xinetd11.docx
- 文档编号:11627285
- 上传时间:2023-03-29
- 格式:DOCX
- 页数:18
- 大小:27.39KB
xinetd11.docx
《xinetd11.docx》由会员分享,可在线阅读,更多相关《xinetd11.docx(18页珍藏版)》请在冰豆网上搜索。
xinetd11
4.3.1 什么是xinetd
xinetd即extendedinternetdaemon,xinetd是新一代的网络守护进程服务程序,又叫超级Internet服务器。
经常用来管理多种轻量级Internet服务。
xinetd提供类似于inetd+tcp_wrapper的功能,但是更加强大和安全。
4.3.2 xinetd的特色
1.强大的存取控制功能
—内置对恶意用户和善意用户的差别待遇设定。
—使用libwrap支持,其效能更甚于tcpd。
—可以限制连接的等级,基于主机的连接数和基于服务的连接数。
—设置特定的连接时间。
—将某个服务设置到特定的主机以提供服务。
2.有效防止DoS攻击
—可以限制连接的等级。
—可以限制一个主机的最大连接数,从而防止某个主机独占某个服务。
—可以限制日志文件的大小,防止磁盘空间被填满。
3.强大的日志功能
—可以为每一个服务就syslog设定日志等级。
—如果不使用syslog,也可以为每个服务建立日志文件。
—可以记录请求的起止时间以决定对方的访问时间。
—可以记录试图非法访问的请求。
4.转向功能
可以将客户端的请求转发到另一台主机去处理。
5.支持IPv6
xinetd自xinetd2.1.8.8pre*起的版本就支持IPv6,可以通过在./configure脚本中使用with-inet6capability选项来完成。
注意,要使这个生效,核心和网络必须支持IPv6。
当然IPv4仍然被支持。
6.与客户端的交互功能
无论客户端请求是否成功,xinetd都会有提示告知连接状态。
7.Xinetd的缺点
当前,它最大的缺点是对RPC支持的不稳定性,但是可以启动protmap,使它与xinetd共存来解决这个问题。
4.3.3 使用xinetd启动守护进程
原则上任何系统服务都可以使用xinetd,然而最适合的应该是那些常用的网络服务,同时,这个服务的请求数目和频繁程度不会太高。
像DNS和Apache就不适合采用这种方式,而像FTP、Telnet、SSH等就适合使用xinetd模式,系统默认使用xinetd的服务可以分为如下几类。
①标准Internet服务:
telnet、ftp。
②信息服务:
finger、netstat、systat。
③邮件服务:
imap、imaps、pop2、pop3、pops。
④RPC服务:
rquotad、rstatd、rusersd、sprayd、walld。
⑤BSD服务:
comsat、exec、login、ntalk、shell、talk。
⑥内部服务:
chargen、daytime、echo、servers、services、time。
⑦安全服务:
irc。
⑧其他服务:
name、tftp、uucp。
具体可以使用xinetd的服务在/etc/services文件中指出。
这个文件的节选内容如下所示:
#/etc/services:
#$Id:
services,v1.402004/09/2305:
45:
18nottingExp$
#service-name port/protocol [aliases...] [#comment]
tcpmux 1/tcp #TCPportservicemultiplexer
tcpmux 1/udp #TCPportservicemultiplexer
rje 5/tcp #RemoteJobEntry
rje 5/udp #RemoteJobEntry
echo 7/tcp
echo 7/udp
discard 9/tcp sinknull
discard 9/udp sinknull
………
Internet网络服务文件中,记录网络服务名和它们对应使用的端口号及协议。
文件中的每一行对应一种服务,它由4个字段组成,中间用Tab键或空格键分隔,分别表示“服务名称”、“使用端口”、“协议名称”及“别名”。
在一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。
一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0~65535,不同范围的端口号有不同的意义。
