安装、启动与关闭服务
rpm -qa | grep telnet
telnet-0.17-31.EL4.3 telnet 客户端的联机程序
telnet-server-0.17-31.EL4.3 telnet-server 套件
telnet 就是挂在 super daemon 底下的一支服务
启动的方式就是:
将 xinetd 里面关于 telnet 的项目开启,重新启动一次 xinetd
使用 ntsysv 或 chkconfig
ntsysv 是修改 /etc/xinetd.d 这个目录下的数据
使用 vi 修改 /etc/xinetd.d/telnet 这个档案:
[root@linux ~]# vi /etc/xinetd.d/telnet
service telnet
{
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.telnetd
log_on_failure += USERID
# disable = yes
disable = no
# 基本上,改上面这两行就够了!将 disable 设定成 no 表示要启动!
}
[root@linux ~]# service xinetd restart或/etc/init.d/xinetd restart
查看有没有启动服务:netstat -tlup |grep telnet
telnet localhost
以比较限制的配置文件来规范联机的 IP :
[root@linux ~]# vi /etc/xinetd.d/telnet
# This file had been modified by VBird 2002/11/04
# 首先为内部网络的参数设定
service telnet
{
disable = no
bind = 192.168.1.2
only_from = 192.168.1.0/24
# 上面这两行说明仅提供内部网域!
instance = UNLIMITED
nice = 0
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/telnetd
server_args = -a none
log_on_failure += USERID
}
# 再来则是针对外部网域的设定
service telnet
{
disable = no
bind = 140.116.142.196
only_from = 140.116.0.0/16
no_access = 140.116.32.{10,26}
# 上面这三行设定外部较为严格的限制
instance = 10 <==最多允许同时 10 个联机
umask = 022
nice = 10
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/telnetd
server_args = -a none
log_on_failure += USERID
}
root 不能直接以 telnet 连接上主机:
开放 root 以 telnet 登入 Linux 主机,直接将 /etc/securetty 更改檔名即可
mv /etc/securetty /etc/securetty.bak
修改 /etc/pam.d/login 这个档案的第二行设定即可
[root@linux ~]# vi /etc/pam.d/login
#%PAM-1.0
#auth required pam_securetty.so <== 就是这样一行,将他批注即可
加上防火墙 iptables:
针对 192.168.0.0/24 这个网域,及 61.xxx.xxx.xxx 这个 IP 进行 telnet 的开放
iptables -A INPUT -p tcp -i $INIF -s 192.168.0.0/24 --dport 23 -j ACCEPT
iptables -A INPUT -p tcp -i $EXTIF -s 61.xxx.xxx.xxx --dport 23 -j ACCEPT
iptables -A INPUT -p tcp -i $EXTIF --dport 23 -j DROP
加上防火墙 /etc/hosts.allow(deny) 机制:
想要其中的 192.168.0.1 ~ 192.168.0.5 进入呢?而其他的 IP 只要一经联机,就会被记录该 IP ,以提供 root 查询
[root@linux ~]# vi /etc/hosts.allow
in.telnetd: 192.168.0.1, 192.168.0.2, 192.168.0.3, 192.168.0.4
in.telnetd: 192.168.0.5
[root@linux ~]# vi /etc/hosts.deny
in.telnetd : ALL : spawn (/bin/echo Security notice from `/bin/hostname`; \
/bin/echo; /usr/sbin/safe_finger @%h ) | \
/bin/mail -s "%d -%h security" root@localhost & \
: twist ( /bin/echo -e "\n\nWARNING connectin not allowed. \n\n\n" )
建议事项:
1.非必要时,不要启动 telnet ,如果真的需要启动 telnet ,那么也请在启动并且使用完毕之后,立即将他关掉!
2.如果确定真的要启动 telnet 时,请确定好限制的联机范围,使用 iptables 来设定联机的限制区域;
3.加上 TCP_Wrappers 的辅助,加强防火墙的功能!
