怎么在LINUX里开启telnet服务，使它可以远程访问管理服务器？

Telnet服务的配置步骤如下:
一、安装telnet软件包(通常要两个）
1、 telnet-client (或 telnet)，这个软件包提供的是 telnet 客户端程序；
2、 telnet-server ，这个软件包提供的是 telnet 服务器端程序；
安装之前先检测是否这些软件包已安装，方法如下：
[root@wljs root]#rpm _q telnet或[root@wljs root]#rpm _q telnet-client
[root@wljs root]#rpm _q telnet-server
如果没有检测到软件包，需要进行安装，red hat linux 9默认已安装了telnet软件包，一般只要安装telnet-server软件包。
1、在red hat linux 9的安装盘中获取telnet-server-017-25i386rpm软件包。
2、安装软件包
[root@wljs root]#rpm _i telnet-server-017-25i386rpm
二、启动telnet服务
1、开启服务
方法一：使用ntsysv,在出现的窗口之中，将 telnet前面加上，然后按下 OK 。
方法二：编辑 /etc/xinetdd/telnet
[root@wljs root]# vi /etc/xinetdd/telnet
找到 disable = yes 将 yes 改成 no 。
2、激活服务
[root@wljs root]# service xinetd restart

三、测试服务
[root@wljs root]#telnet ip(或者hostname）
如果配置正确，系统提示输入远程机器的用户名和密码
Login:
Password:
注：默认只允许普通用户
四、设置telnet端口
#vi /etc/services
进入编辑模式后查找telnet(vi编辑方式下输入/telnet)
会找到如下内容：
telnet 23/tcp
telnet 23/udp
将23修改成未使用的端口号(如：2000)，退出vi，重启telnet服务，telnet默认端口号就被修改了。

五、Telnet服务限制
telnet是明文传送口令和数据的，如果你对其默认的设置不满意，有必要对其服务范围进行限制。假设你的主机的ip是2104516017，就可以按如下方式设置了，^_^!
#vi /etc/xinetdd/telnet
service telnet

{
disable = no #激活 telnet 服务,no
bind = 2104516017 #your ip
only_from= 2104500/16 #只允许 2104500 ~ 21045255255 这个网段进入
only_from= educn #只有教育网才能进入！
no_access= 21045160{115,116} #这两个ip不可登陆
access_times= 8:00-12:00 20:00-23:59 # 每天只有这两个时间段开放服务

}
六、Telnet root用户的登入
telnet 不是很安全，默认的情况之下不允许 root 以 telnet 进入 Linux 主机 。若要允许root用户登入，可用下列方法：
[root @wljs /root]# vi /etc/pamd/login
#auth required pam_securettyso #将这一行加上注释！
或
[root@wljs root]# mv /etc/securetty /etc/securettybak
这样， root 就可以直接进入 Linux 主机了。不过，建议不要这样做。也可以在普通用户进入后，切换到root用户,拥有root的权限。

华为的参数，通过“Vendor Large最高投票权厂家”这一句就可以确定。
其中：
服务器型号应该是：华为FusionServer RH2288系列；
存储型号应该是：OceanStor N8500 集群NAS存储系统；

我也是小菜也遇到这个问题，root用户登录输完账户密码，显示login incorrect是吧，现学现卖la~~
先说pam：
PAM（Pluggable Authentication Modules）即可插拔式认证模块，它是一种高效而且灵活便利的用户级别的认证方式，它也是当前Linux服务器普遍使用的认证方式。（个人理解就是个保护措施防止盗用root用户远程登录上来乱搞~~）
其针对的是root用户，认证处理过程有几种：required，requisite，sufficient和optional，这里的是requisite，所以你输完账户和密码以后才提示incorrect，若改成required，输完root直接就提示错误了，你可以试试，我还没试呵呵~~
sufficient表示如果认证成功，那么对这一类型的模块认证是充足的了，其他的同类模块将不会再检验，当认证失败，它会进行下一条认证，如果下面同类型的认证成功，结果依然成功。
optional表示这一模块认证是可选的，也不会对认证成功或失败产生影响，这个就比较危险了。比如我们在/etc/pamd/sshd文件内加入“auth required/lib/security/pam_listfileso item=user sense=allow file=/etc/sshusers onerr=succeed”其含义是只允许出现在/etc/sshuser文件内的用户远程登录。然后我们执行命令“ssh -l root localhost”，当sshusers文件没有root用户时候，登录失败，很明显他被PAM模块拒绝了。那么我们改一下认证文件，将required改成sufficient，尝试再次登录，结果成功登录
上面是两段那么专业的是我粘贴来的，基本是可以懂得差不多了吧
加油~~

