简易 Telnet 与 SSH 主机设定(5)

　　o root 不能直接以 telnet 连接上主机：

　　基本上，既然 telnet 不是很安全，自然预设的情况之下就是无法允许 root 以 telnet 登入 Linux 主机的！但是，事实上， telnet 只是利用 PAM 模块来管制 root 的登入而已，因此，如果你确定你的环境够安全(例如你的主机并没有连上 Internet )，并且想要开放 root 以 telnet 登入 Linux 主机的话，请修改 /etc/pam.d/login 这个档案的第二行设定即可：

　　如此一来， root 将可以直接进入 Linux 主机了！不过，还是不建议如此做的！

　　o 加上防火墙 iptables：

　　针对 telnet 加设防火墙 iptables 是一个好主意！如果您已经参考了 VBird 之前写的『简易防火墙架设』一文，并且使用里面的 scripts 的话，那么不用担心 telnet 啦！基本上，他原本就仅对内部开放 telnet ，外部是无法连上您的 telnet 的！但是，若是您自己设定了自己的防火墙机制之后，那么想要针对 192.168.0.0/24 这个网域，及 61.xxx.xxx.xxx 这个 IP 进行 telnet 的开放呢？可以增加这几行在您的 iptables 规则之内(请注意：防火墙的规则顺序是很重要的！所以再回头看看 简易防火墙架设 一文是有必要的！)

　　上面的规则中，第一、二行是针对来源的 IP 来开放 port 23 亦即是 telnet 的协议啦！而最后一行则是将其它的所有来源的，想要连上 telnet 的联机封包都丢掉的意思！怎么样！很简单吧！

　　o 加上防火墙 /etc/hosts.allow(deny) 机制：

　　防火墙的机制是越多越好！永远也不嫌多的啦！这里也可以使用 TCP_Wrappers 的机制呢！刚刚是开放了 192.168.0.0/24 这个网段，但是如果你只想要其中的 192.168.0.1 ~ 192.168.0.5 进入呢？而其它的 IP 只要一经联机，就会被记录该 IP ，以提供 root 查询呢？可以这样做：

　　更详细的 TCP_Wrappers 用法请参考 简易防火墙架设 一文啰！

　　o 建议事项：

　　说真的， telnet 真的不是很安全的！简直应该说为『危险』等级的服务，所以尽量不要激活他啦：

　　1. 非必要时，不要激活 telnet ，如果真的需要激活 telnet ，那么也请在激活并且使用完毕之后，立即将他关掉！

　　2. 如果确定真的要激活 telnet 时，请确定好限制的联机范围，使用 iptables 来设定联机的限制区域；

　　3. 加上 TCP_Wrappers 的辅助，加强防火墙的功能！

　　4. 随时注意登录档案里面关于 login 的事项！并且不要让 root 能以 telnet 登入 Linux 主机！

　　------------------------------------------------------------------------------------------------