— 0:
不使用。
— 1~1023:
系统保留,只能由root用户使用。
— 1024~4999:
由客户端程序自由分配。
— 5000~65535:
由服务器程序自由分配。
4.3.4 解读/etc/xinetd.conf和/etc/xinetd.d/*
1./etc/xinetd.conf
xinetd的配置文件是/etc/xinetd.conf,但是它只包括几个默认值及/etc/xinetd.d目录中的配置文件。
如果要启用或禁用某项xinetd服务,编辑位于/etc/xinetd.d目录中的配置文件。
例如,disable属性被设为yes,表示该项服务已禁用;disable属性被设为no,表示该项服务已启用。
/etc/xinetd.conf有许多选项,下面是RHEL4.0的/etc/xinetd.conf。
#Simpleconfigurationfileforxinetd
#Somedefaults,andinclude/etc/xinetd.d/
defaults
{
instances =60
log_type =SYSLOGauthpriv
log_on_success =HOSTPID
log_on_failure =HOST
cps =2530
}
includedir/etc/xinetd.d
—instances=60:
表示最大连接进程数为60个。
—log_type=SYSLOGauthpriv:
表示使用syslog进行服务登记。
—log_on_success=HOSTPID:
表示设置成功后记录客户机的IP地址的进程ID。
—log_on_failure=HOST:
表示设置失败后记录客户机的IP地址。
—cps=2530:
表示每秒25个入站连接,如果超过限制,则等待30秒。
主要用于对付拒绝服务攻击。
—includedir/etc/xinetd.d:
表示告诉xinetd要包含的文件或目录是/etc/xinetd.d。
2./etc/xinetd.d/*
下面以/etc/xinetd.d/中的一个文件(rsync)为例。
servicersync
{
disable=yes
socket_type =stream
wait =no
user =root
server =/usr/bin/rsync
log_on_failure+=USERID
}
下面说明每一行选项的含义。
—disable=yes:
表示禁用这个服务。
—socket_type=stream:
表示服务的数据包类型为stream。
—wait=no:
表示不需等待,即服务将以多线程的方式运行。
—user=root:
表示执行此服务进程的用户是root。
—server=/usr/bin/rsync:
启动脚本的位置。
—log_on_failure+=USERID:
表示设置失败时,UID添加到系统登记表。
4.3.5 配置xinetd
1.格式
/etc/xinetd.conf中的每一项具有下列形式:
serviceservice-name
{
……
}
其中service是必需的关键字,且属性表必须用大括号括起来。
每一项都定义了由service-name定义的服务。
service-name是任意的,但通常是标准网络服务名,也可增加其他非标准的服务,只要它们能通过网络请求激活,包括localhost自身发出的网络请求。
有很多可以使用的属性,稍后将描述必需的属性和属性的使用规则。
操作符可以是=、+=或-=。
所有属性可以使用=,其作用是分配一个或多个值,某些属性可以使用+=或-=,其作用分别是将其值增加到某个现存的值表中,或将其值从现存值表中删除。
2.配置文件
相关的配置文件如下:
/etc/xinetd.conf
/etc/xinetd.d/* //该目录下的所有文件
/etc/hosts.allow
/etc/hosts.deny
3.属性列表
xinetd共有45个属性,你可以通过manxinetd.conf获得英文原文,属性列表如表4-3所示。
表4-3 xinetd的属性列表
属性选项
功能描述
id
该属性被用来唯一地指定一项服务。
因为有些服务的区别仅仅在于使用不同的协议,因此需要使用该属性加以区别。
默认情况下,id和服务名相同。
如echo同时支持dgram和stream服务。
设置id=echo_dgram和id=echo_stream来分别唯一标志两个服务
type
可以是下列一个或多个值。
RPC:
RPC类型的服务。
