Estoy usando ArchLinux en esta máquina, usando xinetd para la configuración
/etc/xinetd.d/telnet
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/bin/telnetd
log_on_failure += USERID
disable = no
esto es un inicio de sesión exitoso desde la misma computadora: telnet 192.168.1.2 (o localhost)
Apr 15 15:36:22 geo xinetd[4363]: START: telnet pid=4369 from=192.168.1.2
Apr 15 15:36:31 geo login[4370]: pam_unix(remote:session): session opened for user root by .telnet(uid=0)
Apr 15 15:36:31 geo login[4370]: ROOT LOGIN ON pts/3 FROM localhost.localdomain
Apr 15 15:36:35 geo login[4370]: pam_unix(remote:session): session closed for user root
Este telnet no tuvo éxito desde otra computadora. No entiendo por qué las IP remotas también aparecen en el registro (la segunda y muchas otras IP extranjeras cada vez que inicio el servidor telnet en la línea 2)
Apr 15 15:42:19 geo xinetd[4363]: START: telnet pid=4382 from=192.168.1.5
Apr 15 15:42:27 geo xinetd[4363]: START: telnet pid=4386 from=114.26.76.231
Respuesta1
Usar Telnet en 2018, a pesar de que es muy recomendable no hacerlo; Wiki ArchLinux enTelnet:
Telnet es el protocolo tradicional para realizar conexiones de consola remota a través de TCP. Telnet esno es seguroy hoy en día se utiliza principalmente para conectarse a equipos antiguos. El tráfico Telnet se rastrea fácilmente en busca de contraseñas y las conexiones nunca deben realizarse a través de ninguna red que no sea de confianza, incluida Internet, a menos que estén cifradas con SSH o canalizadas a través de una VPN. Para conocer una alternativa segura, consulte SSH.
Ver esas direcciones IP extranjeras en sus registros parece normal: son intentos de conexión que se obtienen simplemente abriendo el puerto Telnet 23en Internet abierto. Hay bots que escanean incansablemente este puerto. Es posible probar esto, por ejemplo, usando sudo nc -l -p 23 -v -vcualquier IP pública: en segundos o en un par de minutos obtendrás una conexión:
listening on [any] 23 ...
198.51.100.10: inverse host lookup failed: Unknown host
connect to [192.0.2.100] from (UNKNOWN) [198.51.100.10] 60061
Login:
tech
Password:
tech
s sent 17, rcvd 12
Si bien Telnet está abandonado en los servidores, muchos enrutadores, conmutadores y dispositivos IoT todavía lo utilizan. Es horrible que al mismo tiempo sean los dispositivos más fáciles de empezar a usar sin hacer ninguna configuración real, incluido dejar las contraseñas predeterminadas. Esta es exactamente la razón por la que todavía se realizan esos escaneos. Si está más interesado en el tema, GitHub está lleno deHoneypot Telnetproyectos.
Ya has visto suficiente. Ahora, la configuración fija que necesitas:
/etc/xinetd.d/telnet
disable = yes