啟動telnet協議的具體操作
對于Telnet,盡管它的協議具有一定的安全問題,但是不少管理員們依然喜歡使用這個服務。那么如何啟動telnet協議呢?這里我們就來詳細介紹一下在Linux系統中的具體操作。那么具體內容如下。
Telnet遠程登錄Linux主機
利用遠程登錄協議來遠程登錄并對服務器進行管理,這是服務器管理員最司空見慣的操作了。在 Windows操作環境中,系統管理員可能喜歡采用Telnet協議來完成這個任務。但是在Linux操作系統 環境中,要利用這個Telnet協議的話,具有一定的困難。因為由于Telnet協議有一定的安全漏洞, 所以Linux操作系統默認情況下是采用ssh遠程登錄協議來代替這個Telnet協議。不過有些系統管理 員還是喜歡采用Telnet協議。如要通過Windows客戶端來遠程管理Linux主機,如果要使用ssh協議的 話,還必須去下載這個工具。因為Windows客戶端默認情況下只支持Telnet協議,而不支持ssh協議 。為了滿足這部分系統管理員的需要,今天就談談在Linux主機上啟用Telnet協議的注意事項。
第一、 手工啟動telnet協議。
默認情況下,紅帽子Linux操作系統是不會啟用Telnet協議。其他版本的Linux操作系統其實也 都有類似的限制。這主要是因為Telnet其有一個比較大的安全隱患。即其在數據傳輸的過程中,用 戶名、密碼、指令都是明文傳輸的。為此在傳輸過程中,容易遭受到攻擊,如利用嗅探器攻擊者可 以輕松的獲取帳號、密碼等敏感信息。為了Linux服務器的安全,建議大家采用ssh協議,而不是 Telnet協議。如果一定要采用這個Telnet協議的話,則首先需要在Linux服務器上啟用這個Telnet協 議。如果需要啟用這個協議的話,則需要利用vi等文本編輯器修改telnet文件。在/etc/xinetd.d下 有一個/telnet文件。在這個文件中,有一條記錄為disable=no。只需要把這條記錄改為 disable=yes即可。注意在修改時,大小寫是敏感的。這里是小寫的yes,而不是大寫。
不過這個文件修改后還不能夠及時生效。系統管理員需要重新啟動來讓這個文件生效。如果不 想重新啟動的話,則需要執行命令/etc/init.d/xinetd reload命令,強制讓系統重新加載設置文件 。這個命令執行完成后,操作系統會立即啟用telnet服務了。為了服務器的安全考慮,筆者再強調 一次,最好不要輕易啟動這個服務。如果啟動了這個服務的話,那么在用完之后最好能夠及時關閉 ,以確保其安全。或者說,在網絡上采用其他的安全措施,如IPSec安全策略等等,來加密網絡中傳 輸的數據。跟這些類似的工具結合使用,也可以減少采用Telnet協議帶來的安全風險。
第二、 允許root帳號采用Telnet協議遠程登錄。
即使啟動telnet協議,默認情況下系統管理員仍然不能夠利用Telnet協議遠程登錄操作系統 。這主要是因為默認情況下,在紅帽子Linux操作系統中,是不允許root帳戶采用Telnet進行遠程登 錄的。而作為系統管理員來說,如果要執行管理任務的話,則大部分情況下都需要特權用戶root才 能夠完成。所以啟用了Telnet服務后,還需要允許特權帳戶root可以采用這個協議進行遠程登錄并 執行相關的維護操作。
其實Linux操作系統這么設計并不是在為難系統管理員,其也有特殊的考慮。主要是因為采用 Telnet協議的時候,利用特權帳戶root登錄時需要在網絡上明文傳輸特權用戶的密碼。而root帳戶 對Linux服務器具有最高的操作權限。為此如果其密碼泄露的話,那么就可以讓攻擊者任意妄為了。 所以Linux操作系統設計者在不得已的情況下,采取了這個限制。
如果要允許root帳戶遠程登錄操作系統的話,可以按照下面的方法來操作。
