuthSuccess, packet\[0\])

}

}

}

可以看到，对响应的解析包括三种，它们对应的响应码数字分别是

msgUserAuthFailure ： 51

msgUserAuthSuccess ： 52

msgUserAuthBanner ： 53

而上文贴图中提到的，密码过期返回的响应码是60，不在这几个结果中，按照流程，会走default，返回一个错误并结束。

于是我在自己添加的认证方式changePassword的auth实现中，增加了对这种响应的识别，并仍然根据rfc4252文档规定的后续发送报文的格式，发送了包含新旧密码的报文。服务端收到这个报文就会重置为新的密码。这样我需要的功能就完成了。

添加的主要代码如下：

type userAuthInfoRequestChMsg struct {

User string `sshtype:"60"`

Prompts string

}

type changePassword struct{

pwd string

newPwd string

}

func (cb changePassword) auth(session []byte, user string, c packetConn, rand io.Reader) (authResult, []string, error) {

type passwordAuthMsg struct {

User string `sshtype:"50"`

Service string

Method string

Reply bool

Password string

}

pw := cb.pwd

nPw := cb.newPwd

// REVIEW NOTE: is there a need to support skipping a password attempt?

// The program may only find out that the user doesn't have a password

// when prompting.

if err := c.writePacket(Marshal(&passwordAuthMsg{

User: user,

Service: serviceSSH,

Method: cb.method(),

Reply: false,

Password: pw,

})); err != nil {

return authFailure, nil, err

}

for {

packet, err := c.readPacket()

if err != nil {

return authFailure, nil, err

}

switch packet[0] {

case msgUserAuthBanner:

if err := handleBannerResponse(c, packet); err != nil {

return authFailure, nil, err

}

case msgUserAuthInfoRequest:

// OK

case msgUserAuthFailure:

var msg userAuthFailureMsg

if err := Unmarshal(packet, &msg); err != nil {

return authFailure, nil, err

}

if msg.PartialSuccess {

return authPartialSuccess, msg.Methods, nil

}

return authFailure, msg.Methods, nil

case msgUserAuthSuccess:

return authSuccess, nil, nil

default:

return authFailure, nil, unexpectedMessageError(msgUserAuthSuccess, packet[0])

}

var msg userAuthInfoRequestChMsg

if err := Unmarshal(packet, &msg); err != nil {

return authFailure, nil, err

}

fmt.Println("msg:",msg.Prompts)

type changePasswordAuthMsg struct {

User string `sshtype:"50"`

Service string

Method string

Reply bool

OldPassword string

NewPassword string

}

if err := c.writePacket(Marshal(&changePasswordAuthMsg{

User: user,

Service: serviceSSH,

Method: cb.method(),

Reply: true,

OldPassword: pw,

NewPassword: nPw,

})); err != nil {

return authFailure, nil, err

}

}

}

func (cb changePassword) method() string {

return "password"

}

谈谈探索历程：

1.一开始不觉得go语言会这么坑，居然没有按照rfc来实现功能。但是实在没办法，才开始读源码包。网上也没有文章讲解，都是靠着自己一点点的摸索硬着头皮看。

2.刚开始看代码没有看rfc，不知道他那些认证方式怎么来的，密码过期应该走哪种认证方式。我看有一个keyboardinteractive很像是正确答案，因为新旧密码都是需要输入，还有确认，觉得应该是这个认证。于是按照这个做，但是还是各种报错，一度想放弃。结果后来无意中在代码中看到注释，提到了rfc4252，就看了一下，才发现很多功能都是按照这个来实现的，然后发现密码过期走的还是password的认证，不是keyboardinteractive这个。~~~~