xinetd使用指南
redhat7.0以后inetd都已换成xinetd了--好用了很多。先看一下/etc/xinetd.conf--instances最大实例数--如果你用的是wu-ftpd-最大人数60那就改这个了。注意最后一句includedir其实是把telnet,wu-ftpd等脚本包含到此文件中的--直接写在这也行。
defaults
{
instances = 60
log_type = SYSLOG authpriv
log_on_success = HOST PID
log_on_failure = HOST
cps = 25 30
}
includedir /etc/xinetd.d
(这篇xinetd完全指南已非常全了--看了它你对xinetd就会很熟了:)
许多人在装了redhat 7.x后开始找不到北!!!(我就是其中一个) 因为redhat 7.x开始注重系统安全,最大的特征就是用xinetd.conf代替原来的inetd.conf,并且7.1中默认安装没有开ftp,telnet等熟悉的服务,而是更安全的ssh! 7.1还加入firewall等服务 (感谢paradise提供下载地点给我安装redhat7.1)
大家对被称作超级服务器的Inetd一定很熟悉,其实现控制对主机网络连接。当一个请求到达由Inetd管理的服务端口,Inetd将该请求转发给名为tcpd的程序。Tcpd根据配置文件hosts.{allow, deny}来判断是否允许服务该请求。如果请求被允许则相应的服务器程序(如:ftpd、telnetd)将被启动。这个机制也被称作tcp_wrapper.
xinetd(eXtended InterNET services daemon)提供类似于inetd+tcp_wrapper的功能,但是更加强大和安全。它能提供以下特色:
* 支持对tcp、ucp、RPC服务(但是当前对RPC的支持不够稳定)
* 基于时间段的访问控制
* 功能完备的log功能,即可以记录连接成功也可以记录连接失败的行为
* 能有效的防止DoS攻击(Denial of Services)
* 能限制同时运行的同一类型的服务器数目
* 能限制启动的所有服务器数目
* 能限制log文件大小
* 将某个服务绑定在特定的系统接口上,从而能实现只允许私有网络访问某项服务
* 能实现作为其他系统的代理。如果和ip伪装结合可以实现对内部私有网络的访问
它最大的缺点是对RPC支持的不稳定性,但是可以启动protmap,与xinetd共存来解决这个问题。
编译安装
可以从www.xinetd.org下载xinetd,当前最新的版本是xinetd 2.1.8.8p3。默认编译和安装xinetd是非常简单的,按照如下的步骤进行:#./configure; make; make install 即可完成。
在进行configure时,可以支持如下几个有用处的选项:
--with-libwrap : 如果使用该选项xinetd将会察看tcpd配置文件(/etc/hosts.{allow, deny})来进行访问控制,但是如果要利用该功能,系统上必须安装有tcp_wrapper和相关库。
--with-loadavg : 使用该选项,xinetd将处理max-load配置选项。从而在系统负载过重时关闭某些服务进程,来实现某些DoS攻击。
--with-inet6 : 使用该选项xinetd将支持IPv6。
如果是是用redhat7.0,则其默认将安装xinetd,而不需要自行安装。
配置
xinetd的默认配置文件是/etc/xinetd.conf。其语法和/etc/inetd.conf完全不同且不兼容。它本质上是/etc/inetd.conf和/etc/hosts.allow,/etc/hosts.deny功能的组合。/etc/xinetd.conf中的每一项具有下列形式
service service-name
{
……。
}
其中service是必需的关键字,且属性表必须用大括号括起来。每一项都定义了由service-name定义的服务。
Service-name是任意的,但通常是标准网络服务名,也可增加其他非标准的服务,只要它们能通过网络请求激活,包括localhost自身发出的网络请求。有很多可以使用的attribute,在下表中进行了详细的说明。稍后将描述必需的属性和属性的使用规则。
操作符可以是=,+=,或-=。所有属性可以使用=,其作用是分配一个或多个值,某些属性可以使用+=或-=的形式,其作用分别是将其值增加到某个现存的值表中,或将其值从现存值表中删除。表10.10中说明了可以用后一种形式的属性。
Value是为给定属性设置的参数。
表1 扩展的lnernet服务进程属性
属 性 描述和允许值
socket_type 使用的TCP/IP socket类型,值可能为stream(TCP), dgram(UDP), raw和seqpacket(可靠的有序数据报)
protocol 指定该服务使用的协议,其值必须是在/etc/protocols中定义的。如果不指定,使用该项服务的缺省协议。
server 要激活的进程,必须指定完整路径
server_args 指定传送给该进程的参数,但是不包括服务程序名
port 定义该项服务相关的端口号。如果该服务在/etc/services中列出,它们必须匹配
wait 这个属性有两个可能的值。如果是yes,那么xinetd会启动申请的进程并停止处理该项服务的请求直到该进程终止。这是个单线程服务。如果是no,那xinetd会为每个请求启动的一个进程,而不管先前启动的进程的状态。这是个多线程服务
