Hallo,

ich habe vor als Prüfungsprojekt einen lokalen Linux-Server (SuSE 9.0) aufzusetzen, dieser soll dann über SSH ferngesteuert werden können, allerdings habe ich festgestellt das auch Telnet aktiv ist - wie kann ich Telnet deaktivieren?

Unter /etc/inetd.conf bzw. xinetd.conf konnte ich keinen Telnet-Eintrag finden?

Danke schonmal im Voraus

Gruß
weally

Das geht bestimmt mit Yast irgendwie. :) Ansonsten würde ich mal schauen, ob telnetd ein eigenes Initskript besitzt.

Hallo,

danke für die schnelle Antwort :), ich habe Telnet nun über Yast entfernt allerdings kann ich den Linux-Server immernoch erreichen:

Wenn ich z.B. in Telnet "open 192.168.1.10 21" eingebe erhalte ich:



220 "Pruefungs-FTP-Server SuSE 9.0"
...
530 Please login with USER and PASS.


Kann man den Telnet-Zugriff nicht komplett vom Server blocken lassen, sodass der Server auf keine Telnet-Anfragen reagiert?

Der Zugriff sollte nur per SSH möglich sein.

telnet komplett deinstallieren?

Wenn ich z.B. in Telnet "open 192.168.1.10 21" eingebe erhalte ich:


...die Antwort eines laufenden FTP-Servers? :ugly:


Der angegebene Port 21 ist für FTP, Telnet nutzt standardmäßig Port 23!

Das tool telnet ist ein Client-Programm, das hat nix mit dem telnetd (daemon) zu tun. Mit telnet kannst du dich "von Hand" und mit Portangabe über andere Klartextprotokolle unterhalten, z.B. via POP3 oder IMAP4 deine Mails abfragen (was sonst dein Mailprogramm tut).

Mit dem Netzwerkscanner nmap kannst du ja mal den Rechner scannen, allerdings sollte dieser Scan von außerhalb gemacht werden, da manche Dienste sowieso nur auf localhost (127.0.0.1) oder das lokale Netzwerk hören.


Gruß
L00NIX

Hallo,

das Port 21 der FTP ist, ist mir schon klar ;) aber genau das möchte ich ja unterbinden das der Linux-Server auf Telnet-Verbindungen (egal welcher Port) reagiert.

Auf den Telnet Port selber kann keine Verbindung aufgebaut werden:


Verbindungsaufbau zu 192.168.1.10 ...
Es konnte keine Verbindung mit dem Host hergestellt werden, auf Port 23:
Verbinden fehlgeschlagen


Kann man z. B. nicht auch Port 21 oder 25 für Telnet-Verbindungen sperren.
Eine FTP-Verbindung soll nur mit einem FTP-Programm/Browser hergestellt werden können -> nicht über Telnet.

Emails sollen z.B. über OutlookExpress abgerufen/gesendet werden können -> nicht über Telnet.

Ist sowas nicht machbar?

telnet komplett deinstallieren?

Das war ja meine Frage ;)
Ich habe Telnet über Yast deinstalliert (wie von Tomek beschrieben), unter /etc/inetd.conf bzw. xinetd.conf konnte ich auch keinen Telnet-Eintrag finden :o
Dort müsste Telnet doch normalerweise aufgeführt sein oder nicht :confused:

Das ist AFAIK ein völlig normales verhalten. Ich habe auf meinem Server kein Telnet laufen - kein Daemon, nichts. Trotzdem kann ich mich mit einem Telnetclient auf Port 25/tcp (SMTP) verbinden. Völlig normal. Es ist kein Telnetserver der antwortet, sondern der Daemon der auf dem Zielport hockt. Daher sehe ich da keinen Fehler drin.

übrigens würdest Du mit telnet IP 22 einen Connect auf den SSH-Server bekommen. Und wenn Du das mit der Verschlüsselung manuell richtig hinbekommst kannst Du dich mit dem auch unterhalten...