    在局域网中的Linux服务器集群，为了保障运维安全，只能从堡垒机登录到各个Linux服务器。那么需要对Linux服务器集群进行安全加固，限制访问权限。在堡垒机上可以部署脚本来记录用户 *** 作的审计日志（详情参考笔者的文章），那么整个局域网的Linux服务器集群的安全性就可以大大提高。

    堡垒机作用明显，其提供运维统一入口和安全审计功能，切断直接访问和事后审计定责，解决“运维混乱”变得“运维有序” 。

   下面是三种方法总结。分别从服务端，系统端、防火墙端来完成只允许堡垒机SSH登录的功能。

1、/etc/ssh/sshd_config

    修改添加AllowUsers到ssh配置文件/etc/ssh/sshd_config  ：

    AllowUsers myuser@201324

    然后重启 sshd服务：systemctl restart sshd

2、hostsallow与hostsdeny

    修改/etc/hostsdeny中添加设置 sshd : ALL ，拒绝所有的访问；

    修改/etc/hostsallow，添加设置sshd : 201324 ，单独开启某个IP地址 。

    这两个文件优先级为先检查hostsdeny，再检查hostsallow。

    更加详细信息参考笔者的文章-Linux中hostsallow与hostsdeny  。

3、iptables防火墙

    tcp协议中，禁止所有的ip访问本机的22端口。

    iptables -I INPUT -p tcp--dport 22 -j DROP

    只允许201324 访问本机的22端口

    iptables  -I  INPUT  -s  201324   -ptcp  --dport  22  -j   ACCEPT

    另外/etc/pamd/sshd也可以提供访问控制功能，调用的pam_accessso模块是根据主机名、IP地址和用户实现全面的访问控制，pam_accessso模块的具体工作行为根据配置文件/etc/security/accessconf来决定。但是囿于资料过少，待以后遇到再解决把。

linux 下FTP安装及配置
一、FTP的安装
1、检测是否安装了FTP :[root@localhost ~]# rpm -q vsftpd
如果安装了会显示版本信息:
[root@localhost ~]# vsftpd-205-16el5_51
否则显示:[root@localhost ~]# package vsftpd is not installed
2、如果没安装FTP，运行yum install vsftpd命令
具体的细节如下：(如果无法更新，你先配置能访问互联网，我有文档叫 CentOS 在 VMware下，如何联网到Internet的解决办法 可以解决无法上网的问题)
[root@localhost ~]# yum install vsftpd
[root@localhost ~]#
　3、完成ftp安装后，将 /etc/vsftpd/user_list文件和/etc/vsftpd/ftpusers文件中的root这一行注释掉
# root
4、执行以下命令
# setsebool -P ftpd_disable_trans=1
修改/etc/vsftpd/vsftpdconf,在最后一行处添加local_root=/
5、重启ftp进程 #service vsftpd restart
注：每次修改过ftp相关的配置文件，都需要重启ftp进程来生效。
ftp服务器就可以使用了。

