命令行代理的最佳方法？

Question

我想用 Python 编写一个简单的命令行代理，位于 Telnet/SSH 连接和本地串行接口之间。应用程序应该简单地桥接两者之间的 I/O，但过滤掉某些不允许的字符串（由正则表达式匹配）。 （这适用于路由器/交换机实验室，用户可以远程串行访问这些盒子。）

基本上，客户端与守护程序建立了 Telnet 或 SSH 连接。守护程序将客户端的输入传递出（例如）/dev/ttyS0，并将来自 ttyS0 的输入传递回客户端。但是，我希望能够将来自客户端的某些字符串列入黑名单。例如，不应允许“删除 foo”命令。

我不确定如何最好地解决这个问题。通信必须是异步的；我不能简单地等待回车以允许将缓冲区送出串行接口。将正则表达式与流匹配似乎也很棘手，因为必须拦截以下所有内容：

delete foo(enter)
del foo(enter)
el foo(ctrl+a)d(enter)
dl(left)e(right) foo(enter)

...等等。唯一的实体分隔符是 CR/LF。

我希望有人能指出我正确的方向。我一直在浏览 Python 模块，但到目前为止还没有想到任何东西。

Answer 1

Python 不是我的主要语言，所以我会将这部分答案留给其他人。不过，我做了很多安全工作，我会敦促采用“白名单”方法，而不是“黑名单”方法。换句话说，选择一组安全命令并禁止所有其他命令。这比尝试考虑所有恶意可能性并防范所有这些可能性要容易得多。

Answer 2

您展示的所有示例都以(enter) 结尾，为什么...：

通信必须是异步的；我 不能简单地等马车 返回以允许输入缓冲区 出串口

如果您可以在“输入”之前收集传入数据，并将“编辑”请求（例如示例中的 ctrl-a、左、右）应用于您正在收集的数据，那么您就离开了在内存中“即将发送完成的命令”可以匹配和拒绝或继续发送。

如果您必须逐个字符地进行，则（无缓冲）输入上的.read(1) 将允许您这样做，但审查可能会变得更加成问题；再次，您可以保留到目前为止已发送的已编辑命令的内存图像（即使在发送它们时应用编辑请求），但是当“输入”到达并且您的审查向您显示该命令时会发生什么不允许这样组成——你可以吗？向设备发送多个“删除”以擦除所述命令？或者是否有一个“抛出完整行”的编辑请求可以提供服务？

如果您必须在收到时发送每个字符（在决定点之前不允许累积它们）并且无法删除/擦除已发送的字符，那么任务似乎是不可能的（虽然我不明白“等不及进入”条件，所以也许有希望）。

Answer 3

在考虑了一段时间之后，似乎没有任何实用、可靠的方法来过滤客户输入。我将从另一个角度尝试这个：如果我可以识别来自串行设备的警告消息中的持久模式（例如确认提示），我可能能够可靠地中止。无论如何感谢您的意见！

Answer 4

Fabric 也在做类似的事情。

对于 SSH api，您应该检查 paramiko。