Im Mai 2009 schrieb ich darüber, wie man den Telnetd-Dienst so absichert, dass nur der RSN-Prozess darauf zugreifen kann (Telnet – man kann nicht mit ihm leben, aber auch nicht ohne ihn). Damals dachte ich dabei an das Remote Service Network, doch kürzlich wurde ich an einen weiteren, sehr wichtigen Grund für den Betrieb des Telnetd-Prozesses erinnert: Remote-Drucker.
Der betreffende Standort erlaubt keinen Zugriff auf das System von außerhalb (des Unternehmens) und nutzte SSH für alle interaktiven Zugriffe, sodass man sich sicher fühlte, den Prozess „telnetd“ nicht ausführen zu müssen. Alles war korrekt konfiguriert, doch als man sich beim Spooler anmeldete, meldete dieser, dass der Drucker offline sei, und es war kein Versuch des Systems zu erkennen, eine TCP-Verbindung mit dem Drucker herzustellen.
Das Druckgerät wurde mit der Parameterzeichenfolge „-access_layer tli_al -ip A.B.C.D,P -tcp_only“ konfiguriert. Der Parameter „-access_layer tli_al“ teilt dem System mit, dass für den Zugriff auf das Gerät die TLI-Schicht benötigt wird; dabei handelt es sich im Wesentlichen um den Prozess „telnetd“. „-ip A.B.C.D,P“ ist die IP-Adresse des Druckers und die Portnummer, mit der eine Verbindung hergestellt werden soll. Es war der Parameter „-tcp_only“, der den Systemadministrator zu der Annahme veranlasste, dass telnetd nicht verwendet werden würde, da es sich um „nur TCP“ handelte. Die Zeichenfolge weist telnetd jedoch lediglich an, nach dem Aufbau der Verbindung keine Telnet-Optionen mehr zu senden.
Wenn Sie also telnetd ausführen müssen, um Verbindungen zu Remote-Druckern herzustellen, wie können Sie dann sicherstellen, dass es keine Verbindungen akzeptiert? Am einfachsten ist es, eine leere „telnetservice“-Datei anzulegen. Diese Datei muss vorhanden sein, damit telnetd gestartet wird, sie muss jedoch nicht festlegen, dass telnetd auf bestimmten Ports lauscht.