在Linux系统中，Telnet曾是远程登录的常用工具，因其简单直接而广受欢迎。然而，它的致命缺陷在于所有传输数据（包括用户名和密码）均为明文，极易被网络监听截获。因此，真正需要解决的问题是“如何确保远程会话的安全性”，而非为Telnet强行添加加密层。最理想的方案是使用SSH（Secure Shell）协议替代Telnet。

SSH的工作原理是在客户端与服务器之间建立一条加密隧道，所有通信均在此隧道内进行传输。这样一来，窃听与中间人攻击基本失去了作用。下面将基于SSH替代Telnet的完整流程逐步拆解，并实际动手操作一遍。

安装SSH客户端与服务器端

大多数Linux发行版默认已预装OpenSSH。若系统提示命令未找到，使用包管理器安装即可。以Debian/Ubuntu系列为例：

sudo apt-get update
sudo apt-get install openssh-client openssh-server

对于RHEL/CentOS系列，将 apt-get 替换为 yum 或 dnf，包名基本一致。

启动并启用SSH服务

安装完成后，需要确保SSH服务处于运行状态。执行以下命令：

sudo systemctl start ssh

若希望服务器重启后SSH自动启动，可额外执行：

sudo systemctl enable ssh

查看服务状态可使用 sudo systemctl status ssh，确认显示 active (running) 方能表明一切正常。

调整SSH配置（可选但推荐）

默认配置已具备足够安全性，但依据实际场景进行适当微调会更佳。配置文件位于 /etc/ssh/sshd_config。以下参数值得关注：

• Port：默认端口为22。若公网上暴露SSH，建议改为高位端口（例如2222），可有效减少大量扫描攻击。
• PermitRootLogin：强烈建议设为 no。普通用户登录后通过 su 或 sudo 提权，比直接暴露root账号安全得多。
• PasswordAuthentication：若已配置SSH密钥，可将其设为 no，从而彻底杜绝密码暴力破解。

修改配置后需重启服务以使设置生效：

sudo systemctl restart ssh

从客户端发起加密连接

现在轮到客户端操作。命令格式简洁明了：

ssh 用户名@远程服务器IP地址

例如：

ssh alice@192.168.1.100

首次连接时会提示确认远程主机的指纹，输入 yes 并回车即可。随后输入用户密码（若未禁用），即可进入一个完全加密的Shell环境。

在加密会话中执行远程操作

一旦SSH连接建立，后续所有操作——无论是拉取日志、修改配置还是运行脚本——均处于加密保护之下。如需远程执行命令，还可直接在ssh命令后添加指令，例如：

ssh alice@192.168.1.100 "cat /var/log/syslog | grep error"

这种用法在自动化运维中极为常见。

最后需强调一点：SSH与Telnet本质上是两种不同的协议。我们并不是给Telnet会话“加密”，而是直接弃用不安全的Telnet，转而采用天生具备加密能力的SSH。这并非打补丁式的方案，而是彻底的架构升级。简单来说：忘掉Telnet，拥抱SSH，这才是现代运维的安全底线。