Estou usando ArchLinux nesta máquina, usando xinetd para configuração
/etc/xinetd.d/telnet
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/bin/telnetd
log_on_failure += USERID
disable = no
este é um login bem-sucedido no mesmo computador: telnet 192.168.1.2 (ou localhost)
Apr 15 15:36:22 geo xinetd[4363]: START: telnet pid=4369 from=192.168.1.2
Apr 15 15:36:31 geo login[4370]: pam_unix(remote:session): session opened for user root by .telnet(uid=0)
Apr 15 15:36:31 geo login[4370]: ROOT LOGIN ON pts/3 FROM localhost.localdomain
Apr 15 15:36:35 geo login[4370]: pam_unix(remote:session): session closed for user root
Este é um telnet malsucedido de outro computador. Não entendo por que os IPs remotos também aparecem no log (o segundo e muitos outros IPs estrangeiros sempre que inicio o servidor telnet na linha 2)
Apr 15 15:42:19 geo xinetd[4363]: START: telnet pid=4382 from=192.168.1.5
Apr 15 15:42:27 geo xinetd[4363]: START: telnet pid=4386 from=114.26.76.231
Responder1
Usando Telnet em 2018, apesar de ser altamente recomendado não fazê-lo; Wiki do ArchLinux emTelnet:
Telnet é o protocolo tradicional para fazer conexões de console remoto via TCP. Telnet énão é seguroe é usado principalmente para conectar equipamentos legados atualmente. O tráfego Telnet é facilmente detectado em busca de senhas e as conexões nunca devem ser feitas em qualquer rede não confiável, incluindo a Internet, a menos que seja criptografada com SSH ou encapsulada por meio de uma VPN. Para uma alternativa segura, consulte SSH.
Ver esses endereços IP estrangeiros em seus registros parece normal: essas são tentativas de conexão que você obtém simplesmente abrindo a porta Telnet 23na Internet aberta. Existem bots escaneando incansavelmente esta porta. É possível testar isso, por exemplo, usando sudo nc -l -p 23 -v -vqualquer IP público: em segundos ou alguns minutos você obterá uma conexão:
listening on [any] 23 ...
198.51.100.10: inverse host lookup failed: Unknown host
connect to [192.0.2.100] from (UNKNOWN) [198.51.100.10] 60061
Login:
tech
Password:
tech
s sent 17, rcvd 12
Embora o Telnet tenha sido abandonado nos servidores, muitos roteadores, switches e dispositivos IoT ainda o utilizam. É horrível que ao mesmo tempo sejam os dispositivos mais fáceis de começar a usar sem fazer nenhuma configuração real, inclusive deixar as senhas padrão. É exatamente por isso que ainda há essas varreduras em andamento. Se estiver mais interessado no assunto, o GitHub está cheio deHoneypot Telnetprojetos.
Você já viu o suficiente. Agora, a configuração fixa que você precisa:
/etc/xinetd.d/telnet
disable = yes