INTERNAL:
由xinetd自身提供的服务,如echo。
UNLISTED:
没有列在标准系统文件如/etc/rpc或/etc/service中的服务
flags
可以是以下一个或多个选项的任意组合。
REUSE:
设置TCP/IPsocket可重用。
也就是在该服务socket中设置SO_REUSEADDR标志。
当中断时重新启动xinetd。
INTERCEPT:
截获数据包进行访问检查,以确定是否来自于允许进行连接的位置。
INTERNAL服务和多线程服务不可使用该属性值。
续表
属性选项
功能描述
flags
NORETRY:
如果fork失败,不重试。
IDONLY:
只有在远程端识别远程用户时才接受该连接(也就是远程系统必须运行ident服务器),该标记只适用于面向连接的服务。
若没有使用USERID记录选项,则该标记无效,log_on_success或log_on_failure属性设置USERID值以使该值生效。
仅用于多线程的流服务。
NAMEINARGS:
允许server_args属性中的第一个参数是进程的完全合法路径,此时,server属性采用inetd的方式来指定(此标签的作用是表明该服务采用tcpd的方式来处理,而不是tcp wrapper,参见NOLIBWRAP标记)。
NODELAY:
若服务为tcp服务,并且NODELAY标记被设置,则TCP_NODELAY标记将被设置。
若服务不是tcp服务,则该标记无效。
DISABLE:
具有DISABLE标记的服务表示被禁用。
该标记将覆盖enable的指定,即如果你指定了“enable=foo”,若foo具有DISABLE标记,那么foo仍将被禁用。
使用了该标记的服务不会被提醒。
KEEPALIVE:
如果一个tcp服务设置了KEEPALIVE标记,那么该服务的socket将被设置SO_KEEPALIVE标记,对非TCP类型的服务设置该标记无任何作用。
flags
NOLIBWRAP:
禁用tcpwrap 库来决定一个服务的请求访问控制。
像xinetd,需要长时间的运行(系统启动后一直运行),一直调用libwrap函数库是不可取的,这种类型的服务就需要设置该标记,它们可以直接调用而无须调用libwrap函数库来控制访问请求(参见NAMEINARGS标记)。
SENSOR:
该标记的作用是使用一个传感器(SENSOR)来代替当前的服务。
使用该标记需要注意几个问题:
其一,你应当确认该服务是你不需要的或者是你不想提供该服务;其二,它不能觉察秘密的扫描动作;其三,它将觉察该服务指定端口的请求,并记录到作用于全局的no_access列表中,这就使得请求过该服务的IP在deny_time指定的时间过期之前一直都拒绝访问;其四,它还使得xinetd认为该服务的server属性是INTERNAL;其五,如果使用了该标记的socket_type为stream的服务设置,你需要设置wait为no
disable
可以设置为yes或no,设置为yes将禁用一个服务,详见flags的disable标签
socket_type
使用的TCP/IPsocket类型,值可能为stream(TCP),dgram(UDP),raw和seqpacket(可靠的有序数据包)
protocol
指定该服务使用的协议,其值必须是在/etc/protocols中定义的。
如果不指定,使用该项服务的默认协议
wait
这个属性有两个可能的值。
如果是yes,那么xinetd会启动对方请求的进程,并停止处理该项服务的其他请求直到该进程终止,适合于单线程服务;如果是no,那xinetd会为每个请求启动的一个进程,而不管先前启动的进程的状态,适合于多线程服务
user
设置服务进程的UID。
若xinetd的有效UID不是0,该属性无效
group
设置进程的GID。
若xinetd的有效UID不是0,该属性无效
instances
接受一个大于或等于1的整数或UNLIMITED。
设置可同时运行的最大进程数。
UNLIMITED意味着xinetd对该数没有限制
nice
指定进程的nice值。
它决定了服务的优先级,参数值是某个数字,可以为负数
server
要激活的进程,必须指定完整的路径
server_args
指定传送给该进程的参数,但是不包括服务程序名
only_from
用空格分开的允许访问服务的客户机列表。
如果不为该属性指定一个值,就拒绝任何人访问这项服务。
该属性支持所有操作符。
访问控制表的语法如下:
a)用数字表示的IP地址,格式为%d.%d.%d.%d。
