OpenVAS-Scanner中SSH空密码密钥认证问题的技术分析

问题背景

在OpenVAS-Scanner项目的实际使用中，发现当用户尝试通过Scanner API创建扫描任务时，如果使用无密码短语的SSH密钥进行认证，将密码字段设置为空字符串会导致扫描任务无法正常启动。这是一个典型的认证流程处理缺陷，需要从技术层面进行深入分析。

问题现象

当用户通过Scanner API提交扫描请求时，如果使用以下格式的SSH凭据：

"credentials": [
    {
        "service": "ssh",
        "port": 22,
        "usk": {
            "username": "user",
            "password": "",
            "private": "ssh-key..."
        }
    }
]

系统会出现两种异常情况：

1. 当password字段为空字符串时：

   • 扫描任务会被存储
   • 但启动命令发送后会报错："storage error occurred: serialization error"
   • 扫描任务状态停滞，无法进入运行状态

2. 当完全省略password字段时：

   • 请求会被直接拒绝
   • 返回错误："missing field password at line 1 column 799"

技术分析

1. 输入验证机制缺陷

从技术实现来看，OpenVAS-Scanner的认证处理存在以下问题：

• 密码字段被标记为非必填项（根据API schema）
• 但实际上后端代码强制要求该字段存在
• 对空字符串的处理逻辑不完善

这种前后端验证不一致的情况是典型的接口设计缺陷。

2. 序列化处理异常

当密码为空字符串时出现的序列化错误表明：

• 后端可能尝试对空密码进行某种加密或编码处理
• 处理过程中没有考虑空字符串的特殊情况
• 导致序列化过程失败

3. 认证流程中断

由于序列化失败，整个认证流程被中断：

• 扫描任务无法正常初始化
• 无法将任务传递给ospd-openvas处理
• 最终导致任务停滞

临时解决方案

目前可用的临时解决方案有两种：

1. 对于无密码短语的SSH密钥：

   • 仍然提供password字段
   • 但可以填入任意字符串（如单个空格）
   • 这样能绕过验证，同时不影响实际认证

2. 修改SSH密钥：

   • 为密钥设置密码短语
   • 然后在password字段填入真实的密码短语

问题本质

这个问题反映了以下几个深层次的设计问题：

1. 接口契约不明确：API文档与实际实现存在差异
2. 边界条件处理不足：没有充分考虑空密码等特殊情况
3. 错误处理不完善：序列化失败没有提供有意义的错误信息

建议的修复方向

从技术实现角度，建议进行以下改进：

1. 统一验证逻辑：

   • 明确password字段是否为必填项
   • 保持文档与实际代码一致

2. 完善空值处理：

   • 明确区分"无密码"和"空密码"两种情况
   • 对空字符串进行特殊处理

3. 增强错误提示：

   • 提供更明确的错误信息
   • 帮助用户理解问题原因

4. 认证流程优化：

   • 在早期阶段验证凭据有效性
   • 避免无效凭据进入任务队列

总结

OpenVAS-Scanner中SSH空密码密钥认证问题虽然表现形式简单，但反映了接口设计和实现中的重要缺陷。作为安全扫描工具，认证处理的健壮性尤为重要。建议用户在遇到类似问题时采用临时解决方案，并期待后续版本能从根本上修复这一问题。

对于开发者而言，这个案例也提醒我们：在实现安全相关的功能时，需要特别关注边界条件的处理，确保接口契约的明确性，并提供有意义的错误反馈。