[問題] 只允許特定ID連線telnet

看板Linux作者 (*unicef)時間14年前 (2011/09/29 18:44), 編輯推噓3(3053)
留言56則, 11人參與, 最新討論串1/1
大家好: 想請問telnet service可以限制或開放哪些帳號才能連線嗎? 由於我的server不是每個人都用的稻telnet, 又因為之前有user的密碼被駭客算中, 登近來之後,直接暴力破壞系統,使其變成殭屍電腦, 所以想說,把用不到的人的telnet連線限制掉, 以免後患無窮...。 感恩大家囉! -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 175.180.136.94
09/29 19:17, , 1F
iptable?
09/29 19:17, 1F
09/29 19:22, , 2F
為什麼一般的使用著可以破壤系統?
09/29 19:22, 2F
09/29 19:55, , 3F
為什麼都2011年了還在用telnet?改ssh先
09/29 19:55, 3F
09/29 20:06, , 4F
該user可能是可以 sudo 的吧!
09/29 20:06, 4F
09/29 20:08, , 5F
改用 ssh +1
09/29 20:08, 5F
09/29 20:14, , 6F
ssh & /etc/hosts.{allow,deny}
09/29 20:14, 6F
09/29 21:37, , 7F
google: sshd_config allowusers allowgroups
09/29 21:37, 7F
09/29 21:45, , 8F
那個id是普通user
09/29 21:45, 8F
09/29 21:46, , 9F
他執行cd /var/tmp然後wget抓東西回來裝
09/29 21:46, 9F
09/29 21:46, , 10F
系統就癱瘓了orz
09/29 21:46, 10F
09/29 21:48, , 11F
樓上說ssh我知道 重點是一旦密碼被猜到
09/29 21:48, 11F
09/29 21:48, , 12F
普通user抓東西回來攻破系統,那就表示是透過攻擊漏洞的方
09/29 21:48, 12F
09/29 21:48, , 13F
在多好的加密連線都沒用orz
09/29 21:48, 13F
09/29 21:48, , 14F
式.先補洞,裝security fix/update等比較重要.
09/29 21:48, 14F
09/29 21:49, , 15F
我想最可能是抓猜密碼程式吧,猜到一個能sudo的比較可能.
09/29 21:49, 15F
09/29 21:50, , 16F
強迫大家增加密碼強度比較有用.
09/29 21:50, 16F
09/29 21:50, , 17F
當時候系統掛掉 我有看該帳號的ssh資料
09/29 21:50, 17F
09/29 21:50, , 18F
發現是ssh/telnet同時被某個IP連線
09/29 21:50, 18F
09/29 21:53, , 19F
其實我比較想留著telnet 自己管理的時候可以用
09/29 21:53, 19F
09/29 21:54, , 20F
其他人 說真的 沒幾個會用telnet連線操作
09/29 21:54, 20F
09/29 21:55, , 21F
管理者絕對不應該用telnet(除非是私用LAN),密碼被聽假的.
09/29 21:55, 21F
09/29 21:56, , 22F
其它人其實也一樣,cracker進了系統,能搞的花樣就多了.
09/29 21:56, 22F
09/29 22:02, , 23F
我個人實在有很難說的理由 非得用telnet不可orz
09/29 22:02, 23F
09/29 22:03, , 24F
telnet留著自己用? 寫ssh的人在哭(還是大笑?)
09/29 22:03, 24F
09/29 22:05, , 25F
如果每一套軟體的設計 都能考量到眼睛不方便的人的操作
09/29 22:05, 25F
09/29 22:05, , 26F
那我就不會非得用telnet不可了XD
09/29 22:05, 26F
09/29 22:06, , 27F
是說我都把777的地方掛成noexec的, 你的問題應該是系統設定
09/29 22:06, 27F
09/29 22:07, , 28F
你要不用用telnet over ssl/tls?
09/29 22:07, 28F
09/29 22:26, , 29F
要看他在Windows連線軟體的gui 我能不能讀的道XD
09/29 22:26, 29F
09/29 23:05, , 30F
其實你可以在 Windows下灌 VM 跑Linux再用linux來用ssh.
09/29 23:05, 30F
09/29 23:06, , 31F
如果你沒有從安全的根本下手,我認為目前你尋求的解決方式
09/29 23:06, 31F
09/29 23:06, , 32F
很容易是徒勞無功的.
09/29 23:06, 32F
09/29 23:07, , 33F
我不明白telnet對於眼睛閱讀方式有什麼優勢?
09/29 23:07, 33F
09/29 23:10, , 34F
可能是win下telnet有諸如pcman,但ssh沒有類似中文支援好的
09/29 23:10, 34F
09/29 23:14, , 35F
哈哈說的好 VM...用導盲軟體,是永遠讀不到的
09/29 23:14, 35F
09/29 23:15, , 36F
基本上導盲軟體是很多死角的
09/29 23:15, 36F
09/29 23:16, , 37F
他聯 pcman 這種文字介面的東西都支援不好了 更不用期待
09/29 23:16, 37F
09/29 23:16, , 38F
圖形化介面他能支援了orz
09/29 23:16, 38F
09/29 23:21, , 39F
那你可以考慮用 VPN, 就可以用 telnet 了.
09/29 23:21, 39F
09/29 23:21, , 40F
簡單舉例 flash對於導盲軟體來說 是妖怪
09/29 23:21, 40F
09/29 23:21, , 41F
根本無法辨識
09/29 23:21, 41F
09/29 23:23, , 42F
目前為止的導盲軟體 都只能抓取純文字的部分
09/29 23:23, 42F
09/29 23:24, , 43F
而且該軟體必須提供鍵盤操作模式 也就是 沒有滑鼠也能用
09/29 23:24, 43F
09/29 23:31, , 44F
我一職都知道telnet很危險,但是目前也只能用pcman連過去
09/29 23:31, 44F
09/29 23:32, , 45F
其他的連線軟體,基本上都沒有文字操作介面
09/29 23:32, 45F
09/29 23:33, , 46F
就算有,也得看導盲軟體對於這個軟體的支援度
09/29 23:33, 46F
09/30 00:03, , 47F
iptables -t nat -A PREROUTING --dport 22 --uid-owner \
09/30 00:03, 47F
09/30 00:03, , 48F
<userid> -j DROP
09/30 00:03, 48F
09/30 11:05, , 49F
不允許telnet login就把該user的shell改成/dev/null
09/30 11:05, 49F
09/30 11:09, , 50F
你試看看putty可否透過導盲軟體使用,putty支援ssh與telnet
09/30 11:09, 50F
※ 編輯: hdw770715 來自: 175.180.136.94 (09/30 12:43)
09/30 13:00, , 51F
/dev/null = /dev/false 嗎?剛測了一下 好像一樣?
09/30 13:00, 51F
09/30 13:15, , 52F
是/bin/false吧?
09/30 13:15, 52F
09/30 14:46, , 53F
在ubuntu 10.10 server 只要改/dev/null或false
09/30 14:46, 53F
09/30 14:46, , 54F
全部的服務都連不上
09/30 14:46, 54F
09/30 14:48, , 55F
不過在Debian 6.0上改 就可以只擋telnet
09/30 14:48, 55F
09/30 15:20, , 56F
ubuntu 10.10 server改成/bin/false 每個服務都不能登入
09/30 15:20, 56F
更多 hdw770715 的文章
文章代碼(AID): #1EX4mBkU (Linux)