Я могу войти на сервер telnet только через локальную машину. Можете ли вы проверить мою конфигурацию?

346
user1861388

Я использую ArchLinux на этой машине, используя xinetd для конфигурации

/etc/xinetd.d/telnet

 flags = REUSE socket_type = stream wait = no user = root server = /usr/bin/telnetd log_on_failure += USERID disable = no

это успешный вход в систему с того же компьютера: telnet 192.168.1.2 (или localhost)

Apr 15 15:36:22 geo xinetd[4363]: START: telnet pid=4369 from=192.168.1.2 Apr 15 15:36:31 geo login[4370]: pam_unix(remote:session): session opened for user root by .telnet(uid=0) Apr 15 15:36:31 geo login[4370]: ROOT LOGIN ON pts/3 FROM localhost.localdomain Apr 15 15:36:35 geo login[4370]: pam_unix(remote:session): session closed for user root

Это неудачный телнет с другого компьютера. Я не понимаю, почему удаленные IP-адреса также отображаются в журнале (второй и многие другие внешние IP-адреса каждый раз, когда я запускаю сервер telnet в строке 2)

Apr 15 15:42:19 geo xinetd[4363]: START: telnet pid=4382 from=192.168.1.5 Apr 15 15:42:27 geo xinetd[4363]: START: telnet pid=4386 from=114.26.76.231
0

1 ответ на вопрос

0
Esa Jokinen

Использование Telnet в 2018 году, несмотря на то, что настоятельно рекомендуется этого не делать; ArchLinux Wiki на Telnet :

Telnet - это традиционный протокол для подключения к удаленной консоли через TCP. Telnet небезопасен и в настоящее время в основном используется для подключения к устаревшему оборудованию. Трафик Telnet легко перехватывается для паролей, и никогда не следует устанавливать соединения по какой-либо ненадежной сети, включая Интернет, за исключением случаев, когда они шифруются с помощью SSH или туннелируются через VPN. Для безопасной альтернативы см. SSH.

Видя эти внешние IP-адреса в ваших журналах, кажется нормальным: это попытки подключения, которые вы получаете, просто открывая порт Telnet 23в открытом Интернете. Боты неутомимо сканируют этот порт. Это можно проверить, например, используя sudo nc -l -p 23 -v -vлюбой публичный IP: через несколько секунд или пару минут вы получите соединение:

listening on [any] 23 ... 198.51.100.10: inverse host lookup failed: Unknown host connect to [192.0.2.100] from (UNKNOWN) [198.51.100.10] 60061 Login: tech Password: tech s sent 17, rcvd 12

В то время как Telnet заброшен на серверах, многие маршрутизаторы, коммутаторы и устройства IoT все еще используют его. Ужасно, что в то же время они являются устройствами, которые проще всего начать использовать, не выполняя никакой реальной настройки, в том числе оставляя пароли по умолчанию. Именно поэтому все еще продолжаются эти сканирования. Если больше интересует тема, GitHub полон проектов Telnet Honeypot .

Вы видели достаточно. Теперь фиксированная конфигурация вам нужна:

/etc/xinetd.d/telnet  disable = yes

Похожие вопросы