user 设置服务进程的UID,但是若xinetd的有效UID不是0,该属性无效
group 设置进程的GID。若xinetd的有效UID不是0,这个属性无效
nice 指定进程的nice值
id 该属性被用来唯一地指定一项服务。因为有些服务的区别仅仅在于使用不同的协议,因此需要使用该属性加以区别。默认情况下服务id和服务名相同。如echo同时支持dgram和streama服务。设置id=echo_dgram和id=echo_streams来分别唯一标识两个服务。
type 可以是下列一个或多个值:RPC(对RPC服务),INTERNAL(由由xinetd自身提供的服务,如echo),UNLISTED(没有列在标准系统文件如/etc/rpc或/etc/service中的服务)
access_time 设置服务可用时的时间间隔。格式是hh:mm_hh:mm; 如08:00-18:00意味着从8A.M到6P.M.可使用这项服务
banner 无论该连接是否被允许,当建立连接时就将该文件显示给客户机
flags 可以是以下一个或多个选项的任意组合:
REUSE:设置TCP/IP socket可重用。也就是在该服务socket中设置SO_REUSEADDR标志。当中断并重新启动xinetd
INTERCEPT:截获数据报进行访问检查,以确定它是来自于允许进行连接的位置。INTERNAL服务和多线程服务不可使用该属性值
NORETRY:如果fork失败,不重试
IDONLY: 只有在远程端识别远程用户时才接受该连接(也就是远程系统必须运行ident服务器),该标记只适用于面向连接的服务。若没有使用USERID记录选项则该标记无效log_on_success和/或log_on_failure属性设置USERID值以使该值生效。仅用于多线程的流服务
NAMEINARGS:允许server_args属性中的第一个参数是进程的完全合格路径,以允许使用TCP_Wrappers
NODELAY:若服务为tcp服务,并且NODELAY标记被设置,则TCP_NODELAY标记将被设置。若服务不是tcp服务则该标记无效
rpc_version 指定RPC版本号或服务号。版本号可以是一个单值或者一个范围中如2-3
rpc_number 如果RPC程序号不在/etc/rpc中,就指定它
env 用空格分开的VAR=VALUE表,其中VAR是一个shell环境变量且VALUE是其设置值。这些值以及xinetd的环境都在激活时传送给服务程序。这个属性支持=和+=操作符
passenv 用空格分开的xinetd环境中的环境变量表,该表在激活时传递给服务程序。设置no就不传送任何变量。该属性支持所有操作符
only_from 用空格分开的允许访问服务的客户机表。表2种给出客户机语法。如果不为该属性指定一个值,就拒绝访问这项服务。该属性支持所有操作符。
no_access 用空格分开的拒绝访问服务的客户机表。表2给出客户机语法。该属性支持所有操作符
instances 接受一个大于或等于1的整数或UNLIMITED。设置可同时运行的最大进程数。UNLIMITED意味着xinetd对该数没有限制。
log_type 指定服务log记录方式,可以为:
SYSLOG facility[level]:设置该工具为daemon,auth,user或loca10-7。设置level是可选的,可以的level值为emerg,alert,crit,err,warning,notice, info, debug,默认值为info
file[soft[hard]]: 指定file用于记录log,而不是syslog。限度soft和hard用KB指定(可选)。一旦达到soft限,xinetd就登记一条消息。一旦达到hard限,xinetd停止登记使用该文件的所有服务。如果不指定hard限,它成为soft加1%,但缺省时不超过20MB.缺省soft限是5MB
redirect 该属性语法为redirect=Ipaddress port。它把TCP服务重定向到另一个系统。如果使用该属性,就忽略server属性
bind 把一项服务绑定到一个特定端口。语法是bind=Ipaddress。这样有多个接口(物理的或逻辑的)的主机允许某个接口但不是其他接口上的特定服务(或端口)
log_on_success 指定成功时登记的信息。可能值是
PID:进程的PID。如果一个新进程没被分叉,PID设置为0。
HOST:客户机主机IP地址
USERID:通过RFC1413高用捕获客户机用户的UID。只可用于多线程流服务。
EXIT:登记进程终止和状态
DURATION:登记会话持续期
缺省时不登记任何信息。该属性支持所有操作符
log_on_failure 指定失败时登记的信息。总是登记表明错误性质的消息。可能值是ATTEMPT:记录一次失败的尝试。所有其他值隐含为这个值。
HOST:客户机主机IP地址
USERID:通过RFC1413调用捕获客户机用户的UID。只可用于多线程流服务。
RECORD:记录附加的客户机信息如本地用户,远程用户 和终端的类型。缺省时不登记任何信息。该属性支持所有操作符。
Disabled 只可用于defaults项(参看本小节后面的defaults项),指定被关闭的服务列表,是用空格分开的不可用服务列表来表示的。它和在/etc/xinetd.conf文件中注释掉该服务项有相同的效果。
我们首先看一个简单的例子。例1是配置文件/etc/xinetd.conf的一个范例。这两种服务的定义看上去像/etc/inetd.conf的原因是因为它们是用itox工具从/etc/inetd.conf转换得来的,只把/etc/inetd.conf项对应转换成适当的xinetd语法。这样,这些属性(在大括号中的=号的左边)意义是非常直接的,其相关值(在大括号中的=号的右边)也是如此。