Daher also - siehe bla!zilla - ein völlig normales und durchaus statthaftes Verhalten. Es hindert sich ja auch niemand, mit deinem Telefon ein Fax anzurufen und wenn Du gut im Pfeifen bist... :-)

Ja aber warum reagiert GMX, Linuxforen.de z. B. nicht auf Telnet :confused: (okay http Port reagiert über Telnet)



telnet gmx.de smtp
Verbindungsaufbau zu gmx.de...
Es konnte keine Verbindung mit dem Host hergestellt werden,
auf Port smtp: Verbinden fehlgeschlagen



Daher muss es doch möglich sein Telnet serverseitig zu blocken :rolleyes:
Das würd mich jetzt schon interessieren :D

Application-Level Gateway vor den SMTP-Servern?

oder einfach kein smtp server auf dem webserver?



gmx.de. 63650 IN MX 10 mx0.gmx.de.
gmx.de. 63650 IN MX 10 mx0.gmx.net.

Dann versuch doch hier mal einer schnell ein

telnet mx0.gmx.net 25

Ich sitze hier hinter einer Firewall, die SMTP aus dem Client-Range nicht zulässt. :ugly:

Application-Level Gateway vor den SMTP-Servern?

Inwiefern könnte diese eine interaktive Telnet-Sitzung via SMTP von einer "echten" unterscheeden?

Eigentlich gar nicht. Zumindest steht im Paket nicht drin das es mittels Telnet initiert worden ist. Der SRC Port ist eh egal, und der DST Port ist 25/tcp. Ich kann mich mit dem Application-Level Gateway aber auch irren. Man müsste mal so eine Session mitsniffen und analysieren.

dipsy:~# telnet mx0.gmx.net 25
Trying 213.165.64.100...

Connected to mx0.gmx.de.
Escape character is '^]'.
554-{mx027} Your address is listed as dynamic on SORBS (dul.dnsbl.sorbs.net)
554 We are currently not accepting connections from such hosts.
Connection closed by foreign host.


:D

Daher muss es doch möglich sein Telnet serverseitig zu blocken :rolleyes:
Das würd mich jetzt schon interessieren :D
Known Feature, WONTFIX.

telnet (ohne 'd') ist ein normaler TCP-Client, wie etwa auch netcat. Wenn du nicht willst, dass man sich mit deinen Diensten verbinden kann, beende die Dienste.

Known Error, um es mal im ITIL Jargon zu sagen. *g*

Mahlzeit...


Dann versuch doch hier mal einer schnell ein

telnet mx0.gmx.net 25

Ich sitze hier hinter einer Firewall, die SMTP aus dem Client-Range nicht zulässt. :ugly:

Habe es ausprobiert:

telnet mx0.gmx.net smtp


Trying 213.165.64.100...
Connected to mx0.gmx.net.
Escape character is '^]'.
220 {mx051} GMX Mailservices ESMTP


Scheint zu gehen...

[edit]...hab jetzt auch gesehen, dass es eine zweite Seite mit Antworten gab. :)

Grüße
Marc

Warum nicht einfach in der /etc/inetd.conf blockieren?

#telnet ....

Und schon ists dicht.

Warum nicht einfach in der /etc/inetd.conf blockieren?

#telnet ....

Und schon ists dicht.
telnet ja - aber darum geht's doch hier gar nicht... Du hast wohl den Thread nicht komplett gelesen...

ein telnet auf dem smtp-Port geht, solange ein smtp-Server läuft. Das deaktivieren von Telnet bringt da leider herzlich wenig...

Vielleicht ist Portknocking das was du suchst:
http://pvs.informatik.uni-heidelberg.de/Teaching/CSFP-0506/eberle.pdf
kenn mich mit der Materie selbst nicht aus, bin nur zufällig über das Seminar gestolpert und hab mich an diesen Thread hier erinnert...

... Portknocking ist nur für Anwendungen gedacht, die man
selbst, aber sonst niemand, benötigt (z.B. ssh zur
Serveradministration)...

... Wissen viele von dem verstecken Daemon oder steht es gar auf der
Webseite, ist der Nutzen von Portknocking gering. Öffentliche
Dienste wie HTTP und smtp sind gar nicht durch Portknocking
schützbar...


... kommt also drauf an :-)

Telnet ist ein Client, mit dem man so ziemlich jeden Dienbst nutzen kann, dessen Protokoll man tippen kann ;)
Ich hab mit telnet hostname 25 schon mails geschrieben...

... und Dein Lieblingseditor ist cat >> datei?

wenn ich nur schnell was notieren muss, langt es; meist in der Form von
cat > /tmp/x

wenn ich nur schnell was notieren muss, langt es; meist in der Form von
cat > /tmp/x

Wenn du noch die Möglichkeit des Editierens brauchst, also mal längere Texte schreiben muss, empfehle ich aber ed:



?

... ach was, das macht man per sed oder grep...