SLES9 telnet

Post Reply
Message
Author
ottto
Posts: 176
Joined: 09. Sep 2004 15:00

SLES9 telnet

#1 Post by ottto »

hallo,
ich installiere gerade einen SLES9.
Was ist zu tun um telnet/ftp - Verbindungen auf den Server zu erlauben????
Bei google hab nicht brauchbares gefunden.
Danke.
Ottto

User avatar
Hans Solo
prolinux-forum-admin
Posts: 601
Joined: 20. Apr 2004 12:19
Location: AT
Contact:

#2 Post by Hans Solo »

hi

laufen den die Dienste überhaupt?
lauft eine firewall?

telnet würde ich aus sicherheitstechnischen gründen überhaupt nicht verwenden.

mfg
arno
[root@host]# cd /pub
[root@host]# more beer

User avatar
frank rudolph
Posts: 146
Joined: 13. Apr 2004 12:18
Location: Giessen
Contact:

inetd

#3 Post by frank rudolph »

Hallo
Was ist beim inetd - xinetd - tcpd eingestellt?
mfg frank

ottto
Posts: 176
Joined: 09. Sep 2004 15:00

#4 Post by ottto »

Hallo,
Die Firewall ist nicht gestartet.
Der /etc/init.d/xinetd läuft.
zu den inetd und tcpd finde ich leider nichts.
(Mit den Diensten unter Linux hab ich leider noch nicht den Durchblick.)
Von einem anderen Rechner kann ich den SLES9 anpingen.
Telnet bricht mit "Could not open connection to the host, on port 23: Connect failed" ab.
FTP bringt ":Unbekannte Fehlernummer"
Ist sicherlich nur eine Sicherheitseinstellungen, aber welche??

ottto

User avatar
frank rudolph
Posts: 146
Joined: 13. Apr 2004 12:18
Location: Giessen
Contact:

xinetd

#5 Post by frank rudolph »

Hallo
Also bei meinem SLES ist der ftp (pure ftpd) abgeschaltet.
erst mal prüfen ob der ftp dienst überhaupt gestartet ist mit rcpure-ftpd status

Wenn du yast2 startest und dort unter -Netzwerkdienste-
den inetd (die Ampel als Icon) konfigurierst.
- schau mal ob der ftp dort angeschaltet ist.

Ein anderer Weg das festzustellen ist es, direkt unter /etc/xinetd.d nachzuschauen.
Dort gibt es Dateien ... unter anderem eine pure-ftpd und eine telnet
In diesen beiden Dateien gibt es wahrscheinlich jeweils einen Eintrag disable=yes
wenn das so ist dann sollte der Eintrag disable=no heissen
Ändern und dann speichern und dann rcxinetd reload oder restart.
In dem Zusammenhang wäre es noch intressant zu wissen was in der /etc/hosts.allow und hosts.deny drinsteht....
Zu Testzwecken würde ich die Eintragungen mit der # auskommentieren (danach aber wieder alles rückgängig machen :-) )
schau mal obs klappt ....
mfg frank

ottto
Posts: 176
Joined: 09. Sep 2004 15:00

#6 Post by ottto »

hallo frank,

Vielen Dank, für den guten Tipp!
ich hab unter der Ampel ftp und telnet eingerichtet. Funktioniert.!!!
In der /etc/ftpusers hab ich den root gelöscht. Jetzt kann ich mich sogar als root per ftp verbinden. Das klappt leider mit dem Telnet noch nicht. Hat jemand eine Idee??

Bei SLES8 gab es den /etc/rc.d/inetd .
Hat der /etc/rc.d/xinetd den inetd abgelöst???
Danke
ottto

User avatar
frank rudolph
Posts: 146
Joined: 13. Apr 2004 12:18
Location: Giessen
Contact:

telnet

#7 Post by frank rudolph »

Hallo
Hast du in die /etc/xinetd.d/telnet geschaut? Was steht da bei disable=? yes oder no?
bei änderungen den xinetd nich vergessen neu zu starten ....

In der /etc/services kannst du auch noch schauen ob der port 23 für telnet ausgeschaltet ist.