二、vsftpd的配置文件说明：
vsftpdftpusers：位于/etc目录下。它指定了哪些用户账户不能访问FTP服务器，例如root等。
vsftpduser_list：位于/etc目录下。该文件里的用户账户在默认情况下也不能访问FTP服务器，仅当vsftpd conf配置文件里启用userlist_enable=NO选项时才允许访问。
vsftpdconf：位于/etc/vsftpd目录下。来自定义用户登录控制、用户权限控制、超时设置、服务器功能选项、服务器性能选项、服务器响应消息等FTP服务器的配置。
(1)用户登录控制
anonymous_enable=YES，允许匿名用户登录。
no_anon_password=YES，匿名用户登录时不需要输入密码。
local_enable=YES，允许本地用户登录。
deny_email_enable=YES，可以创建一个文件保存某些匿名电子邮件的黑名单，以防止这些人使用Dos攻击。
banned_email_file=/etc/vsftpdbanned_emails，当启用deny_email_enable功能时，所需的电子邮件黑名单保存路径(默认为/etc/vsftpdbanned_emails)。
(2)用户权限控制
write_enable=YES，开启全局上传权限。
local_umask=022，本地用户的上传文件的umask设为022(系统默认是077，一般都可以改为022)。
anon_upload_enable=YES，允许匿名用户具有上传权限，很明显，必须启用write_enable=YES，才可以使用此项。同时我们还必须建立一个允许ftp用户可以读写的目录(前面说过，ftp是匿名用户的映射用户账号)。
anon_mkdir_write_enable=YES，允许匿名用户有创建目录的权利。
chown_uploads=YES，启用此项，匿名上传文件的属主用户将改为别的用户账户，注意，这里建议不要指定root账号为匿名上传文件的属主用户！
chown_username=whoever，当启用chown_uploads=YES时，所指定的属主用户账号，此处的whoever自然要用合适的用户账号来代替。
chroot_list_enable=YES，可以用一个列表限定哪些本地用户只能在自己目录下活动，如果chroot_local_user=YES，那么这个列表里指定的用户是不受限制的。
chroot_list_file=/etc/vsftpdchroot_list，如果chroot_local_user=YES，则指定该列表(chroot_local_user)的保存路径(默认是/etc/vsftpdchroot_list)。
nopriv_user=ftpsecure，指定一个安全用户账号，让FTP服务器用作完全隔离和没有特权的独立用户。这是vsftpd系统推荐选项。
async_abor_enable=YES，强烈建议不要启用该选项，否则将可能导致出错！
ascii_upload_enable=YES；ascii_download_enable=YES，默认情况下服务器会假装接受ASCⅡ模式请求但实际上是忽略这样的请求，启用上述的两个选项可以让服务器真正实现ASCⅡ模式的传输。
注意：启用ascii_download_enable选项会让恶意远程用户们在ASCⅡ模式下用“SIZE/big/file”这样的指令大量消耗FTP服务器的I/O资源。
这些ASCⅡ模式的设置选项分成上传和下载两个，这样我们就可以允许ASCⅡ模式的上传(可以防止上传脚本等恶意文件而导致崩溃)，而不会遭受拒绝服务攻击的危险。
(3)用户连接和超时选项
idle_session_timeout=600，可以设定默认的空闲超时时间，用户超过这段时间不动作将被服务器踢出。
data_connection_timeout=120，设定默认的数据连接超时时间。
(4)服务器日志和欢迎信息
dirmessage_enable=YES，允许为目录配置显示信息，显示每个目录下面的message_file文件的内容。
ftpd_banner=Welcome to blah FTP service，可以自定义FTP用户登录到服务器所看到的欢迎信息。
xferlog_enable=YES，启用记录上传/下载活动日志功能。
xferlog_file=/var/log/vsftpdlog，可以自定义日志文件的保存路径和文件名，默认是/var/log/vsftpdlog。
anonymous_enable=YES 允许匿名登录local_enable=YES 允许本地用户登录
write_enable=YES 开放本地用户写权限
local_umask=022 设置本地用户生成文件的掩码为022
#anon_upload_enable=YES 此项设置允许匿名用户上传文件
#anon_mkdir_write_enable=YES 开启匿名用户的写和创建目录的权限
dirmessage_enable=YES 当切换到目录时，显示该目录下的message隐藏文件的内容
xferlog_enable=YES 激活上传和下载日志
connect_from_port_20=YES 启用FTP数据端口的连接请求
#chown_uploads=YES 是否具有上传权限 用户由chown_username参数指定。
#chown_username=whoever 指定拥有上传文件权限的用户。此参数与chown_uploads联用。
#xferlog_file=/var/log/vsftpdlog
xferlog_std_format=YES 使用标准的ftpd xferlog日志格式
#idle_session_timeout=600 此设置将在用户会话空闲10分钟后被中断
#data_connection_timeout=120 将在数据连接空闲2分钟后被中断
#ascii_upload_enable=YES 启用上传的ASCII传输方式
#ascii_download_enable=YES 启用下载的ASCII传输方式
#ftpd_banner=Welcome to blah FTP service 设置用户连接服务器后显示消息
#deny_email_enable=NO 此参数默认值为NO。当值为YES时，拒绝使用banned_email_file参数指定文件中所列出的e-mail地址用户登录。
#banned_email_file=/etc/vsftpdbanned_emails 指定包含拒绝的e-mail地址的文件
#chroot_list_enable=YES 设置本地用户登录后不能切换到自家目录以外的别的目录
#chroot_list_file=/etc/vsftpdchroot_list
#ls_recurse_enable=YES
pam_service_name=vsftpd 设置PAM认证服务的配置文件名称，该文件存放在/etc/pamd/
userlist_enable=YES 此项配置/etc/vsftpduser_list中指定的用户也不能访问服务器，若添加userlist_deny=No,则仅仅/etc/vsftpduser_list文件中的用户可以访问，其他用户都不可以访问服务器。如过userlist_enable=NO,userlist_deny=YES,则指定使文件/etc/vsftpduser_list中指定的用户不可以访问服务器，其他本地用户可以访问服务器。
listen=YES 指明VSFTPD以独立运行方式启动
tcp_wrappers=YES 在VSFTPD中使用TCP_Wrappers远程访问控制机制，默认值为YES
三、举例建立一个名为test的账户并进行配置
根据实际情况对FTP进行配置后，下面举例介绍建立一个FTP账户并进行简单的配置：
1、创建一个账号为test的账户：
#mkdir /tmp/test //首先创建好目录
#adduser -d /tmp/test -g ftp -s /sbin/nologin test //-s /sbin/nologin是让其不能登陆系统，-d 是指定用户目录为/opt/srsman ，即该账户只能登陆ftp，却不能用做登陆系统用。
#passwd test
Changing password for user beinan//接下来会出现让你设置新的密码
New password:
Retype new password:
passwd: all authentication tokens updated successfully
创建账户成功！
2、限制用户目录，不得改变目录到上级
修改/etc/vsftpd/vsftpdconf
将这两行
#chroot_list_enable=YES
#chroot_list_file=/etc/vsftpdchroot_list
注释去掉
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
新增一个文件: /etc/vsftpd/chroot_list
内容写需要限制的用户名：
test
重新启动vsftpd
# service vsftpd restart
3、最后为了防止服务器由于断电、重启等现象发生，导致ftp进程在开机后未启动，将其添加到开机启动文件中：
(1)找到/etc/rclocal文件
(2)打开该文件，在最后一行添加：service vsftpd start
(3)保存，退出
4、通过在“我的电脑”中输入ftp：//19216817930(填该ftp服务器ip地址)进入ftp服务器，输入设置好的账户登陆即可。
5、CMD-》ftp 19216812
Cd /soft
Put c:\ssslog //这样可以成功上传, VSFTP不支持绝对目录上传，只能够到当前目录下上传

