2009年5月、私はtelnetdをセキュリティ対策し、RSNプロセスだけがそれを使用できるようにする方法について記事を書きました(『Telnetはこれなしでは生きられないが、これがあると厄介だ』)。当時はリモートサービスネットワークについて考えていましたが、最近、telnetdプロセスを実行するもう一つの非常に重要な理由――リモートプリンター――を思い出しました。
当該サイトでは、社外からのシステムへのアクセスを一切許可しておらず、すべての対話型アクセスにSSHを使用していたため、telnetdプロセスを実行しなくても安全だと判断していました。設定はすべて正しく行われていましたが、スプーラーにログインしたところ、プリンターがオフラインであると報告され、システムがプリンターとのTCP接続を確立しようとしている兆候は見られませんでした。
この印刷デバイスは、「-access_layer tli_al -ip A.B.C.D,P -tcp_only」というパラメータ文字列で設定されていました。「-access_layer tli_al」は、デバイスにアクセスするにはTLIレイヤーが必要であることをシステムに指示するもので、これは基本的にtelnetdプロセスに相当します。 「-ip A.B.C.D,P」は、プリンタのIPアドレスと接続先のポート番号です。システム管理者がtelnetdが使用されないだろうと考えたのは、「-tcp_only」という指定があったためです。これは「TCPのみ」を意味するからです。しかし実際には、この文字列は接続確立後にtelnetオプションを送信しないようtelnetdに指示するだけのものです。
では、リモートプリンタへの接続を確立するためにtelnetdを実行する必要がある場合、telnetdが外部からの接続を受け付けないようにするにはどうすればよいでしょうか?最も簡単な方法は、telnetserviceファイルを空の状態にすることです。telnetdを起動するにはこのファイルが存在する必要がありますが、telnetdが特定のポートでリスニングすることを指定する必要はありません。