Я использую ArchLinux на этой машине, используя xinetd для конфигурации

/etc/xinetd.d/telnet

        flags                   = REUSE
        socket_type             = stream
        wait                    = no
        user                    = root
        server                  = /usr/bin/telnetd
        log_on_failure          += USERID
        disable                 = no

это успешный вход в систему с того же компьютера: telnet 192.168.1.2 (или localhost)

Apr 15 15:36:22 geo xinetd[4363]: START: telnet pid=4369 from=192.168.1.2
Apr 15 15:36:31 geo login[4370]: pam_unix(remote:session): session opened for user root by .telnet(uid=0)
Apr 15 15:36:31 geo login[4370]: ROOT LOGIN ON pts/3 FROM localhost.localdomain
Apr 15 15:36:35 geo login[4370]: pam_unix(remote:session): session closed for user root

Это неудачный телнет с другого компьютера. Я не понимаю, почему удаленные IP-адреса также отображаются в журнале (второй и многие другие внешние IP-адреса каждый раз, когда я запускаю сервер telnet в строке 2)

Apr 15 15:42:19 geo xinetd[4363]: START: telnet pid=4382 from=192.168.1.5
Apr 15 15:42:27 geo xinetd[4363]: START: telnet pid=4386 from=114.26.76.231
|источник

1 ответ1

0

Использование Telnet в 2018 году, несмотря на то, что настоятельно рекомендуется этого не делать; ArchLinux Wiki на Telnet:

Telnet - это традиционный протокол для подключения к удаленной консоли через TCP. Telnet небезопасен и в настоящее время используется в основном для подключения к устаревшему оборудованию. Трафик Telnet легко перехватывается для паролей, и никогда не следует устанавливать соединения по какой-либо ненадежной сети, включая Интернет, за исключением случаев, когда они шифруются с помощью SSH или туннелируются через VPN. Для безопасной альтернативы см. SSH.

Видя эти внешние IP-адреса в ваших журналах, кажется нормальным: это попытки подключения, которые вы получаете, просто открыв порт 23 Telnet в открытом Интернете. Боты неутомимо сканируют этот порт. Это можно проверить, например, с помощью sudo nc -l -p 23 -v -v на любом общедоступном IP-адресе: через несколько секунд или пару минут вы получите соединение:

listening on [any] 23 ...
198.51.100.10: inverse host lookup failed: Unknown host
connect to [192.0.2.100] from (UNKNOWN) [198.51.100.10] 60061
Login:
tech
Password:
tech
s sent 17, rcvd 12

В то время как Telnet заброшен на серверах, многие маршрутизаторы, коммутаторы и устройства IoT все еще используют его. Ужасно, что в то же время они являются устройствами, которые проще всего начать использовать, не выполняя никакой реальной настройки, в том числе оставляя пароли по умолчанию. Именно поэтому все еще продолжаются эти сканирования. Если больше интересует тема, GitHub полон проектов Telnet Honeypot .

Вы видели достаточно. Теперь фиксированная конфигурация вам нужна:

/etc/xinetd.d/telnet

        disable                 = yes
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .