背景介绍:
公司内网的服务器升级完安全漏洞补丁后,堡垒机无法连接。在这里堡垒机走的是sshd服务,开放的端口是22。
经过排查后我得出结论,应该是在升级完防火墙补丁后,里面的开放端口被重置了,导致堡垒机无法连接。因为后来进去的时候,我发现sshd服务是起着的。
我的想法:
在更新完安全漏洞补丁,重启之前。留telnet的连接后门,默认端口是23,留一台内网服务器最后升级。
通过这台内网服务器telnet到升级后的服务器上面,重启sshd服务后,再添加22端口到防火墙,然后清理telnet的连接后门,就可以正常使用堡垒机了。
正文:
1.准备工作
先判断服务器的yum源是否为内网的yum源服务器,如不是则从yum源服务器下载repo文件配置。
方案为安装telnet+xinetd。全程root权限操作。
2.安装
CentOS 7: 执行以下命令: yum -y install telnet-server yum -y install xinetd systemctl start telnet.socket systemctl start xinetd systemctl enable xinetd.service systemctl enable telnet.socket echo "pts/0" >>/etc/securetty echo "pts/1" >>/etc/securetty echo "pts/2" >>/etc/securetty echo "pts/3" >>/etc/securetty netstat -plnt |grep 23
最后一条命令是看下23端口有没有开。开了在Linux自身的防火墙上永久放通23端口(firewall-cmd --permanent --add-port 23/tcp),然后重载防火墙配置(firewall-cmd --reload),就可以在其他电脑telnet服务器的23端口远程登录了。亲测卸载SSH重启服务器一样能通过telnet登录到服务器。登录请用root账号直接远程登录。
CentOS 6: yum -y install telnet-server yum -y install xinetd 然后编辑/etc/xinetd.d/telnet文件,将disable 改为no,接着 service xinetd start chkconfig xinetd on chkconfig telnet on echo "pts/0" >>/etc/securetty echo "pts/1" >>/etc/securetty echo "pts/2" >>/etc/securetty echo "pts/3" >>/etc/securetty netstat -plnt |grep 23
最后一条命令是看下23端口有没有开。开了在Linux自身的防火墙上永久放通23端口就可以电脑telnet服务器的23端口了。
至此即可不需要SSH而远程登录服务器。登录方法:telnet 服务器ip。亲测卸载SSH重启服务器一样能通过telnet登录到服务器。登录请用root账号直接远程登录。
3.卸载
telnet+xinetd远程Linux服务器并不是安全可靠的通信方式,因此升级安装完OpenSSH,确认升级后的OpenSSH正常后须按以下操作卸载telnet组件。
CentOS 7: systemctl stop telnet.socket systemctl stop xinetd systemctl disable xinetd.service systemctl disable telnet.socket yum -y remove telnet-server yum -y remove xinetd
然后需要vi /etc/securetty 把安装时添加的最后四行删除。
最后防火墙23端口的放通规则去掉。
CentOS 6: service xinetd stop chkconfig xinetd off chkconfig telnet off yum -y remove telnet-server yum -y remove xinetd
然后需要vi /etc/securetty 把安装时添加的最后四行删除。
最后防火墙23端口的放通规则去掉即可。