第二、 允许root帐号采用Telnet协议远程登录。
即使启用来Telent服务,默认情况下系统管理员仍然不能够利用Telnet协议远程登录操作系统。这主要是因为默认情况下,在红帽子Linux操作系统中,是不允许root帐户采用Telnet进行远程登录的。而作为系统管理员来说,如果要执行管理任务的话,则大部分情况下都需要特权用户root才能够完成。所以启用了Telnet服务后,还需要允许特权帐户root可以采用这个协议进行远程登录并执行相关的维护操作。
其实Linux操作系统这么设计并不是在为难系统管理员,其也有特殊的考虑。主要是因为采用Telnet协议的时候,利用特权帐户root登录时需要在网络上明文传输特权用户的密码。而root帐户对Linux服务器具有最高的操作权限。为此如果其密码泄露的话,那么就可以让攻击者任意妄为了。所以Linux操作系统设计者在不得已的情况下,采取了这个限制。
如果要允许root帐户远程登录操作系统的话,可以按照下面的方法来操作。
对于root帐户,在操作系统中专门有一个文件/etc/securretty 来限制root帐号可以从哪一个终端来登录。在这个文件中,不仅固定了本地终端,也同时规定了远程终端。在Linux操作系统中,远程终端的代码是pts。其后面的代码(/0,/1)表示允许登录用户的数量。如果允许同时有多个用户远程登录到操作系统的话,则需要设置多个pts终端。通过这个终端的数量,可以限制同时进行远程登录用户的数量。当用户登录时,到底是采用那个终端则是不一定的。如现在已经有三个用户远程登录到操作系统,此时系统管理员远程登录到操作系统时,则采用的终端号就为pts/4。如果要运行root特权帐户采用Telnet协议远程登录的话,则需要将这些终端加入到这个文件中。这里需要注意的是,如果远程登录的用户比较多时,则需要在这个文件中多加入几个远程终端,即pts/0,pts1等等。否则的话,有其他用户捷足先登了,那么系统管理员就不能够在远程登录了。一般情况下,需要加入两到三个远程终端。不过具体要加入多少,还是需要系统管理员根据企业的实际情况来定。如果企业系统管理员比较多时,或者需要同时远程登录这台Linux服务器进行远程协作等等,那么就需要多启用几个远程端口。以便不时之需。在文件中加入这些端口之后,系统管理员就可以利用root帐户进行远程登录了。注意,如果采用的是ssh远程登录协议的话,不需要进行类似的设置。因为ssh 协议默认情况下其传输的内容是加密的,所以系统允许root帐户进行远程登录。
如果系统管理员觉得这个方式比较麻烦的话,那么还有一种比较简便的方法。即直接将这个文件删除,或者对其进行重命名即可。把文件删除或者重命名,操作系统就找不到相关的设置文件了。此时系统就会允许root帐户利用所有可用的终端进行登录了。不过显然这么操作,虽然方便了,但是留下了很大的安全隐患。为此,笔者还是建议,如果真的允许root帐户利用Telnet协议进行远程登录的话,还是老老实实的,在上面这个配置文件中加入相关的记录。其实这个配置起来也不是很麻烦,而且这个配置文件修改后即时生效。不需要重新启动或者手工执行命令让强制生效。所以这个配置文件修改起来还是比较简单的。另外需要提醒管理员的是,如果采取配置文件自动备份机制的话,则最好在修改这个配置文件之前,对其进行备份。毕竟最老的“鸟”也会有失手的时候。因为Linux操作系统中的配置文件,就好像微软操作系统中的注册表文件。对他们进行修改时,都必须要先进行备份。这个安全措施,即使对Linux系统管理专家来说也仍然是不可少的。