Как настроить telnetd-ssl на сервере Ubuntu в качестве резервной копии для SSH?

348
BlandCorporation

Ошибка, возникающая в, /etc/ssh/sshd_configможет заблокировать пользователей или администраторов на сервере, доступном только через SSH. Telnet SSL - это резервный способ доступа к серверу в таком сценарии. Как настроить сервер Telnet SSL на сервере Ubuntu?

Telnet SSL устанавливается следующим образом:

sudo apt install telnetd-ssl

Когда он установлен, он создает сертификат /etc/telnetd-ssl/telnetd.pem. Когда клиент Telnet SSL пытается подключиться к серверу Telnet SSL, он не принимает сертификат, что приводит к выводу клиента, как показано ниже:

$ telnet-ssl -z secure example.org 23 Trying 127.0.0.1... Connected to example.org. Escape character is '^]'. [SSL - attempting to switch on SSL] [SSL - handshake starting] SSL: Server has a self-signed certificate SSL: unknown issuer: /O=Internet Widgits Pty Ltd/OU=m93p telnetd/CN=example./emailAddress=root@example. SSL: certificate verify failed telnet: Unable to ssl_connect to remote host Connection closed.

Как это можно решить?

1
Ошибка в `sshd_config` не повлияет на существующие соединения, что упрощает тестирование изменений, открывая второй сеанс после перезапуска` sshd`. Daniel B 6 лет назад 0

1 ответ на вопрос

0
jww

Сервер SSL Telnet не принимает сертификат, что приводит к выводу клиента, как показано ниже:

$ telnet-ssl -z secure example.org 23 ... SSL: Server has a self-signed certificate SSL: unknown issuer: /O=Internet Widgits Pty Ltd/OU=m93p telnetd/CN=example./emailAddress=root@example. SSL: certificate verify failed

Согласно telnet-ssl(1)справочным страницам, похоже, вам нужна -z cert=<cert file>опция.

-z cert=<cert file>необходим, потому что Эмитент (Subject DN = /O=Internet Widgits Pty Ltd/OU=m93p telnetd/CN=example./emailAddress=root@example) не является доверенным системой. То есть сертификат не находится в /etc/ssl/certs/.

Другим вариантом может быть добавление сертификата в /etc/ssl/certs/. Для Debian и Ubuntu вы просто копируете новый сертификат в формате PEM в каталог /etc/ssl/certs/. Новый сертификат будет находиться рядом с другими 450 сертификатами.

Для Fedora вы должны добавить новый сертификат в файл /etc/ssl/certs/ca-bundle.crt. ca-bundle.crtдействительно ссылка на /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem. tls-ca-bundle.pemэто просто объединение файлов PEM в один файл.

У Fedora также есть /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt, но я не верю, что вы бы использовали его, потому что он ca-bundle.trust.crtпредназначен для CA, а самозаверяющий сертификат конечной сущности не должен быть CA=TRUEв Basic Constraints.

Стоит отметить, что я никогда не использовал, telnet-sslпоэтому я не могу дать полный ответ на основе опыта. Скорее всего, вы столкнетесь с дополнительными проблемами, когда выйдете за рамки «доверять этому сертификату SSL». Например, похоже, что Telnet через TLS использует порт 992, а не 23.

Похожие вопросы