SLES9 telnet

Antworten
Nachricht
Autor
ottto
Beiträge: 176
Registriert: 09. Sep 2004 15:00

SLES9 telnet

#1 Beitrag von ottto » 23. Sep 2005 14:30

hallo,
ich installiere gerade einen SLES9.
Was ist zu tun um telnet/ftp - Verbindungen auf den Server zu erlauben????
Bei google hab nicht brauchbares gefunden.
Danke.
Ottto

Benutzeravatar
Hans Solo
prolinux-forum-admin
Beiträge: 601
Registriert: 20. Apr 2004 12:19
Wohnort: AT
Kontaktdaten:

#2 Beitrag von Hans Solo » 23. Sep 2005 14:44

hi

laufen den die Dienste überhaupt?
lauft eine firewall?

telnet würde ich aus sicherheitstechnischen gründen überhaupt nicht verwenden.

mfg
arno
[root@host]# cd /pub
[root@host]# more beer

Benutzeravatar
frank rudolph
Beiträge: 146
Registriert: 13. Apr 2004 12:18
Wohnort: Giessen
Kontaktdaten:

inetd

#3 Beitrag von frank rudolph » 23. Sep 2005 16:01

Hallo
Was ist beim inetd - xinetd - tcpd eingestellt?
mfg frank

ottto
Beiträge: 176
Registriert: 09. Sep 2004 15:00

#4 Beitrag von ottto » 26. Sep 2005 7:57

Hallo,
Die Firewall ist nicht gestartet.
Der /etc/init.d/xinetd läuft.
zu den inetd und tcpd finde ich leider nichts.
(Mit den Diensten unter Linux hab ich leider noch nicht den Durchblick.)
Von einem anderen Rechner kann ich den SLES9 anpingen.
Telnet bricht mit "Could not open connection to the host, on port 23: Connect failed" ab.
FTP bringt ":Unbekannte Fehlernummer"
Ist sicherlich nur eine Sicherheitseinstellungen, aber welche??

ottto

Benutzeravatar
frank rudolph
Beiträge: 146
Registriert: 13. Apr 2004 12:18
Wohnort: Giessen
Kontaktdaten:

xinetd

#5 Beitrag von frank rudolph » 26. Sep 2005 9:18

Hallo
Also bei meinem SLES ist der ftp (pure ftpd) abgeschaltet.
erst mal prüfen ob der ftp dienst überhaupt gestartet ist mit rcpure-ftpd status

Wenn du yast2 startest und dort unter -Netzwerkdienste-
den inetd (die Ampel als Icon) konfigurierst.
- schau mal ob der ftp dort angeschaltet ist.

Ein anderer Weg das festzustellen ist es, direkt unter /etc/xinetd.d nachzuschauen.
Dort gibt es Dateien ... unter anderem eine pure-ftpd und eine telnet
In diesen beiden Dateien gibt es wahrscheinlich jeweils einen Eintrag disable=yes
wenn das so ist dann sollte der Eintrag disable=no heissen
Ändern und dann speichern und dann rcxinetd reload oder restart.
In dem Zusammenhang wäre es noch intressant zu wissen was in der /etc/hosts.allow und hosts.deny drinsteht....
Zu Testzwecken würde ich die Eintragungen mit der # auskommentieren (danach aber wieder alles rückgängig machen :-) )
schau mal obs klappt ....
mfg frank

ottto
Beiträge: 176
Registriert: 09. Sep 2004 15:00

#6 Beitrag von ottto » 26. Sep 2005 10:42

hallo frank,

Vielen Dank, für den guten Tipp!
ich hab unter der Ampel ftp und telnet eingerichtet. Funktioniert.!!!
In der /etc/ftpusers hab ich den root gelöscht. Jetzt kann ich mich sogar als root per ftp verbinden. Das klappt leider mit dem Telnet noch nicht. Hat jemand eine Idee??

Bei SLES8 gab es den /etc/rc.d/inetd .
Hat der /etc/rc.d/xinetd den inetd abgelöst???
Danke
ottto

Benutzeravatar
frank rudolph
Beiträge: 146
Registriert: 13. Apr 2004 12:18
Wohnort: Giessen
Kontaktdaten:

telnet

#7 Beitrag von frank rudolph » 26. Sep 2005 11:18

Hallo
Hast du in die /etc/xinetd.d/telnet geschaut? Was steht da bei disable=? yes oder no?
bei änderungen den xinetd nich vergessen neu zu starten ....

In der /etc/services kannst du auch noch schauen ob der port 23 für telnet ausgeschaltet ist.

