在 Linux 系统中开启 Telnet 服务主要涉及安装服务端软件包、配置超级守护进程或独立服务、调整防火墙策略以及开放默认的 23 端口。必须明确的是,由于 Telnet 采用明文传输数据,存在严重的安全隐患,因此在生产环境中强烈建议使用 SSH 协议替代。 仅在网络设备调试、特定遗留系统维护或隔离的内网环境中,才建议临时开启 Telnet 服务,以下将基于 CentOS/RHEL 和 Ubuntu/Debian 两大主流发行版,详细阐述从安装到配置及安全加固的全流程操作。
环境准备与软件包安装
在开始配置之前,首先需要确认当前系统的发行版本,并检查是否已安装 Telnet 服务端组件,Telnet 服务通常由 telnet-server 提供,且在许多 Linux 发行版中,它依赖于 xinetd(超级守护进程)来管理,或者可以直接作为独立服务运行。
对于基于 RedHat 的系统(如 CentOS 7/8、RHEL),使用 yum 或 dnf 进行安装,执行以下命令可以同时安装服务端和客户端工具,以及 xinetd 守护进程:
yum install -y telnet-server telnet xinetd
对于基于 Debian 的系统(如 Ubuntu),软件包名称可能略有不同,通常使用 apt 进行安装:
sudo apt update sudo apt install -y telnetd telnet xinetd
安装完成后,不要急于启动服务,必须先进行配置文件的修改,因为默认情况下 Telnet 服务往往是禁用的。
配置 Telnet 服务
Telnet 的配置核心在于控制其开启状态以及访问权限,在大多数依赖 xinetd 的系统中,配置文件位于 /etc/xinetd.d/telnet,如果该文件不存在,可能需要手动创建或从模板复制。
编辑 /etc/xinetd.d/telnet 文件,关键参数修改如下:
service telnet
{
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.telnetd
log_on_failure += USERID
disable = no # 将默认的 yes 改为 no,以开启服务
only_from = 192.168.1.0/24 # 可选:限制仅允许特定网段访问,增强安全性
}
disable = no 是开启服务的关键指令。only_from 参数是一个非常专业的安全控制手段,建议务必配置,通过指定 IP 地址或网段(如 0.0.0/8 或特定的管理 IP),可以有效防止互联网上的随机扫描和暴力破解,如果不添加此行,意味着任何能连通服务器 IP 的人都可以尝试连接,这在安全上是极大的风险。
对于使用 systemd 直接管理 Telnet 的较新系统(如某些特定的 CentOS 8 配置),可能不需要 xinetd,配置方法更为简单,直接通过 systemctl 命令管理即可:
systemctl enable telnet.socket systemctl start telnet.socket
防火墙与 SELinux 设置
配置文件修改完毕后,服务实际上仍未对外生效,因为 Linux 的防火墙(Firewalld 或 Iptables)默认会拦截外部对 23 端口的访问,如果系统开启了 SELinux,它也可能阻止 Telnet 的非标准连接。
配置 Firewalld 防火墙(适用于 CentOS 7+):
firewall-cmd --permanent --add-service=telnet firewall-cmd --reload
如果使用的是 Iptables,则需要添加相应的规则:
iptables -A INPUT -p tcp --dport 23 -j ACCEPT service iptables save
SELinux 设置:在 enforcing 模式下,Telnet 可能会被阻止,可以使用以下命令检查并临时调整:
getsebool -a | grep telnet setsebool -P telnet_disable_trans 1 # 注意:不同版本策略名称可能不同,需根据实际情况调整
启动服务与验证
完成上述配置后,即可启动服务,对于使用 xinetd 的场景,只需重启 xinetd 即可,它会自动加载下管的 Telnet 配置:
systemctl restart xinetd systemctl enable xinetd
启动成功后,使用 netstat 或 ss 命令验证端口监听状态:
ss -antp | grep 23
如果看到类似 LISTEN 0 64 [::]:23 ... 的输出,说明 Telnet 服务已成功开启并监听。
在客户端进行连接测试,可以使用另一台 Linux 机器或 Windows 的 CMD 工具:
telnet <服务器IP> 23
输入正确的 Linux 用户名和密码后,如果能够成功登录,说明服务部署完全成功。如果登录失败,请务必检查服务器的 /var/log/secure 或 /var/log/messages 日志文件,这是排查认证失败或连接被拒绝最权威的依据。
安全建议与最佳实践
虽然 Telnet 方便调试,但其明文传输的特性使得账号密码极易被嗅探,在实际运维中,应遵循以下专业原则:
- 严格限制访问源:务必在
/etc/xinetd.d/telnet中配置only_from,或在防火墙中配置仅允许管理 IP 访问,绝不可将 23 端口暴露在公网。 - 最小化使用时间:调试完毕后,应立即将配置文件中的
disable改回yes并重启服务,关闭 Telnet。 - 日志审计:定期检查
/var/log/secure,关注异常的登录尝试,及时发现潜在攻击。
通过以上步骤,您可以安全、可控地在 Linux 环境下开启并使用 Telnet 服务,既满足了临时的运维需求,又最大程度地规避了安全风险。
相关问答
Q1:为什么我安装了 telnet-server 后,使用 telnet 命令连接服务器显示 “Connection refused”?
A1: 出现 “Connection refused” 通常有两个原因,第一,服务未正确启动,请检查 xinetd 是否正在运行(systemctl status xinetd),并确认 /etc/xinetd.d/telnet 文件中 disable 的值是否为 no,第二,防火墙拦截,如果防火墙未开放 23 端口,通常会显示 “Connection timed out”,但如果本地服务未监听该端口,也会报拒绝连接,建议先在服务器本地使用 netstat -tlnp | grep :23 确认端口是否处于 LISTEN 状态。
Q2:Telnet 和 SSH 的主要区别是什么,为什么现在都推荐用 SSH?
A2: 核心区别在于安全性,Telnet 是明文传输协议,所有数据(包括用户名和密码)在网络中都以纯文本形式发送,黑客很容易通过抓包工具窃取凭据,而 SSH(Secure Shell)采用加密传输,所有数据都经过高强度加密,即使被截获也无法解密,SSH 支持更强大的身份验证机制(如公钥认证)和端口转发功能,除了极少数特殊的网络设备调试环境外,SSH 是远程管理的绝对首选。
