AuthenticationLogger.java

  1. /*
  2.  * Copyright (C) 2022 Thomas Wolf <thomas.wolf@paranor.ch> and others
  3.  *
  4.  * This program and the accompanying materials are made available under the
  5.  * terms of the Eclipse Distribution License v. 1.0 which is available at
  6.  * https://www.eclipse.org/org/documents/edl-v10.php.
  7.  *
  8.  * SPDX-License-Identifier: BSD-3-Clause
  9.  */
  10. package org.eclipse.jgit.internal.transport.sshd;

  12. import static org.eclipse.jgit.internal.transport.sshd.CachingKeyPairProvider.getKeyId;

  14. import java.security.KeyPair;
  15. import java.text.MessageFormat;
  16. import java.util.ArrayList;
  17. import java.util.Collections;
  18. import java.util.List;

  20. import org.apache.sshd.client.auth.password.PasswordAuthenticationReporter;
  21. import org.apache.sshd.client.auth.password.UserAuthPassword;
  22. import org.apache.sshd.client.auth.pubkey.PublicKeyAuthenticationReporter;
  23. import org.apache.sshd.client.auth.pubkey.UserAuthPublicKey;
  24. import org.apache.sshd.client.session.ClientSession;
  25. import org.apache.sshd.common.config.keys.KeyUtils;

  27. /**
  28.  * Provides a log of authentication attempts for a {@link ClientSession}.
  29.  */
  30. public class AuthenticationLogger {

  32.     private final List<String> messages = new ArrayList<>();

  34.     // We're interested in this log only in the failure case, so we don't need
  35.     // to log authentication success.

  37.     private final PublicKeyAuthenticationReporter pubkeyLogger = new PublicKeyAuthenticationReporter() {

  39.         private boolean hasAttempts;

  41.         @Override
  42.         public void signalAuthenticationAttempt(ClientSession session,
  43.                 String service, KeyPair identity, String signature)
  44.                 throws Exception {
  45.             hasAttempts = true;
  46.             String message;
  47.             if (identity.getPrivate() == null) {
  48.                 // SSH agent key
  49.                 message = MessageFormat.format(
  50.                         SshdText.get().authPubkeyAttemptAgent,
  51.                         UserAuthPublicKey.NAME, KeyUtils.getKeyType(identity),
  52.                         getKeyId(session, identity), signature);
  53.             } else {
  54.                 message = MessageFormat.format(
  55.                         SshdText.get().authPubkeyAttempt,
  56.                         UserAuthPublicKey.NAME, KeyUtils.getKeyType(identity),
  57.                         getKeyId(session, identity), signature);
  58.             }
  59.             messages.add(message);
  60.         }

  62.         @Override
  63.         public void signalAuthenticationExhausted(ClientSession session,
  64.                 String service) throws Exception {
  65.             String message;
  66.             if (hasAttempts) {
  67.                 message = MessageFormat.format(
  68.                         SshdText.get().authPubkeyExhausted,
  69.                         UserAuthPublicKey.NAME);
  70.             } else {
  71.                 message = MessageFormat.format(SshdText.get().authPubkeyNoKeys,
  72.                         UserAuthPublicKey.NAME);
  73.             }
  74.             messages.add(message);
  75.             hasAttempts = false;
  76.         }

  78.         @Override
  79.         public void signalAuthenticationFailure(ClientSession session,
  80.                 String service, KeyPair identity, boolean partial,
  81.                 List<String> serverMethods) throws Exception {
  82.             String message;
  83.             if (partial) {
  84.                 message = MessageFormat.format(
  85.                         SshdText.get().authPubkeyPartialSuccess,
  86.                         UserAuthPublicKey.NAME, KeyUtils.getKeyType(identity),
  87.                         getKeyId(session, identity), serverMethods);
  88.             } else {
  89.                 message = MessageFormat.format(
  90.                         SshdText.get().authPubkeyFailure,
  91.                         UserAuthPublicKey.NAME, KeyUtils.getKeyType(identity),
  92.                         getKeyId(session, identity));
  93.             }
  94.             messages.add(message);
  95.         }
  96.     };

  98.     private final PasswordAuthenticationReporter passwordLogger = new PasswordAuthenticationReporter() {

  100.         private int attempts;

  102.         @Override
  103.         public void signalAuthenticationAttempt(ClientSession session,
  104.                 String service, String oldPassword, boolean modified,
  105.                 String newPassword) throws Exception {
  106.             attempts++;
  107.             String message;
  108.             if (modified) {
  109.                 message = MessageFormat.format(
  110.                         SshdText.get().authPasswordChangeAttempt,
  111.                         UserAuthPassword.NAME, Integer.valueOf(attempts));
  112.             } else {
  113.                 message = MessageFormat.format(
  114.                         SshdText.get().authPasswordAttempt,
  115.                         UserAuthPassword.NAME, Integer.valueOf(attempts));
  116.             }
  117.             messages.add(message);
  118.         }