Öffne die /etc/services und such nach telnet. Wenn da die Einträge udp und tcp mit einer raute ausgeschaltet sind dann musst du die raute wegnehmen und die Datei dann speichern.
mfg
frank

ottto
Beiträge: 176
Registriert: 09. Sep 2004 15:00

#8 Beitrag von ottto » 26. Sep 2005 12:14

Hallo frank,

ich glaube ich hab mich ein wenig falsch ausgedrückt.
Telnet funktioniert mit einem beliebiegem user super.

Nur wenn ich mich mit root anmelden will, bekomme ich "Login incorrect"



Hier noch der Inhalt der /etc/xinetd.d/telnet

# default: off
# description: Telnet is the old login server which is INSECURE and should \
# therefore not be used. Use secure shell (openssh).
# If you need telnetd not to "keep-alives" (e.g. if it runs over a ISDN \
# uplink), add "-n". See 'man telnetd' for more details.
service telnet
{
socket_type = stream
protocol = tcp
wait = no
user = root
server = /usr/sbin/in.telnetd
}


Danke
ottto

Benutzeravatar
frank rudolph
Beiträge: 146
Registriert: 13. Apr 2004 12:18
Wohnort: Giessen
Kontaktdaten:

ja stimmt

#9 Beitrag von frank rudolph » 26. Sep 2005 12:47

also der xinetd hat den inetd ab sles8 abgelöst.

Das andere Problem habe ich auch ... also kein root einloggen bei telnet.

Kann auch sein das das Absicht ist ... weil ja alle wissen das telnet unsicher ist mit klartext Passwort usw.....und dann root ..... ????

Kannst du mir nur so aus neugier mal in zwei Sätzen sagen warum es Telnet sein muss und nicht ssh sein kann?
mfg
frank

ottto
Beiträge: 176
Registriert: 09. Sep 2004 15:00

#10 Beitrag von ottto » 26. Sep 2005 14:20

Hallo frank,
es laufen in unserer firma mehrere SLES8 als DB-Plattform. Diese werden halt standartmäßig noch mit telnet verwaltet. Intern muss die geschützte Verbindung nicht sein, denke ich. (würde aber auch nicht schaden).

ottto

Benutzeravatar
jochen
prolinux-forum-admin
Beiträge: 699
Registriert: 14. Jan 2000 15:37
Wohnort: Jülich
Kontaktdaten:

#11 Beitrag von jochen » 26. Sep 2005 17:25

Hi, ottto!

Die Mehrzahl der Angriffe auf Firmennetze kommen von innen, nicht von außen... Für das Mitsniffen von telnet/FTP-Logins gibt es fertige, simpel einzusetzende Programme. Auch geswitchte Netze helfen nicht weiter - Stichwort ARP-Poisoning/MAC-Table Overflow. Es wäre besser, wenn Du ganz auf Telnet/FTP verzichten könntest. Alternativ niemals als root mit diesen Protokollen über's Netz gehen!

Man denke einfach mal an den eingeschmuggelten Laptop eines Mitarbeiters mit einer passenden Linux-Distribution - falls nicht einige Leute sowieso booten können, was sie wollen...

Als telnet-Ersatz funktioniert ssh einwandfrei, für FTP kann man sftp oder auch scp verwenden. Aus der WIndowswelt greift man dann mittels PuTTY und WinSCP auf die Maschinen zu.

Solltest Du trotz allem nicht davon abzubringen sein, telnet direkt als root machenzu wollen, dann kommentiere eben aus der /etc/pam.d/telnet (telnetd?) die Zeile

Code: Alles auswählen

auth       required     /lib/security/pam_securetty.so
aus. Normalerweise werden nur Terminals, deren Name in der Datei /etc/securetty aufgeführt sind, als sicher für einen Root-Login betrachtet. Dafür ist der o.a. PAM-Eintrag zuständig. Wenn Du die Zeile mittels "#" auskommentierst, kann man sich direkt als root anmelden.

Mein Tipp: Lass es lieber bleiben und sattle schnell auf ssh um...

Jochen
Die grösste Lüge der EDV? "Mal eben..."

ottto
Beiträge: 176
Registriert: 09. Sep 2004 15:00

#12 Beitrag von ottto » 27. Sep 2005 7:42

Hallo,
ich hab die Zeile in der /etc/pam.d/login auskommentiert. Funktioniert.
Ich werde Euren Rat beherzigen und Telnet nicht mehr verwenden.

Vielen Dank!
ottto

Antworten