域名绑定

Tomcat服务绑定域名的方法

ECS Linux系统域名绑定host后ping测试不生效

Nginx绑定多个域名的方法

ECS Linux无法解析hosts里面绑定域名的排查方法

服务器登陆

ECS Linux无法远程连接的检查方法

ECS Linux远程ssh报错read: Connection reset by peer

ECS Linux ssh连接服务器报错CONNECTION RESET by peer

ECS Linux通过Xshell 配置密钥key免密码登录

ECS服务器Linux *** 作系统远程ssh密码错误

ECS Linux SSH服务配置异常导致连接提示bad configuration option错误

ECS Linux系统非root用户登入报“Resource temporarily unavailable”

ECS Linux服务器ssh远程连接需要验证证书

文件权限问题导致Linux ECS服务器SSH连接时输入密码后挂起

ssh登录报错-bash: fork: retry: Resource temporarily unavailable

ECS SSH提示“Disconnected:No supported authentication methods avai

ECS SSH客户端SecureCRT和PuTTY连接超时设置

ECS Linux系统登录提示信息

ECS CentOS系统进入单用户模式的方法

ECS Linux登陆时报错:Your account is Locked Maximum account of fail attempts was reac

ssh 连接提示 The host key database does not contain an entry for the hostname 的处理方法

ECS Linux 服务器通过远程管理终端登陆不显示

ECS Linux 无法 SSH 连接提示 ssh_exchange_identification: read: Connection reset by pee

Linux 无法远程开启 ssh 服务报错/var/empty/sshd must be owned by root and not group or wo

ECS Linux SSH 提示 account is currently not avaiable

ssh配置证书登录

Linux Centos 7 SSH无法连接

ECS Linux环境异常修改/etc/security/limitsconf导致SSH无法登录

ECS Linux服务器ssh登录正常,管理终端登录闪退

Gentoo SSH authentication failure无法远程

root用户被禁止ssh登录，提示pam_listfile(sshd:auth): Refused user root for service ssh

ECS Linux 服务器公钥密钥SSH登录

Linux无法远程

Linux_centos 系统ssh能登陆，远程终端管理无法登陆的排查思路

ECS Linux ssh登录时出现WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!

