Debian telnet安全设置有哪些
小樊
37
2025-12-06 18:53:46
Debian Telnet 安全设置与加固清单
一 基本安全原则
- Telnet 为明文协议,用户名、口令与所有数据均可被窃听,存在中间人攻击与暴力破解风险。若非必须,优先选择禁用 Telnet 并使用 SSH进行远程管理;如确需保留,应叠加多重限制与监控措施。
二 访问控制与防火墙
- 使用 TCP Wrappers 限制来源主机
- 安装并配置:
- /etc/hosts.deny:ALL: ALL
- /etc/hosts.allow:in.telnetd: 192.168.1.0/24(示例仅允许该网段)
- 仅允许受信网络或跳板机访问,默认拒绝其他所有来源。
- 用 UFW 或 iptables 做边界封禁
- UFW:sudo ufw allow from 192.168.1.0/24 to any port 23;默认策略建议拒绝入站。
- iptables:先放行受信网段,再对端口 23 统一 DROP,最小化暴露面。
- 若系统以 xinetd 托管 Telnet,可在 /etc/xinetd.d/telnet 中使用 only_from 限制来源网段或主机,减少攻击面。
三 服务最小化与账户防护
- 停止并禁用 Telnet 服务
- 若由 inetd 托管:sudo systemctl stop inetd && sudo systemctl disable inetd
- 若由 xinetd 托管:sudo systemctl stop xinetd && sudo systemctl disable xinetd
- 若使用 socket 激活:sudo systemctl stop telnet.socket && sudo systemctl disable telnet.socket
- 移除或禁止安装 Telnet 服务端软件包(如 telnetd),避免被意外启用。
- 账户与认证加固
- 禁止 root 直接登录 Telnet;通过普通用户登录后使用 sudo 提权。
- 启用 PAM 黑白名单(/etc/telnet.deny、/etc/telnet.allow)限制可登录账户。
- 配置 强密码策略 与登录失败处理,降低暴力破解成功率。
四 日志监控与入侵检测
- 启用并集中日志:确保 rsyslog 或其他日志服务运行,集中采集 /var/log/auth.log、/var/log/syslog,对异常登录与失败尝试设置告警。
- 强化服务日志:在 xinetd 配置中开启成功/失败日志(如 log_on_success、log_on_failure),便于审计与溯源。
五 更安全的替代方案 SSH 配置要点
- 安装并启用 OpenSSH:sudo apt install openssh-server && sudo systemctl start ssh && sudo systemctl enable ssh
- 关键配置(/etc/ssh/sshd_config)
- PermitRootLogin no
- PubkeyAuthentication yes
- PasswordAuthentication no(在确保密钥可用后再关闭口令)
- AllowUsers user1 user2(按需最小化授权)
- 重启生效:sudo systemctl restart ssh
- 如必须保留 Telnet 且需加密通道,可用 stunnel 为 Telnet 建立 TLS 隧道,但这仍不如直接使用 SSH 简洁与安全。
