Як можна встановити telnetd-ssl на сервері Ubuntu як резервну копію на SSH?

Помилка, що виникає в, /etc/ssh/sshd_configможе потенційно заблокувати користувачів або адміністраторів на сервері, доступному лише через SSH. Telnet SSL - це резервний спосіб доступу до сервера за такого сценарію. Як можна встановити сервер Telnet SSL на сервері Ubuntu?

Telnet SSL встановлюється наступним чином:

sudo apt install telnetd-ssl

Коли він встановлений, він створює сертифікат /etc/telnetd-ssl/telnetd.pem. Коли клієнт Telnet SSL намагається підключитися до сервера Telnet SSL, він не приймає сертифікат, в результаті чого клієнт видає такі дані:

$ telnet-ssl -z secure example.org 23
Trying 127.0.0.1...
Connected to example.org.
Escape character is '^]'.
[SSL - attempting to switch on SSL]
[SSL - handshake starting]
SSL: Server has a self-signed certificate
SSL: unknown issuer: /O=Internet Widgits Pty Ltd/OU=m93p telnetd/CN=example./emailAddress=root@example.
SSL: certificate verify failed
telnet: Unable to ssl_connect to remote host
Connection closed.

Як це можна вирішити?

Сервер Telnet SSL, він не приймає сертифікат, в результаті чого клієнт виводить такі:

$ telnet-ssl -z secure example.org 23
...
SSL: Server has a self-signed certificate
SSL: unknown issuer: /O=Internet Widgits Pty Ltd/OU=m93p telnetd/CN=example./emailAddress=root@example.
SSL: certificate verify failed

Згідно зі telnet-ssl(1)сторінками чоловіка , схоже, вам потрібен -z cert=<cert file>варіант.

-z cert=<cert file>потрібен, оскільки Емітенту (Subject DN = /O=Internet Widgits Pty Ltd/OU=m93p telnetd/CN=example./emailAddress=root@example) система не довіряє. Тобто сертифікат не проживає /etc/ssl/certs/.

Іншим варіантом може бути додавання сертифіката до /etc/ssl/certs/. Для Debian і Ubuntu ви просто копіюєте новий сертифікат у форматі PEM у каталог /etc/ssl/certs/. Новий сертифікат розміщуватиметься поряд з іншими 450 або більше сертифікатами.

Для Fedora потрібно додати новий файл до сертифіката /etc/ssl/certs/ca-bundle.crt. ca-bundle.crtнасправді посилання на /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem. tls-ca-bundle.pemце лише об'єднання файлів PEM в один файл.

У Fedora також є /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt, але я не вірю, що ви використовували б це, оскільки ca-bundle.trust.crtце для CA, і сертифікат кінцевої особи, що підписується, не повинен містити CA=TRUEбазових обмежень.

Варто зазначити, що я ніколи не використовував, telnet-sslтому не можу дати повну відповідь на основі досвіду. Ви, мабуть, зіткнетесь із додатковими проблемами, коли не досягнете "довіри цього SSL-сертифіката". Наприклад, схоже, що Telnet через TLS використовує порт 992, а не 23.