limitsconf设置错误导致Linux系统ECS无法登陆

ECS Linux ssh host key文件丢失导致无法远程

使用秘钥认证方式远程登录Linux系统

ssh中由于Allowusers配置不当导致密码错误无法远程连接

ECS Linux系统设置只通过sftp连接不能通过ssh方式连接

ECS Linux服务器通过sshd_config限制用户登录的方法

ECS Linux启动sshd服务出现/var/empty/sshd无法访问

ECS Linux因redis自启失败导致系统无法正常启动

ECS Centos卡在启动进度条问题排查方法

ECS Linux服务器ssh连接提示:Too many authentication failures for root

ECS Linux服务器如何 *** 作SSH只对单个IP开放

用户ssh远程报错too many authentication failures for root

ECS Linux系统ssh登录命令行，显示“-bash-41#”，不能显示用户名和主机名

ECS linux结束正在登录的远程终端

Linux云服务器ssh服务启动失败的解决方法

ECS Linux服务器SSH出现报错Host key verification failed

ECS Linux服务器ssh免密码登录另外一台服务器

ECS Centos7系统ssh服务启动失败，导致ssh远程连接不上

ECS Linux服务器ssh禁止root用户登陆导致ssh远程连接失败

ECS Linux sshd重启报错must be owned by root and group or world-writable

禁用了ssh的密码认证方式导致无法登陆

ubuntu如何添加sudo用户且不需要录入密码

centos7下重启sshd服务的 *** 作方法

ECS Ubuntu 1404 64位系统管理终端实现图形化界面

Xshell或Putty连接Linux无法正常显示中文

ECS SSH客户端断开后保持进程继续运行

ECS RedHat Linux 配置SELinux导致SSH无法远程登录

ECS Linux服务器启动后立即关机

ECS Linux系统无法SSH免密码登陆

ECS Linux无法登陆module is unknown

ECS Linux服务器登录报错UNEXPECTED INCONSISTENCY;RUN fsck MANUALLY

ECS Linux服务器重启后卡在引导界面解决方法

ECS Linux服务器SSH权限错误导致无法远程处理

/etc/pamd/login中的无效配置导致ECS Linux登录失败

Linux服务器ssh远程连接提示Could not chdir to home directory解决方法

ECS Linux服务器root用户无法ssh远程登陆处理

ECS Linux 服务器解除ssh登陆后被锁定或暂停输入输出的终端

ECS linux服务器通过hostsallow和hostsdeny限制远程登录IP

ECS Linux系统sshd服务自动停止

ECS Linux系统sshd服务所需要的目录权限

ECS Linux服务器客户端登录失败系统提示welcome to emergency mode! after logging in type

服务器RSA Hash信息变化导致SSH登录出现Host key verification failed错误

ECS Linux系统重置后SSH无法连接的解决方法

ECS Linux 系统限制用户登陆方法

ECS SSH无法登陆提示 Did not receive identification string from IP,Read from sock faile

ECS Linux上SSH服务无法启动报错must be owned by root

ECS Linux文件系统挂载错误导致SSH无法远程连接

ECS Linux误修改系统目录属组引发SSH服务异常导致无法远程登录

ECS ssh无法登陆，提示fatal: No supported key exchange algorithms [preauth]

ECS Linux su切换用户时提示无法设置用户ID资源暂时不可用

ECS Linux安装启用NetworkManager服务导致无法远程连接

ECS Linux系统修改grubconf进入单用户方法

ssh 登陆服务器出现 Host key verification failed 告警

一、强化密码强度
只要涉及到登录，就需要用到密码，如果密码设定不恰当，就很容易被黑客破解，如果是超级管理员(root)用户，如果没有设立良好的密码机制，可能给系统造成无法挽回的后果。
很多用户喜欢用自己的生日、姓名、英文名等信息来设定，这些方式可以通过字典或者社会工程的手段去破解，因此建议用户在设定密码时，尽量使用非字典中出现的组合字符，且采用数字与字符、大小写相结合的密码，增加密码被破译的难度。
二、登录用户管理
进入Linux系统前，都是需要登录的，只有通过系统验证后，才能进入Linux *** 作系统，而Linux一般将密码加密后，存放在/etc/passwd文件中，那么所有用户都可以读取此文件，虽然其中保存的密码已加密，但安全系数仍不高，因此可以设定影子文件/etc/shadow，只允许有特殊权限的用户 *** 作。
三、账户安全等级管理
在Linux *** 作系统上，每个账户可以被赋予不同的权限，因此在建立一个新用户ID时，系统管理员应根据需要赋予该账号不同的权限，且归并到不同的用户组中。每个账号ID应有专人负责，在企业中，如果负责某个ID的员工离职，该立即从系统中删除该账号。
四、谨慎使用"r"系列远程程序管理
在Linux *** 作系统中，有一系列r开头的公用程序，如rlogin、rcp等，非常容易被不法分子用来攻击我们的系统，因此千万不要将root账号开放给这些公用程序，现如今很多安全工具都是针对此漏洞而设计的，比如PAM工具，就可以将其有效地禁止掉。
五、root用户权限管理
root可谓是Linux重点保护对象，因为其权利是最高的，因此千万不要将它授权出去，但有些程序的安装、维护必须要求是超级用户权限，在此情况下，可以利用其他工具让这类用户有部分超级用户的权限。sudo就是这样的工具。
六、综合防御管理
防火墙、IDS等防护技术已成功应用到网络安全的各个领域，且都有非常成熟的产品，需要注意的是：在大多数情况下，需要综合使用这两项技术，因为防火墙相当于安全防护的第一层，它仅仅通过简单地比较IP地址/端口对来过滤网络流量，而IDS更加具体，它需要通过具体的数据包(部分或者全部)来过滤网络流量，是安全防护的第二层。综合使用它们，能够做到互补，并且发挥各自的优势，最终实现综合防御。

---