telnet服務(wù)的功能是非常強(qiáng)大的。在很多管理員的管理中都會使用這個(gè)功能。但是由于它的安全和一些限制導(dǎo)致對使用它的朋友們也會感到不安。這里我們就來講解一下系統(tǒng)間相互telnet以及一些安全問題。

宿主機(jī)WindowsXP與虛擬機(jī)Linux之間telnet

首先說明下系統(tǒng)，宿主機(jī)是Winxp，ip為192.168.1.18，通過vmware安裝了Fedora Linux，ip為192.168.1.252。安裝了hamachi（便于與人聯(lián)機(jī)游戲的軟件）導(dǎo)致Linux不能上網(wǎng)，在“網(wǎng)絡(luò)連接”中將其禁用即可。

看教學(xué)視頻，欲實(shí)現(xiàn)二者的互相訪問，祭出telnet武器，不料無論是xp還是linux均無法實(shí)現(xiàn)telnet。思考片刻拿出解決方案如下（PS：telnet的端口號是23）：

1.XP系統(tǒng)開啟telnet服務(wù)：在“我的電腦”右鍵→管理→服務(wù)→telnet，右鍵選擇“屬性”，將其打開即可，我設(shè)置的是“手動(dòng)”，然后開啟之。

2.Linux開啟telnet服務(wù)：在“終端”中鍵入chkconfigtelneton。

3.XP下telnet Linux：“開始”→“運(yùn)行”→cmd，回車進(jìn)入命令行模式，鍵入“telnet 192.168.1.252”回車，輸入linux里面的id和password即可。有個(gè)疑問：為什么不可以用root登陸呢？登陸后可使用su root轉(zhuǎn)為root登陸，奇怪？找到了解決辦法：vi /etc/pam.d/login文件，在 auth required /lib/security/pam_securetty.so 前面加一個(gè)＃號，注釋掉就行了。

4.Linux下telnet XP：打開終端，鍵入telnet 192.168.1.18，提示我登陸，PS：因?yàn)榉奖闩笥延秒娔X所以機(jī)子沒設(shè)置密碼，因telnet不允許空密碼所以新增了root用戶，組別必須設(shè)置成Administrators或者設(shè)置新增一個(gè)組別telnetClients并將root加入就可以了，否則會提示：“訪問拒絕：指定用戶是不是 telnetClients 組成員。服務(wù)器管理員必須將此用戶添加到上述組。telnet 服務(wù)器已關(guān)閉連接”。微軟對其的解釋參見：http://support.microsoft.com/kb/298060。完成后即可進(jìn)行連接。

telnet服務(wù)用戶認(rèn)證失敗

telnet服務(wù)往往是攻擊者入侵系統(tǒng)的渠道之一。大多數(shù)情況下，合法用戶在telnet登錄過程中會認(rèn)證成功。如果出現(xiàn)用戶名或口令無效等情況，telnet服務(wù)器會使認(rèn)證失敗。如果登錄用戶名為超級用戶，則更應(yīng)引起重視，檢查訪問來源是否合法。如果短時(shí)間內(nèi)大量出現(xiàn)telnet認(rèn)證失敗響應(yīng)，則說明主機(jī)可能在遭受暴力猜測攻擊。

[對策]

1、檢查訪問來源的IP、認(rèn)證用戶名及口令是否符合安全策略。

2、密切關(guān)注FTP客戶端大量失敗認(rèn)證的來源地址的活動(dòng)，如果覺得有必要，可以暫時(shí)禁止此客戶端源IP地址的訪問。

事件5、telnet服務(wù)用戶弱口令認(rèn)證

攻擊者可能利用掃描軟件或人工猜測到telnet服務(wù)的弱口令從而非法獲得FTP服務(wù)的訪問，也可能結(jié)合telnet服務(wù)器的本地其他漏洞獲取主機(jī)的控制權(quán)。

[對策]

1、提醒或強(qiáng)制相關(guān)的telnet服務(wù)用戶設(shè)置復(fù)雜的口令。

2、設(shè)置安全策略，定期強(qiáng)制用戶更改自己的口令。