如果最右边的一位是0,将被看作通配符。
举例来说,10.35.1.0表示10.35.1段内的任何地址都满足条件;如果地址是0.0.0.0,则匹配所有的IP地址。
b)分解列出的IP地址,格式为%d.%d.%d.{ %d.%d…}。
当然,并不是一定要四个部分都列出,例如,%d.%d.{%d.%d…},这样的格式也是可以的,然而,被分解列出的部分必须在最后面,例如,%d.{%d.%d…}.%d.%d,这样的格式是不允许的。
c)网络名。
/etc/networks中的网络名。
续表
属性选项
功能描述
only_from
d)主机名或域名。
当一个IP地址连接到xinetd上的时候,它会对这个IP进行反向解析,得出相应的主机名,然后与指定的主机名进行比较,查看是否匹配。
当然也可以使用域名,道理是一样的。
e)网络/子网。
格式为IPAddress/netmask,例如,1.2.3.4/32
no_access
用空格分开的拒绝访问服务的客户机列表。
该属性支持所有操作符,访问控制表的语法参见only_from。
Only_from和no_access决定了一个远程连接能否访问某个服务。
如果这两个属性都没有设置,那么任何人都可以请求该服务;如果都设置了,那么,最匹配的那个记录优先。
例如,你在only_from中设定了10.35.1.0可以访问,然后又在no_access中设定10.35.1.10禁止访问,那么,10.35.1段内除了10.35.1.10外的IP地址都可以访问
access_time
设置服务的可用时段,也就是说,在哪一段时间里可以使用本服务。
格式是hh:
mm_hh:
mm;如08:
00-18:
00,意味着从8AM到6PM可使用这项服务
log_type
指定服务log的记录方式。
SYSLOGfacility[level]:
设置facility为daemon,auth,user或local0-7;level是可选的,可用的level值为emerg,alert,crit,err,warning,notice,info,debug,默认值为info。
file[soft[hard]]:
指定用file记录log,而不是syslog。
限度soft和hard用KB指定(可选)。
一旦达到soft限,xinetd就登记一条消息。
一旦达到hard限,xinetd就停止登记使用该文件的所有服务。
如果不指定hard限,它为soft加1%,但默认时不超过20MB,默认soft限是5MB
log_on_success
指定成功时登记的信息,默认时不登记任何信息。
该属性支持所有操作符。
可能的值有以下几种。
PID:
进程的PID。
如果一个新进程没被分叉,PID设置为0。
HOST:
客户机IP地址。
USERID:
通过RFC1413调用捕获客户机用户的UID。
只可用于多线程的流服务。
EXIT:
登记进程终止的状态。
DURATION:
登记会话持续期
log_on_failure
指定失败时登记的信息。
总是登记表明错误性质的消息,默认时不登记任何信息。
该属性支持所有操作符。
可能的值是有以下几种。
ATTEMPT:
记录一次失败的尝试,所有其他值隐含为这个值。
HOST:
客户机IP地址。
USERID:
通过RFC1413调用捕获客户机用户的UID。
只可用于多线程的流服务。
RECORD:
记录附加的客户机信息,如本地用户、远程用户和终端的类型
rpc_version
指定RPC版本号或服务号。
版本号可以是一个单值或者一个范围,如2~3
rpc_number
如果RPC程序号不在/etc/rpc中,就指定它
env
用空格分开的VAR=VALUE表,其中VAR是一个shell环境变量,VALUE是其设置值。
这些设置在服务被激活时被追加到服务的环境变量中。
这个属性支持=和+=操作符
passenv
用空格分开的xinetd环境中的环境变量表,该表在激活时传递给服务程序。
如果设置的值为空就不传送任何变量(除了在env中指定的变量)。
该属性支持所有操作符
port
定义该项服务相关的端口号。
如果该服务在/etc/services中列出,它们必须匹配
redirect
该属性语法为redirect=Ipaddressport。
它把tcp服务重定向到另一个系统。
如果使用该属性,就忽略server属性
bind
把一项服务绑定到一个特定界面。
语法是bind=ipaddress/interface。
这意味着你的telnet服务可以监听一个本地的安全的端口,而不是一个外部的界面。
