Ubuntu Telnet安全设置建议
小樊
46
2025-12-29 21:29:46
Ubuntu Telnet安全设置建议
总体安全立场
- Telnet以明文传输数据,包含用户名/密码与命令,极易被窃听与重放,原则上仅可在隔离测试环境临时使用,生产环境应优先使用SSH替代。若必须启用Telnet,务必叠加多重限制与监控措施,降低暴露面与风险。
如必须使用的最低安全配置
- 最小安装与最小暴露
- 仅在内网使用,避免暴露于公网;临时启用前确认业务必要性并制定下线计划。
- 访问控制
- 通过xinetd精细化限制来源与速率(示例):
- 编辑**/etc/xinetd.d/telnet**:设置disable = no(生产建议为yes)、only_from = 192.168.1.0/24、per_source = 5、cps = 10 30;保存后执行sudo systemctl restart xinetd。
- 防火墙收紧
- 使用UFW:默认拒绝23/TCP,仅允许受信网段,例如:
- sudo ufw deny 23/tcp
- sudo ufw allow from 192.168.1.0/24 to any port 23
- sudo ufw reload
- 或使用iptables:默认DROP 23/TCP,仅放行白名单IP,并持久化规则。
- 认证与口令策略
- 启用PAM复杂度校验(需安装libpam-pwquality),在相关PAM配置(如**/etc/pam.d/telnet**)中加入示例:
- auth required pam_pwquality.so retry=3 minlen=8 difok=4
- 监控与入侵防护
- 实时查看登录日志:sudo tail -f /var/log/auth.log | grep telnet
- 部署fail2ban,参考SSH范例创建telnet段(或复用SSH jail并调整端口/日志路径),对暴力尝试自动封禁。
更安全的替代与加固方案
- 用SSH替代Telnet
- 安装并启用:sudo apt install openssh-server && sudo systemctl enable --now ssh
- 防火墙放行:sudo ufw allow ssh
- 加固SSH(示例)
- 编辑**/etc/ssh/sshd_config**:PermitRootLogin no、PasswordAuthentication no、UsePAM yes、AllowUsers your_username
- 使用4096位密钥登录,必要时更改默认端口,保持系统与安全组件及时更新。
禁用与移除建议
- 停止并禁用服务
- sudo systemctl stop telnet.socket
- sudo systemctl disable telnet.socket
- 验证:sudo systemctl status telnet.socket(应为inactive)
- 防火墙封禁
- sudo ufw deny 23/tcp && sudo ufw reload
- 清理(可选)
- 若通过xinetd提供Telnet,可将**/etc/xinetd.d/telnet中的disable设为yes**并重启xinetd;不再需要时移除相关包(请先确认无业务依赖)。