  120.         @Override
  121.         public void signalAuthenticationExhausted(ClientSession session,
  122.                 String service) throws Exception {
  123.             String message;
  124.             if (attempts > 0) {
  125.                 message = MessageFormat.format(
  126.                         SshdText.get().authPasswordExhausted,
  127.                         UserAuthPassword.NAME);
  128.             } else {
  129.                 message = MessageFormat.format(
  130.                         SshdText.get().authPasswordNotTried,
  131.                         UserAuthPassword.NAME);
  132.             }
  133.             messages.add(message);
  134.             attempts = 0;
  135.         }

  137.         @Override
  138.         public void signalAuthenticationFailure(ClientSession session,
  139.                 String service, String password, boolean partial,
  140.                 List<String> serverMethods) throws Exception {
  141.             String message;
  142.             if (partial) {
  143.                 message = MessageFormat.format(
  144.                         SshdText.get().authPasswordPartialSuccess,
  145.                         UserAuthPassword.NAME, serverMethods);
  146.             } else {
  147.                 message = MessageFormat.format(
  148.                         SshdText.get().authPasswordFailure,
  149.                         UserAuthPassword.NAME);
  150.             }
  151.             messages.add(message);
  152.         }
  153.     };

  155.     private final GssApiWithMicAuthenticationReporter gssLogger = new GssApiWithMicAuthenticationReporter() {

  157.         private boolean hasAttempts;

  159.         @Override
  160.         public void signalAuthenticationAttempt(ClientSession session,
  161.                 String service, String mechanism) {
  162.             hasAttempts = true;
  163.             String message = MessageFormat.format(
  164.                     SshdText.get().authGssApiAttempt,
  165.                     GssApiWithMicAuthFactory.NAME, mechanism);
  166.             messages.add(message);
  167.         }

  169.         @Override
  170.         public void signalAuthenticationExhausted(ClientSession session,
  171.                 String service) {
  172.             String message;
  173.             if (hasAttempts) {
  174.                 message = MessageFormat.format(
  175.                         SshdText.get().authGssApiExhausted,
  176.                         GssApiWithMicAuthFactory.NAME);
  177.             } else {
  178.                 message = MessageFormat.format(
  179.                         SshdText.get().authGssApiNotTried,
  180.                         GssApiWithMicAuthFactory.NAME);
  181.             }
  182.             messages.add(message);
  183.             hasAttempts = false;
  184.         }

  186.         @Override
  187.         public void signalAuthenticationFailure(ClientSession session,
  188.                 String service, String mechanism, boolean partial,
  189.                 List<String> serverMethods) {
  190.             String message;
  191.             if (partial) {
  192.                 message = MessageFormat.format(
  193.                         SshdText.get().authGssApiPartialSuccess,
  194.                         GssApiWithMicAuthFactory.NAME, mechanism,
  195.                         serverMethods);
  196.             } else {
  197.                 message = MessageFormat.format(
  198.                         SshdText.get().authGssApiFailure,
  199.                         GssApiWithMicAuthFactory.NAME, mechanism);
  200.             }
  201.             messages.add(message);
  202.         }
  203.     };

  205.     /**
  206.      * Creates a new {@link AuthenticationLogger} and configures the
  207.      * {@link ClientSession} to report authentication attempts through this
  208.      * instance.
  209.      *
  210.      * @param session
  211.      *            to configure
  212.      */
  213.     public AuthenticationLogger(ClientSession session) {
  214.         session.setPublicKeyAuthenticationReporter(pubkeyLogger);
  215.         session.setPasswordAuthenticationReporter(passwordLogger);
  216.         session.setAttribute(
  217.                 GssApiWithMicAuthenticationReporter.GSS_AUTHENTICATION_REPORTER,
  218.                 gssLogger);
  219.         // TODO: keyboard-interactive? sshd 2.8.0 has no callback
  220.         // interface for it.
  221.     }

  223.     /**
  224.      * Retrieves the log messages for the authentication attempts.
  225.      *
  226.      * @return the messages as an unmodifiable list
  227.      */
  228.     public List<String> getLog() {
  229.         return Collections.unmodifiableList(messages);
  230.     }

  232.     /**
  233.      * Drops all previously recorded log messages.
  234.      */
  235.     public void clear() {
  236.         messages.clear();
  237.     }
  238. }
Created with JaCoCo 0.8.7.202105040129