telnet服務(wù)的功能是非常強(qiáng)大的。在很多管理員的管理中都會(huì)使用這個(gè)功能。但是由于它的安全和一些限制導(dǎo)致對(duì)使用它的朋友們也會(huì)感到不安。這里我們就來(lái)講解一下系統(tǒng)間相互telnet以及一些安全問(wèn)題。

宿主機(jī)WindowsXP與虛擬機(jī)Linux之間telnet

首先說(shuō)明下系統(tǒng)，宿主機(jī)是Winxp，ip為192.168.1.18，通過(guò)vmware安裝了Fedora Linux，ip為192.168.1.252。安裝了hamachi（便于與人聯(lián)機(jī)游戲的軟件）導(dǎo)致Linux不能上網(wǎng)，在“網(wǎng)絡(luò)連接”中將其禁用即可。

看教學(xué)視頻，欲實(shí)現(xiàn)二者的互相訪問(wèn)，祭出telnet武器，不料無(wú)論是xp還是linux均無(wú)法實(shí)現(xiàn)telnet。思考片刻拿出解決方案如下（PS：telnet的端口號(hào)是23）：

1.XP系統(tǒng)開(kāi)啟telnet服務(wù)：在“我的電腦”右鍵→管理→服務(wù)→telnet，右鍵選擇“屬性”，將其打開(kāi)即可，我設(shè)置的是“手動(dòng)”，然后開(kāi)啟之。

2.Linux開(kāi)啟telnet服務(wù)：在“終端”中鍵入chkconfigtelneton。

3.XP下telnet Linux：“開(kāi)始”→“運(yùn)行”→cmd，回車(chē)進(jìn)入命令行模式，鍵入“telnet 192.168.1.252”回車(chē)，輸入linux里面的id和password即可。有個(gè)疑問(wèn)：為什么不可以用root登陸呢？登陸后可使用su root轉(zhuǎn)為root登陸，奇怪？找到了解決辦法：vi /etc/pam.d/login文件，在 auth required /lib/security/pam_securetty.so 前面加一個(gè)＃號(hào)，注釋掉就行了。

4.Linux下telnet XP：打開(kāi)終端，鍵入telnet 192.168.1.18，提示我登陸，PS：因?yàn)榉奖闩笥延秒娔X所以機(jī)子沒(méi)設(shè)置密碼，因telnet不允許空密碼所以新增了root用戶，組別必須設(shè)置成Administrators或者設(shè)置新增一個(gè)組別telnetClients并將root加入就可以了，否則會(huì)提示：“訪問(wèn)拒絕：指定用戶是不是 telnetClients 組成員。服務(wù)器管理員必須將此用戶添加到上述組。telnet 服務(wù)器已關(guān)閉連接”。微軟對(duì)其的解釋參見(jiàn)：http://support.microsoft.com/kb/298060。完成后即可進(jìn)行連接。

telnet服務(wù)用戶認(rèn)證失敗

telnet服務(wù)往往是攻擊者入侵系統(tǒng)的渠道之一。大多數(shù)情況下，合法用戶在telnet登錄過(guò)程中會(huì)認(rèn)證成功。如果出現(xiàn)用戶名或口令無(wú)效等情況，telnet服務(wù)器會(huì)使認(rèn)證失敗。如果登錄用戶名為超級(jí)用戶，則更應(yīng)引起重視，檢查訪問(wèn)來(lái)源是否合法。如果短時(shí)間內(nèi)大量出現(xiàn)telnet認(rèn)證失敗響應(yīng)，則說(shuō)明主機(jī)可能在遭受暴力猜測(cè)攻擊。

[對(duì)策]

1、檢查訪問(wèn)來(lái)源的IP、認(rèn)證用戶名及口令是否符合安全策略。

2、密切關(guān)注FTP客戶端大量失敗認(rèn)證的來(lái)源地址的活動(dòng)，如果覺(jué)得有必要，可以暫時(shí)禁止此客戶端源IP地址的訪問(wèn)。

事件5、telnet服務(wù)用戶弱口令認(rèn)證

攻擊者可能利用掃描軟件或人工猜測(cè)到telnet服務(wù)的弱口令從而非法獲得FTP服務(wù)的訪問(wèn)，也可能結(jié)合telnet服務(wù)器的本地其他漏洞獲取主機(jī)的控制權(quán)。

[對(duì)策]

1、提醒或強(qiáng)制相關(guān)的telnet服務(wù)用戶設(shè)置復(fù)雜的口令。

2、設(shè)置安全策略，定期強(qiáng)制用戶更改自己的口令。