Öffne die /etc/services und such nach telnet. Wenn da die Einträge udp und tcp mit einer raute ausgeschaltet sind dann musst du die raute wegnehmen und die Datei dann speichern.
mfg
frank

ottto
Posts: 176
Joined: 09. Sep 2004 15:00

#8 Post by ottto »

Hallo frank,

ich glaube ich hab mich ein wenig falsch ausgedrückt.
Telnet funktioniert mit einem beliebiegem user super.

Nur wenn ich mich mit root anmelden will, bekomme ich "Login incorrect"



Hier noch der Inhalt der /etc/xinetd.d/telnet

# default: off
# description: Telnet is the old login server which is INSECURE and should \
# therefore not be used. Use secure shell (openssh).
# If you need telnetd not to "keep-alives" (e.g. if it runs over a ISDN \
# uplink), add "-n". See 'man telnetd' for more details.
service telnet
{
socket_type = stream
protocol = tcp
wait = no
user = root
server = /usr/sbin/in.telnetd
}


Danke
ottto

User avatar
frank rudolph
Posts: 146
Joined: 13. Apr 2004 12:18
Location: Giessen
Contact:

ja stimmt

#9 Post by frank rudolph »

also der xinetd hat den inetd ab sles8 abgelöst.

Das andere Problem habe ich auch ... also kein root einloggen bei telnet.

Kann auch sein das das Absicht ist ... weil ja alle wissen das telnet unsicher ist mit klartext Passwort usw.....und dann root ..... ????

Kannst du mir nur so aus neugier mal in zwei Sätzen sagen warum es Telnet sein muss und nicht ssh sein kann?
mfg
frank

ottto
Posts: 176
Joined: 09. Sep 2004 15:00

#10 Post by ottto »

Hallo frank,
es laufen in unserer firma mehrere SLES8 als DB-Plattform. Diese werden halt standartmäßig noch mit telnet verwaltet. Intern muss die geschützte Verbindung nicht sein, denke ich. (würde aber auch nicht schaden).

ottto

User avatar
jochen
prolinux-forum-admin
Posts: 699
Joined: 14. Jan 2000 15:37
Location: Jülich
Contact:

#11 Post by jochen »

Hi, ottto!

Die Mehrzahl der Angriffe auf Firmennetze kommen von innen, nicht von außen... Für das Mitsniffen von telnet/FTP-Logins gibt es fertige, simpel einzusetzende Programme. Auch geswitchte Netze helfen nicht weiter - Stichwort ARP-Poisoning/MAC-Table Overflow. Es wäre besser, wenn Du ganz auf Telnet/FTP verzichten könntest. Alternativ niemals als root mit diesen Protokollen über's Netz gehen!

Man denke einfach mal an den eingeschmuggelten Laptop eines Mitarbeiters mit einer passenden Linux-Distribution - falls nicht einige Leute sowieso booten können, was sie wollen...

Als telnet-Ersatz funktioniert ssh einwandfrei, für FTP kann man sftp oder auch scp verwenden. Aus der WIndowswelt greift man dann mittels PuTTY und WinSCP auf die Maschinen zu.

Solltest Du trotz allem nicht davon abzubringen sein, telnet direkt als root machenzu wollen, dann kommentiere eben aus der /etc/pam.d/telnet (telnetd?) die Zeile

Code: Select all

auth       required     /lib/security/pam_securetty.so
aus. Normalerweise werden nur Terminals, deren Name in der Datei /etc/securetty aufgeführt sind, als sicher für einen Root-Login betrachtet. Dafür ist der o.a. PAM-Eintrag zuständig. Wenn Du die Zeile mittels "#" auskommentierst, kann man sich direkt als root anmelden.

Mein Tipp: Lass es lieber bleiben und sattle schnell auf ssh um...

Jochen
Die grösste Lüge der EDV? "Mal eben..."

ottto
Posts: 176
Joined: 09. Sep 2004 15:00

#12 Post by ottto »

Hallo,
ich hab die Zeile in der /etc/pam.d/login auskommentiert. Funktioniert.
Ich werde Euren Rat beherzigen und Telnet nicht mehr verwenden.

Vielen Dank!
ottto

Post Reply