2.标准C库 (1)标准I/O *fopen():打开一个文件供读或写,安全方面的考虑同open()一样. *fread(),getc(),fgetc(),gets(),scanf()和fscanf():从已由fopen()打 开供读的文件中读取信息.它们并不关心文件的存取许可.这一点 同read(). *fwrite(),put(),fputc(),puts,fputs(),printf(),fprintf():写信息到 已由fopen()打开供写的文件中.它们也不关心文件的存取许可. 同write(). *getpass():从终端上读至多8个字符长的口令,不回显用户输入的字符. 需要一个参数: 提示信息. 该子程序将提示信息显示在终端上,禁止字符回显功能,从/dev/tty读取口 令,然后再恢复字符回显功能,返回刚敲入的口令的指针. *popen():将在(5)运行shell中介绍. (2)/etc/passwd处理 有一组子程序可对/etc/passwd文件进行方便的存取,可对文件读取到入口 项或写新的入口项或更新等等. *getpwuid():从/etc/passwd文件中获取指定的UID的入口项. *getpwnam():对于指定的登录名,在/etc/passwd文件检索入口项. 以上两个子程序返回一指向passwd结构的指针,该结构定义在 /usr/include/pwd.h中,定义如下: struct passwd { char * pw_name; /* 登录名 */ char * pw_passwd; /* 加密后的口令 */ uid_t pw_uid; /* UID */ gid_t pw_gid; /* GID */ char * pw_age; /* 代理信息 */ char * pw_comment; /* 注释 */ char * pw_gecos; char * pw_dir; /* 主目录 */ char * pw_shell; /* 使用的shell */ }; *getpwent(),setpwent(),endpwent():对口令文件作后续处理. 首次调用getpwent(),打开/etc/passwd并返回指向文件中第一个入口项的 指针,保持调用之间文件的打开状态. 再调用getpwent()可顺序地返回口令文件中的各入口项. 调用setpwent()把口令文件的指针重新置为文件的开始处. 使用完口令文件后调用endpwent()关闭口令文件. *putpwent():修改或增加/etc/passwd文件中的入口项. 此子程序将入口项写到一个指定的文件中,一般是一个临时文件,直接写口 令文件是很危险的.最好在执行前做文件封锁,使两个程序不能同时写一个 文件.算法如下: . 建立一个独立的临时文件,即/etc/passnnn,nnn是PID号. . 建立新产生的临时文件和标准临时文件/etc/ptmp的链,若建链失败, 则为有人正在使用/etc/ptmp,等待直到/etc/ptmp可用为止或退出. . 将/etc/passwd拷贝到/etc/ptmp,可对此文件做任何修改. . 将/etc/passwd移到备份文件/etc/opasswd. . 建立/etc/ptmp和/etc/passwd的链. . 断开/etc/passnnn与/etc/ptmp的链. 注意:临时文件应建立在/etc目录,才能保证文件处于同一文件系统中,建 链才能成功,且临时文件不会不安全.此外,若新文件已存在,即便建 链的是root用户,也将失败,从而保证了一旦临时文件成功地建链后 没有人能再插进来干扰.当然,使用临时文件的程序应确保清除所有 临时文件,正确地捕捉信号. (3)/etc/group的处理 有一组类似于前面的子程序处理/etc/group的信息,使用时必须用include 语句将/usr/include/grp.h文件加入到自己的程序中.该文件定义了group 结构,将由getgrnam(),getgrgid(),getgrent()返回group结构指针. *getgrnam():在/etc/group文件中搜索指定的小组名,然后返回指向小组入 口项的指针. *getgrgid():类似于前一子程序,不同的是搜索指定的GID. *getgrent():返回group文件中的下一个入口项. *setgrent():将group文件的文件指针恢复到文件的起点. *endgrent():用于完成工作后,关闭group文件. *getuid():返回调用进程的实际UID. *getpruid():以getuid()返回的实际UID为参数,确定与实际UID相应的登录 名,或指定一UID为参数. *getlogin():返回在终端上登录的用户的指针. 系统依次检查STDIN,STDOUT,STDERR是否与终端相联,与终端相联的标准输 入用于确定终端名,终端名用于查找列于/etc/utmp文件中的用户,该文件 由login维护,由who程序用来确认用户. *cuserid():首先调用getlogin(),若getlogin()返回NULL指针,再调用 getpwuid(getuid()). *以下为命令: *logname:列出登录进终端的用户名. *who am i:显示出运行这条命令的用户的登录名. *id:显示实际的UID和GID(若有效的UID和GID和实际的不同时也显示有效的 UID和GID)和相应的登录名. (4)加密子程序 1977年1月,NBS宣布一个用于美国联邦政府ADP系统的网络的标准加密法:数 据加密标准即DES用于非机密应用方面.DES一次处理64BITS的块,56位的加 密键. *setkey(),encrypt():提供用户对DES的存取. 此两子程序都取64BITS长的字符数组,数组中的每个元素代表一个位,为0 或1.setkey()设置将按DES处理的加密键,忽略每第8位构成一个56位的加 密键.encrypt()然后加密或解密给定的64BITS长的一块,加密或解密取决 于该子程序的第二个变元,0:加密 1:解密. *crypt():是UNIX系统中的口令加密程序,也被/usr/lib/makekey命令调用. crypt()子程序与crypt命令无关,它与/usr/lib/makekey一样取8个字符长 的关键词,2个salt字符.关键词送给setkey(),salt字符用于混合encrypt() 中的DES算法,最终调用encrypt()重复25次加密一个相同的字符串. 返回加密后的字符串指针. (5)运行shell *system():运行/bin/sh执行其参数指定的命令,当指定命令完成时返回. *popen():类似于system(),不同的是命令运行时,其标准输入或输出联到由 popen()返回的文件指针. 二者都调用fork(),exec(),popen()还调用pipe(),完成各自的工作,因而 fork()和exec()的安全方面的考虑开始起作用. ,自己战胜自己是最可贵的胜利。
网络安全编程技术(二)