或者,同一个端口在某个网络界面上可以做某件事情,同时,在另一个界面上可以做完全不同的事情
interface
等同于bind
banner
无论该连接是否被允许,当建立连接时就将该文件显示给客户机
banner_success
当连接授权通过时显示banner_success指定的文件中包含的信息
续表
属性选项
功能描述
banner_fail
当客户端的请求违反控制规则时显示banner_fail指定的文件中包含的信息,以告知用户他们正在试图请求不被允许的服务
per_source
参数值可以为整数或者UNLIMITED关键字。
它表示每一个IP地址上最多可以建立的实例数目。
本属性也可以定义在defaults部分
cps
用来设定连接速率。
它需要两个参数,第一个参数表示每秒可以处理的连接数,如果超过了这个连接数时,之后进入的连接将被暂时停止处理;第二个参数表示停止处理多少秒后,继续处理先前暂停处理的连接
max_load
用一个浮点数作为负载系数,当负载达到这个数目的时,该服务将停止处理后续的连接
groups
可以设置为yes或no。
如果设置为yes,将允许对该服务起作用的组中包含的用户来访问,如果设置为no,将设置服务进程的GID。
如果xinetd的有效GID不是0,则该属性无效。
在BSD类的系统上,很多服务需要设置该属性为yes,这个属性也可以设置在defaults部分
umask
设置服务所继承的umask。
参数值应该是一个八进制数字,该属性也可以设置到defaults项中。
xinetd自己的umask默认是022,如果你没有设置umask属性,那么所有xinetd的子进程的umask将都是022
enabled
其参数值是一个服务名称的列表,表示该列表中的服务将被启用,其余的则不被启用。
然而,如果某个服务设置使用了disable或者DISABLE标记(flag),即使该服务被设置在enabled列表中,也不会被启用。
参见disable属性和flags的DISABLE标记
disabled
只可用于defaults项,指定被关闭的服务列表,是用空格分开的、不可用的服务列表来表示的。
它和在/etc/xinetd.conf文件中注释掉该服务项有相同的效果
include
使用“include/etc/xinetd.d/service_name”这样的格式来引入一个文件。
这跟直接将引入文件的内容放到xinetd.conf中是不同的,因为那里默认已经有了include指令。
需要注意的是,其一,被引入文件的格式应该是跟xined.conf格式相同;其二,不可以在某个服务的声明部分使用此指令,应当放在声明之外的地方
includedir
使用“includedir /etc/xinetd.d”这样的格式引入一个目录作为xinetd配置文件的存放目录。
指定目录下除了文件名包括点号(.)或者以引号(“”)结束的文件,都将视作xinetd的服务配置文件。
跟include指令一样,该指令也不可以放在服务的声明部分
rlimit_as
设置服务的地址资源限制。
参数值应该是以字节为单位的正整数或者UNLIMITED关键字。
由于libc malloc的实现机制,在Linux系统上设置该属性比设置rlimit_rss、rlimit_data和rlimit_stack属性更有效,这个资源限制的属性只可以在Linux系统上设置
rlimit_cpu
设置服务最多可占用的CPU秒数。
参数值应该是以秒为单位的正整数或者UNLIMITED关键字
rlimit_data
设置服务的最大数据量。
参数值应该是以字节为单位的正整数或者UNLIMITED关键字
rlimit_rss
设置服务的最大常驻内存。
参数值应该是以字节为单位的正整数或者UNLIMITED关键字
rlimit_stack
设置服务的最大堆栈大小。
参数值应该是以字节为单位的正整数或者UNLIMITED关键字
deny_time
设置对于所有IP,所有服务的访问被禁用的时间长度。
参数值可以是以分钟为单位的正整数、FOREVER和NEVER。
如果你设置为FOREVER,在xinetd重启之前一直有效;NEVER只对那些非法的IP地址有效;数字一般设置为60,设置为这个数值基本就可以防范DoS攻击了。
需要注意的是,这个标记必须与SENSOR标记(flags)结合使用
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- xinetd11