说到老旧的Telnet，很多人第一反应就是“平安性太差”。但在一些内部网络、嵌入式设备或是教学实验环境里Telnet仍然不可或缺。只要把用户权限管好，它完全可以做到“只让该来的不让不该来的”。下面 我把自己折腾了几天的经验浓缩成一篇文章——从创建专用账号到PAM细粒度控制再到xinetd+tcpd双保险层层递进，让你在Debian上玩转Teltel，雪糕刺客。。

一、 先把Telnet服务装起来

在Debian系发行版里Telnet通常由xinetd托管。下面的命令一次性搞定：，我们一起...

# 更新源
sudo apt-get update
# 安装 telnet 与 xinetd
sudo apt-get install telnet xinetd
# 启动并设为开机自启
sudo systemctl enable xinetd
sudo systemctl start xinetd

结果你猜怎么着？ 顺手检查一下服务是否已经在监听 23 端口：

# netstat -tlnp | grep :23
tcp        0      0 0.0.0.0:23            0.0.0.0:*               LISTEN      1234/in.telnetd

二、 创建专用Telnet账号——别让普通用户直接跑shell

我们先造一个叫teluser的账号，只给它最小化的shell：，躺赢。

# 添加用户
sudo useradd -M -s /sbin/nologin teluser
# 如需临时密码，可自行设定
sudo passwd teluser

如果以后想给它限定几条特定命令，可以把默认 shell 换成受限 shell /usr/bin/rbash 或者自定义脚本。

表格：常见Telnet账号与对应Shell映射

User	SHELL	备注
admin_telnet	/bin/bash	仅内部管理员使用，高危操作请加二次验证。
teluser	/sbin/nologin	只能登录但不能施行任何命令，用作审计。
audit_user	/usr/bin/rbash	受限 Bash，只能施行 whitelist 中的脚本。

三、用 PAM 锁定谁能登录——细粒度控制从这里开始

切中要害。 PAM是 Debian 上最强大的认证框架。我们只需要编辑/etc/pam.d/telnet** 文件即可。

Edit /etc/pam.d/telnet：

# vim /etc/pam.d/telnet
auth   required   pam_securetty.so          # 只允许可信终端
auth   required   pam_unix.so nullok_secure # 本地密码校验
account required   pam_access.so             # 基于 /etc/security/access.conf 的访问控制
session required   pam_limits.so             # 会话资源限制
session required   pam_env.so                # 环境变量加载
session optional   pam_lastlog.so            # 登录记录提示

/etc/security/access.conf 示例：，干就完了！

# Deny all by default
-:ALL:ALL
# Allow specific users from internal network
+ : admin_telnet : LOCAL .example.com
+ : teluser      : 192.168.1.0/24

不忍卒读。 记得保存后 用以下命令重启 xinetd，使 PAM 配置马上生效：

# systemctl restart xinetd

四、借助 tcpd 再加一层防护——防止恶意脚本直接挂起守护进程

xinetd 的配置文件通常位于/etc/xinetd.d/telnet**。我们在这里加入 tcpwrapper：，太虐了。

# vim /etc/xinetd.d/telnet
service telnet
{
    disable         = no
    socket_type     = stream
    protocol        = tcp
    wait            = no
    user            = root                     # 必须以 root 启动才能套上 tcpwrapper
    server          = /usr/sbin/in.telnetd     # 真正的守护进程路径
    log_on_failure  += USERID                  # 登录失败记录用户名/IP
    # -------------------------------------------------
    # 以下两行是关键：使用 tcpwrapper 包裹守护进程，
    # 并通过 hosts.allow/deny 实现 IP 白名单。
    #
    server_args     = -a                 # 将请求交给 /usr/sbin/tcpd 包装器处理
}
# 再说说别忘了把真正的包装指令写进 /etc/services 或者直接改成：
# telnet stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.telnetd
# 保存退出后
重启 xinetd 即可。

/etc/hosts.allow 示例:

# vim /etc/hosts.allow
telnet : 192.168.1.0/24 : allow_rootlogin=YES : spawn 
# 或者更简洁：
in.telnetd : 192.168.1.0/24 EXCEPT localdomain : ALLOW

/etc/hosts.deny 示例:

# vim /etc/hosts.deny
telnet : ALL : DENY
in.telnetd : ALL : DENY

五、会话资源限制——防止“一锅端”式炸弹攻击

PAM 的pam_limits.so** 可以帮我们限制每个 IP 一边最多多少个连接。 我懂了。 比方说 在/etc/security/limits.conf** 加入：

# 限制每个用户最多10个并发 Telnet 会话
@telusers          hard    maxlogins       10
# 对所有用户，每秒最多接受5个新连接
*                  hard    maxlogins       5   @per_source=10 per_source=20 seconds=1 
# 注意：上述示例仅供参考，需要结合实际需求微调。

小贴士：使用 setcap 为非特权用户打开 Telnet 二进制文件

If you really need a non‑root user to run d 精辟。 aemon directly , you can grant capabilities:

# sudo setcap cap_net_bind_service=+ep /usr/sbin/in.telnetd 
# 此后即使不是 root，也能绑定到低于1024端口。

六、验证与排错——一步步确认你的“铁壁”已经生效

• 本地测试： 在服务器上施行 $ telnet localhost 23  若出现 “Login:” 提示说明服务已启动。
• 远程测试： 从受信任机器尝试登录；再从外网尝试，看是否被 hosts.deny 拒绝。
• PAM 日志： 查看系统日志 $ journalctl -u xinetd -f | grep telnet  可以快速定位认证失败原因。
• TCP Wrappers 调试：  $ sudo tcpdump -i any port 23 -n  捕获数据包确认来源 IP 是否被拦截。
• XINETD 配置检查：  $ sudo service xinetd status  确保没有 syntax error。

七、 收尾感言：平安不是“一刀切”，而是“层层叠加” 🎉

AWS云里玩 Docker？还是老旧路由器上跑 OpenWrt？无论场景怎样， 只要把“谁能连”“谁能跑”“跑什么命令”这三块拆开来分别控制，就已经把 Telnet 的风险降到了最低。记住一句老话：“平安是一场马拉松，而不是百米冲刺”。所以 即使现在已经配置完毕，也请定期审计 hosts.allow/deny、PAM 日志以及系统账户状态——毕竟攻击者总爱找遗漏。

---

©2026 技术分享站点 | 本文基于 Debian 官方文档与个人实战经验撰写， 仅供学习交流，请勿用于非法目的。 如有版权争议，请联系本站删除。

---