Wie kann telnetd-ssl auf einem Ubuntu-Server als Backup auf SSH eingerichtet werden?

441
BlandCorporation

Ein auftretender Fehler /etc/ssh/sshd_configkann möglicherweise Benutzer oder Administratoren von einem Server ausschließen, auf den nur über SSH zugegriffen werden kann. Telnet SSL ist eine Sicherungsmöglichkeit, um in einem solchen Szenario auf den Server zuzugreifen. Wie kann ein Telnet-SSL-Server auf einem Ubuntu-Server eingerichtet werden?

Telnet SSL wird auf folgende Weise installiert:

sudo apt install telnetd-ssl

Bei der Installation wird das Zertifikat erstellt /etc/telnetd-ssl/telnetd.pem. Wenn der Telnet-SSL-Client versucht, eine Verbindung zum Telnet-SSL-Server herzustellen, akzeptiert er das Zertifikat nicht, was zu einer Clientausgabe wie folgt führt:

$ telnet-ssl -z secure example.org 23 Trying 127.0.0.1... Connected to example.org. Escape character is '^]'. [SSL - attempting to switch on SSL] [SSL - handshake starting] SSL: Server has a self-signed certificate SSL: unknown issuer: /O=Internet Widgits Pty Ltd/OU=m93p telnetd/CN=example./emailAddress=root@example. SSL: certificate verify failed telnet: Unable to ssl_connect to remote host Connection closed.

Wie kann das angesprochen werden?

1
Ein Fehler in `sshd_config` wirkt sich nicht auf bestehende Verbindungen aus. So können Sie Änderungen einfach testen, indem Sie nach dem Neustart von` sshd 'eine zweite Sitzung öffnen. Daniel B vor 6 Jahren 0

1 Antwort auf die Frage

0
jww

Telnet-SSL-Server akzeptiert das Zertifikat nicht, was zu einer Clientausgabe wie folgt führt:

$ telnet-ssl -z secure example.org 23 ... SSL: Server has a self-signed certificate SSL: unknown issuer: /O=Internet Widgits Pty Ltd/OU=m93p telnetd/CN=example./emailAddress=root@example. SSL: certificate verify failed

Den telnet-ssl(1)Manpages zufolge sieht es so aus, als ob Sie eine -z cert=<cert file>Option benötigen .

-z cert=<cert file>ist erforderlich, da der Aussteller (Subject DN = /O=Internet Widgits Pty Ltd/OU=m93p telnetd/CN=example./emailAddress=root@example) dem System nicht vertraut. Das Zertifikat befindet sich also nicht in /etc/ssl/certs/.

Eine weitere Option kann das Hinzufügen des Zertifikats sein /etc/ssl/certs/. Für Debian und Ubuntu kopieren Sie einfach ein neues Zertifikat im PEM-Format in das Verzeichnis /etc/ssl/certs/. Das neue Zertifikat befindet sich neben den anderen etwa 450 Zertifikaten.

Für Fedora müssen Sie das neue Zertifikat an die Datei anhängen /etc/ssl/certs/ca-bundle.crt. ca-bundle.crtist wirklich ein Link zu /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem. tls-ca-bundle.pemist nur eine Verkettung der PEM-Dateien in einer einzigen Datei.

Fedora hat auch eine /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt, aber ich glaube nicht, dass Sie es verwenden würden, weil ca-bundle.trust.crtfür CAs ist, und das selbst signierte Zertifikat Endentitätszertifikat soll nicht hat CA=TRUEin Basiseinschränkungen.

Es ist erwähnenswert, dass ich noch nie verwendet habe, telnet-sslso dass ich keine vollständige Antwort geben kann, die auf Erfahrung basiert. Sie werden wahrscheinlich auf weitere Probleme stoßen, wenn Sie über "Vertrauen in dieses SSL-Zertifikat" hinausgehen. Es sieht zum Beispiel so aus, als würde Telnet über TLS Port 992 verwenden, nicht 23.

Verwandte Probleme