摘要：# 远程登录那点事：还在用Telnet？你服务器密码怕是保不住了 我前两天帮一个朋友看他的小公司服务器，好家伙，一登录上去，我差点没把咖啡喷屏幕上——他还在用Telnet远程管理。我问他：“你这密码，是打算公开给全互联网吗？”他一脸懵：“啊？这协议不是挺…

远程登录那点事：还在用Telnet？你服务器密码怕是保不住了

我前两天帮一个朋友看他的小公司服务器，好家伙，一登录上去，我差点没把咖啡喷屏幕上——他还在用Telnet远程管理。我问他：“你这密码，是打算公开给全互联网吗？”他一脸懵：“啊？这协议不是挺稳定的吗，用了好多年了。”

这种场景你应该不陌生吧？很多中小企业的运维，尤其是老师傅带出来的，对Telnet有种莫名的信任。说白了，就是习惯了。

但今天我得说句大实话：在2024年还在生产环境用Telnet裸奔，跟把服务器密码写在公司公告栏上，区别真的不大。

一、这俩协议到底差在哪儿？不只是“加密”那么简单

很多人觉得，Telnet和SSH不就是“不加密”和“加密”的区别嘛。其实吧，这个理解太表面了。

你可以把Telnet想象成用明信片写信。你写的每一句话（你的用户名、密码、敲的每一条命令），从你手里到服务器手里，中间经过的每一个路由器、交换机，甚至是不怀好意的“邻居”，都能看得一清二楚。我早些年做渗透测试的时候，在内网抓个包，Telnet的密码直接就跳出来了，容易得跟捡钱似的。

SSH呢？它更像是给这封信套了个只有你和收信人才能打开的保险箱。而且这个保险箱还挺高级——它不光加密内容，还验证对方是不是你要找的那个人（服务器），防止有人半路冒充。

但最要命的还不是这个。

Telnet最让人睡不着觉的，是它连个基本的完整性检查都没有。什么意思？假设你在输rm -rf /（删库跑路命令）之前犹豫了一下，中间有个黑客把你这条命令改成了“确认删除”，你回车的那一刻，哭都来不及。SSH能防住这种篡改，Telnet？完全没这功能。

二、别光听我说，看看现实怎么“打脸”的

我知道，有些老师傅会杠：“我内网用用，防火墙守着，怕啥？”

兄弟，醒醒。现在早不是“边界防护”一劳永逸的年代了。多少安全事件，是从一个不起眼的内网设备被攻破开始的？攻击者拿下一台内网机器，第一件事就是抓包、扫端口，找的就是你这种“自以为安全”的Telnet服务。

去年（2023年）某个大型制造业的勒索事件，根源就是一台运维用的跳板机开了Telnet，密码还是默认的。攻击者从供应链系统摸进去，轻松拿到跳板机权限，然后横向渗透，最后核心生产数据全被加密。事后分析报告里那句“使用不安全的远程管理协议”格外扎眼。

说白了，用Telnet，就像是你家防盗门是顶级锁芯，但你在门上留了个狗洞，还安慰自己“小偷不知道”。这纯属心理安慰。

三、从Telnet切到SSH，真没你想的那么麻烦

我知道迁移有顾虑：老设备不支持、脚本要重写、怕影响稳定性……这些我都遇到过。但咱们一步步来，其实没那么可怕。

第一步：先评估，别蛮干 别一上来就全公司发通知“今晚禁用Telnet”。先扫一下，哪些服务器、网络设备（交换机、路由器）还在用Telnet。很多老式交换机可能只支持Telnet，这种就得单独处理，比如把它放到一个绝对隔离的VLAN里，访问控制做死。

第二步：配置SSH，避开那些“坑” 装OpenSSH（Linux）或启用Windows的OpenSSH服务现在都很简单。关键是配置，这里有几个容易踩的坑：

1. 别用默认端口22。这就像把保险箱密码贴在箱子上。改成1024以上的其他端口，能挡掉绝大部分自动化扫描脚本。
2. 禁用密码登录，用密钥。这是SSH安全的核心。生成一对公钥私钥，公钥扔服务器上，私钥自己保管好（并加密）。以后登录，靠密钥对，密码再复杂也没用。这条命令你记一下，生成密钥：ssh-keygen -t ed25519（这个算法比老的RSA更快更安全）。
3. 关掉那些用不上的功能。比如X11Forwarding（如果你不远程跑图形界面）、AllowTcpForwarding，减少攻击面。
4. 用Fail2Ban之类的工具。谁用密码暴力猜你，连续错几次就把它IP封了，清净。

第三步：迁移与过渡 给个过渡期。同时开放Telnet和SSH，但把Telnet的访问源IP限制在运维办公室的出口IP。同时，把所有自动化脚本、监控工具的连接方式，逐步从Telnet改成SSH。改完了，测试没问题了，再把Telnet服务停掉。

对于老设备：如果它真不支持SSH，又暂时换不掉。那就把它关进“网络监狱”：单独一个VLAN，严格的ACL（访问控制列表）只允许特定的管理IP通过跳板机去访问，并且在这个链路上做VPN加密。虽然麻烦点，但总比裸奔强。

四、说点更实在的——上了SSH就高枕无忧了？

当然不是。安全是个持续的过程，不是换个协议就完事了。

1. 密钥管理比密码管理更头疼。私钥丢了或者泄露了，比密码泄露还严重。一定要给私钥加密（生成时设置密码），并且定期更换密钥对。别把私钥到处拷贝。
2. 关注SSH本身的漏洞。像前几年的“SSH幽灵”漏洞（CVE-2024-6387），也得及时打补丁。别以为用了SSH就可以不更新了。
3. 审计日志一定要看。SSH会记录谁、什么时候、从哪里登录。定期瞅一眼/var/log/auth.log（Linux）或事件查看器，看看有没有异常登录。 Fail2Ban的日志也能告诉你谁在“惦记”你。

最后说句掏心窝子的话：安全上的很多选择，不是技术问题，是意识和习惯问题。Telnet设计于1969年，那是个大学和军方互相信任的“君子网络”时代。而今天的互联网，早就是一片“黑暗森林”了。

还在用Telnet的朋友，你心里其实已经有答案了。别等日志里出现陌生IP、别等数据被加密了再拍大腿。升级协议，强化配置，今晚就行动。

行了，不废话了，赶紧去服务器上敲命令吧。