Page 1 of 1
SLES9 telnet
Posted: 23. Sep 2005 14:30
by ottto
hallo,
ich installiere gerade einen SLES9.
Was ist zu tun um telnet/ftp - Verbindungen auf den Server zu erlauben????
Bei google hab nicht brauchbares gefunden.
Danke.
Ottto
Posted: 23. Sep 2005 14:44
by Hans Solo
hi
laufen den die Dienste überhaupt?
lauft eine firewall?
telnet würde ich aus sicherheitstechnischen gründen überhaupt nicht verwenden.
mfg
arno
inetd
Posted: 23. Sep 2005 16:01
by frank rudolph
Hallo
Was ist beim inetd - xinetd - tcpd eingestellt?
mfg frank
Posted: 26. Sep 2005 7:57
by ottto
Hallo,
Die Firewall ist nicht gestartet.
Der /etc/init.d/xinetd läuft.
zu den inetd und tcpd finde ich leider nichts.
(Mit den Diensten unter Linux hab ich leider noch nicht den Durchblick.)
Von einem anderen Rechner kann ich den SLES9 anpingen.
Telnet bricht mit "Could not open connection to the host, on port 23: Connect failed" ab.
FTP bringt ":Unbekannte Fehlernummer"
Ist sicherlich nur eine Sicherheitseinstellungen, aber welche??
ottto
xinetd
Posted: 26. Sep 2005 9:18
by frank rudolph
Hallo
Also bei meinem SLES ist der ftp (pure ftpd) abgeschaltet.
erst mal prüfen ob der ftp dienst überhaupt gestartet ist mit rcpure-ftpd status
Wenn du yast2 startest und dort unter -Netzwerkdienste-
den inetd (die Ampel als Icon) konfigurierst.
- schau mal ob der ftp dort angeschaltet ist.
Ein anderer Weg das festzustellen ist es, direkt unter /etc/xinetd.d nachzuschauen.
Dort gibt es Dateien ... unter anderem eine pure-ftpd und eine telnet
In diesen beiden Dateien gibt es wahrscheinlich jeweils einen Eintrag disable=yes
wenn das so ist dann sollte der Eintrag disable=no heissen
Ändern und dann speichern und dann rcxinetd reload oder restart.
In dem Zusammenhang wäre es noch intressant zu wissen was in der /etc/hosts.allow und hosts.deny drinsteht....
Zu Testzwecken würde ich die Eintragungen mit der # auskommentieren (danach aber wieder alles rückgängig machen
)
schau mal obs klappt ....
mfg frank
Posted: 26. Sep 2005 10:42
by ottto
hallo frank,
Vielen Dank, für den guten Tipp!
ich hab unter der Ampel ftp und telnet eingerichtet. Funktioniert.!!!
In der /etc/ftpusers hab ich den root gelöscht. Jetzt kann ich mich sogar als root per ftp verbinden. Das klappt leider mit dem Telnet noch nicht. Hat jemand eine Idee??
Bei SLES8 gab es den /etc/rc.d/inetd .
Hat der /etc/rc.d/xinetd den inetd abgelöst???
Danke
ottto
telnet
Posted: 26. Sep 2005 11:18
by frank rudolph
Hallo
Hast du in die /etc/xinetd.d/telnet geschaut? Was steht da bei disable=? yes oder no?
bei änderungen den xinetd nich vergessen neu zu starten ....
In der /etc/services kannst du auch noch schauen ob der port 23 für telnet ausgeschaltet ist.
Öffne die /etc/services und such nach telnet. Wenn da die Einträge udp und tcp mit einer raute ausgeschaltet sind dann musst du die raute wegnehmen und die Datei dann speichern.
mfg
frank
Posted: 26. Sep 2005 12:14
by ottto
Hallo frank,
ich glaube ich hab mich ein wenig falsch ausgedrückt.
Telnet funktioniert mit einem beliebiegem user super.
Nur wenn ich mich mit root anmelden will, bekomme ich "Login incorrect"
Hier noch der Inhalt der /etc/xinetd.d/telnet
# default: off
# description: Telnet is the old login server which is INSECURE and should \
# therefore not be used. Use secure shell (openssh).
# If you need telnetd not to "keep-alives" (e.g. if it runs over a ISDN \
# uplink), add "-n". See 'man telnetd' for more details.
service telnet
{
socket_type = stream
protocol = tcp
wait = no
user = root
server = /usr/sbin/in.telnetd
}
Danke
ottto
ja stimmt
Posted: 26. Sep 2005 12:47
by frank rudolph
also der xinetd hat den inetd ab sles8 abgelöst.
Das andere Problem habe ich auch ... also kein root einloggen bei telnet.
Kann auch sein das das Absicht ist ... weil ja alle wissen das telnet unsicher ist mit klartext Passwort usw.....und dann root ..... ????
Kannst du mir nur so aus neugier mal in zwei Sätzen sagen warum es Telnet sein muss und nicht ssh sein kann?
mfg
frank
Posted: 26. Sep 2005 14:20
by ottto
Hallo frank,
es laufen in unserer firma mehrere SLES8 als DB-Plattform. Diese werden halt standartmäßig noch mit telnet verwaltet. Intern muss die geschützte Verbindung nicht sein, denke ich. (würde aber auch nicht schaden).
ottto
Posted: 26. Sep 2005 17:25
by jochen
Hi, ottto!
Die Mehrzahl der Angriffe auf Firmennetze kommen von innen, nicht von außen... Für das Mitsniffen von telnet/FTP-Logins gibt es fertige, simpel einzusetzende Programme. Auch geswitchte Netze helfen nicht weiter - Stichwort ARP-Poisoning/MAC-Table Overflow.
Es wäre besser, wenn Du ganz auf Telnet/FTP verzichten könntest. Alternativ niemals als root mit diesen Protokollen über's Netz gehen!
Man denke einfach mal an den eingeschmuggelten Laptop eines Mitarbeiters mit einer passenden Linux-Distribution - falls nicht einige Leute sowieso booten können, was sie wollen...
Als telnet-Ersatz funktioniert ssh einwandfrei, für FTP kann man sftp oder auch scp verwenden. Aus der WIndowswelt greift man dann mittels PuTTY und WinSCP auf die Maschinen zu.
Solltest Du trotz allem nicht davon abzubringen sein, telnet direkt als root machenzu wollen, dann kommentiere eben aus der /etc/pam.d/telnet (telnetd?) die Zeile
Code: Select all
auth required /lib/security/pam_securetty.so
aus. Normalerweise werden nur Terminals, deren Name in der Datei /etc/securetty aufgeführt sind, als sicher für einen Root-Login betrachtet. Dafür ist der o.a. PAM-Eintrag zuständig. Wenn Du die Zeile mittels "#" auskommentierst, kann man sich direkt als root anmelden.
Mein Tipp: Lass es lieber bleiben und sattle schnell auf ssh um...
Jochen
Posted: 27. Sep 2005 7:42
by ottto
Hallo,
ich hab die Zeile in der /etc/pam.d/login auskommentiert. Funktioniert.
Ich werde Euren Rat beherzigen und Telnet nicht mehr verwenden.
Vielen Dank!
ottto