早在2009年5月,我就写过关于保护telnetd的安全,使只有RSN进程才有能力使用它(Telnet不能没有它,没有它就不能活)。当时我考虑的是远程服务网络,但最近我想起了运行telnetd进程的另一个非常重要的原因--远程打印机。
所述站点不允许任何外部(公司)访问系统,并且使用SSH进行所有交互式访问,所以觉得不运行telnetd进程是安全的。他们的一切配置都是正确的,但当他们登录spooler时,它报告说打印机处于离线状态,他们看不到系统试图与打印机建立TCP连接。
打印设备的配置参数串为"-access_layer tli_al -ip A.B.C.D,P -tcp_only"。"-access_layer tli_al"告诉系统,要访问设备需要TLI层,这基本上就是telnetd进程。"-ip A.B.C.D,P"是打印机的IP地址和要连接的端口号。正是由于"-tcp_only"让SysAdmin误以为telnetd是不会使用的,因为它是"只用tcp"。其实这个字符串只是告诉telnetd在建立连接后不发送任何telnet选项。
那么如果你必须运行telnetd与远程打印机建立连接,如何确保它也不接受连接呢?最简单的方法是有一个空的telnetservice文件,你需要这个文件存在,telnetd才能启动,但它不必指定telnetd将监听任何端口。
旗下公司