對于root帳戶,在操作系統中專門有一個文件/etc/securretty 來限制root帳號可以從哪一個 終端來登錄。在這個文件中,不僅固定了本地終端,也同時規定了遠程終端。在Linux操作系統中, 遠程終端的代碼是pts。其后面的代碼(/0,/1)表示允許登錄用戶的數量。如果允許同時有多個用戶 遠程登錄到操作系統的話,則需要設置多個pts終端。通過這個終端的數量,可以限制同時進行遠程 登錄用戶的數量。當用戶登錄時,到底是采用那個終端則是不一定的。如現在已經有三個用戶遠程 登錄到操作系統,此時系統管理員遠程登錄到操作系統時,則采用的終端號就為pts/4。如果要運行 root特權帳戶采用Telnet協議遠程登錄的話,則需要將這些終端加入到這個文件中。這里需要注意 的是,如果遠程登錄的用戶比較多時,則需要在這個文件中多加入幾個遠程終端,即pts/0,pts1等 等。否則的話,有其他用戶捷足先登了,那么系統管理員就不能夠在遠程登錄了。一般情況下,需 要加入兩到三個遠程終端。不過具體要加入多少,還是需要系統管理員根據企業的實際情況來定。 如果企業系統管理員比較多時,或者需要同時遠程登錄這臺Linux服務器進行遠程協作等等,那么就 需要多啟用幾個遠程端口。以便不時之需。在文件中加入這些端口之后,系統管理員就可以利用 root帳戶進行遠程登錄了。注意,如果采用的是ssh遠程登錄協議的話,不需要進行類似的設置。因 為ssh 協議默認情況下其傳輸的內容是加密的,所以系統允許root帳戶進行遠程登錄。
如果系統管理員覺得這個方式比較麻煩的話,那么還有一種比較簡便的方法。即直接將這個文 件刪除,或者對其進行重命名即可。把文件刪除或者重命名,操作系統就找不到相關的設置文件了 。此時系統就會允許root帳戶利用所有可用的終端進行登錄了。不過顯然這么操作,雖然方便了, 但是留下了很大的安全隱患。為此,筆者還是建議,如果真的允許root帳戶利用Telnet協議進行遠 程登錄的話,還是老老實實的,在上面這個配置文件中加入相關的記錄。其實這個配置起來也不是 很麻煩,而且這個配置文件修改后即時生效。不需要重新啟動或者手工執行命令讓強制生效。所以 這個配置文件修改起來還是比較簡單的。另外需要提醒管理員的是,如果采取配置文件自動備份機 制的話,則最好在修改這個配置文件之前,對其進行備份。畢竟最老的“鳥”也會有失手的時候。 因為Linux操作系統中的配置文件,就好像微軟操作系統中的注冊表文件。對他們進行修改時,都必 須要先進行備份。這個安全措施,即使對Linux系統管理專家來說也仍然是不可少的。
第三、 建立使用ssh協議來替代Telent協議。
其實從功能上來說,telnet協議能夠完成的事情,ssh協議也能夠完成。但是,在Linux操作系 統環境下使用ssh協議,有兩方面的優勢。首先,ssh協議比telnet協議具有更高的安全性。前者帳 號、密碼、指令等等在傳輸的過程中都是加密過的。為此即使攻擊者獲取這些信息也沒有作用。而 后者由于在傳輸過程中以明文傳輸,為此攻擊者可以輕松后去所需要的內容,特別是帳號與口令, 從而為下一步攻擊做好準備。其次,默認情況下,Linux操作系統只支持ssh協議,而不支持啟動telnet協議。也就是說,如果想通過Telnet協議遠程登錄到Linux操作系統的話,就需要向上面介紹的進行 一些額外的設置。而如果采用ssh協議的話,想比起來可以避免類似設置的麻煩。
而如果通過Windows客戶端來遠程管理Linux服務器系統時,若采用ssh協議則有一個障礙。即在 Windows的客戶端中,現在還不支持ssh協議。為此如果要通過Windows客戶端來管理Linux操作系統( 是很多系統管理員所采用的方法),則必須要下載一個小工具,如putty等等,讓在Windows客戶端上 也可以使用ssh協議。雖然從網上下載工具有一定的麻煩,但是比起這個安全性來說,這還是值得的 。為此筆者再次建議系統管理員,要使用ssh協議來遠程登錄與維護Linuxc操作系統,而不是采用 Telnet協議。