4.随时注意登录档案里面关于 login 的事项!并且不要让 root 能以 telnet 登入 Linux 主机!
rpm -qa | grep telnet
telnet-0.17-31.EL4.3 telnet 客户端的联机程序
telnet-server-0.17-31.EL4.3 telnet-server 套件
telnet 就是挂在 super daemon 底下的一支服务
启动的方式就是:
将 xinetd 里面关于 telnet 的项目开启,重新启动一次 xinetd
使用 ntsysv 或 chkconfig
ntsysv 是修改 /etc/xinetd.d 这个目录下的数据
使用 vi 修改 /etc/xinetd.d/telnet 这个档案:
[root@linux ~]# vi /etc/xinetd.d/telnet
service telnet
{
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.telnetd
log_on_failure += USERID
# disable = yes
disable = no
# 基本上,改上面这两行就够了!将 disable 设定成 no 表示要启动!
}
[root@linux ~]# service xinetd restart或/etc/init.d/xinetd restart
查看有没有启动服务:netstat -tlup |grep telnet
telnet localhost
以比较限制的配置文件来规范联机的 IP :
[root@linux ~]# vi /etc/xinetd.d/telnet
# This file had been modified by VBird 2002/11/04
# 首先为内部网络的参数设定
service telnet
{
disable = no
bind = 192.168.1.2
only_from = 192.168.1.0/24
# 上面这两行说明仅提供内部网域!
instance = UNLIMITED
nice = 0
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/telnetd
server_args = -a none
log_on_failure += USERID
}
# 再来则是针对外部网域的设定
service telnet
{
disable = no
bind = 140.116.142.196
only_from = 140.116.0.0/16
no_access = 140.116.32.{10,26}
# 上面这三行设定外部较为严格的限制
instance = 10 <==最多允许同时 10 个联机
umask = 022
nice = 10
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/telnetd
server_args = -a none
log_on_failure += USERID
}
root 不能直接以 telnet 连接上主机:
开放 root 以 telnet 登入 Linux 主机,直接将 /etc/securetty 更改檔名即可
mv /etc/securetty /etc/securetty.bak
修改 /etc/pam.d/login 这个档案的第二行设定即可
[root@linux ~]# vi /etc/pam.d/login
#%PAM-1.0
#auth required pam_securetty.so <== 就是这样一行,将他批注即可
加上防火墙 iptables:
针对 192.168.0.0/24 这个网域,及 61.xxx.xxx.xxx 这个 IP 进行 telnet 的开放
iptables -A INPUT -p tcp -i $INIF -s 192.168.0.0/24 --dport 23 -j ACCEPT
iptables -A INPUT -p tcp -i $EXTIF -s 61.xxx.xxx.xxx --dport 23 -j ACCEPT
iptables -A INPUT -p tcp -i $EXTIF --dport 23 -j DROP
加上防火墙 /etc/hosts.allow(deny) 机制:
想要其中的 192.168.0.1 ~ 192.168.0.5 进入呢?而其他的 IP 只要一经联机,就会被记录该 IP ,以提供 root 查询
[root@linux ~]# vi /etc/hosts.allow
in.telnetd: 192.168.0.1, 192.168.0.2, 192.168.0.3, 192.168.0.4
in.telnetd: 192.168.0.5
[root@linux ~]# vi /etc/hosts.deny
in.telnetd : ALL : spawn (/bin/echo Security notice from `/bin/hostname`; \
/bin/echo; /usr/sbin/safe_finger @%h ) | \
/bin/mail -s "%d -%h security" root@localhost & \
: twist ( /bin/echo -e "\n\nWARNING connectin not allowed. \n\n\n" )
建议事项:
1.非必要时,不要启动 telnet ,如果真的需要启动 telnet ,那么也请在启动并且使用完毕之后,立即将他关掉!
2.如果确定真的要启动 telnet 时,请确定好限制的联机范围,使用 iptables 来设定联机的限制区域;
3.加上 TCP_Wrappers 的辅助,加强防火墙的功能!
4.随时注意登录档案里面关于 login 的事项!并且不要让 root 能以 telnet 登入 Linux 主机!