例1 文件/etc/xinetd.conf中的一部分
Serice ftp
{
Socket_type=stream
protocol=tcp
wait=no
user=root
server=root
Server_args= - 1 - a
}
Service telnet
{
Socket_type=stream
protocol=tcp
wait=tcp
user=root
server=/usr/sbin/in.telnetd
}
创建/etc/xinetd.conf文件最容易的方法是用itox工具(该例假定当前工作目录是xinetd的编译目录):
# xinetd/itox -daemon_dir /usr/sbin /etc/xinetd.conf。itox的参数-daemon_dir /usr/sbin指定服务程序的目录位置,如果实现了TCP_Wrappers,从/etc/inetd.conf中是不能确定它的,转换完成以后,就开始增加属性和值,以限制访问并增加登记,最后要手工修改/etc/xinetd.conf以充分利用xinetd的特性;否则,如果只把/etc/inetd.conf转换为/etc/xinetd.conf, xinetd的行为就和inetd一样了。
表1详述了在/etc/xinetd.conf中最常使用的一些属性和值。当然还有许多其他属性,详细配置选项可以在安装xinetd以后通过man xinetd.conf来得到。在本小节后面的“配置实例”中,将用一些例子阐明其中的许多属性。
表2中给出only_from和no_access表的语法,定义了指定主机名,IP地址和网络的语法。注意表2中最后一项netmask的语法和之前看到的有所不同。它没有采用传统的十进制或十六进制netmask的表示方法,而是采用一个整数表示从netmask(用二进制表示)的最高位(最左端)开始起每位都为1的位数。因此,给定例子的netmask值设置为20,意味着其最左端的20位都设置为1,而余下12位设置为0,或
11111111 11111111 11110000 00000000
它是十进制netmask255.255.240.0的二进制表示。
表2 /etc/xinetd.conf的访问控制表的语法
语 法 描 述
hostname 可解析的主机名。使用和这个主机名相关的所有IP地址
IPaddress 点和十进制形式的标准IP地址,如192.168.0.1
Net_name /etc/networks中的网络名
x.x.x.0 x.x.0.0
x.0.0.0 0.0.0.0
0作为通配符看待。如项88.3.92.0匹配从88.3.92.0到88.3.92.255的所有IP地址。项0.0.0.0匹配所有地址
x.x.x.{a,b,…}
x.x{a,b,…}
x.{a,b,…} 指定主机表。如172.19.32.{1,56,59}意味着含IP地址172,19.32.1,172.19.32.56和172.19.32.59的表
Ipaddress/netmask 定义要匹配的网络或子网。如172.19.16.0/20匹配从172.19.16.0到172.19.31.255的所有地址
在看了这些基本属性之后,下面我们仔细讨论那些必需的属性,特定服务和一些配置实例。
必需的属性
对每种服务都必须指定某些属性。一些服务比其他服务需要更多属性,因为它们不被缺省定义(即不在/etc/services或/etc/rpc中)。表3列出了必需的属性。
表3 必需的属性
语 法 描 述
socket_type 所有服务
wait 所有服务
user 在/etc/services或/etc/rpc中列出的服务
server 非内部服务
port etc/services中的非RPC服务
protocol 不在/etc/services中的所有RPC服务和所有其他服务
rpc_version 所有RPC服务
rpc_number 不列在/etc/rpc中的任何RPC服务
特定的xinetd服务 /etc/xinetd.conf文件中有4个特殊项。它们分别是defaults, servers,services和xadmin。Defaults项不是一项服务,且不需要前置service关键字(否则它会被当成称为defaults的服务对待)。这些特殊项在以下4小段中描述。
defaults项
/etc/xinetd.conf文件中的defaults项是实现为该文件中的所有服务指定某些属性的默认值。这些默认值可被每个服务项取消或修改。表4中列出可在defaults项中指定的属性。这个表也指明了具体服务项中可以修改哪些属性。
表4 defaults可用的属性
属性 服务修改
log_on_success
log-on_failure
only_from
no_access
passenv 可以用=操作符改写或用+ =或 - =操作符修改
instances
log_type 可以用=操作符改写
disabled 可注释掉的服务,但disabled属性可用于某个服务项内
例2是defaults项的一个实例。从中看到对所有服务而言,登记消息将通过loca14.info有选择地送到syslogd进程。对成功的服务连接,将登记PID,客户机IP地址,中止状态和连接时间。对不成功的连接企图,将登记客户机IP地址。每项服务的最大实例数设置为8。禁止两项服务:in.tftpd和in.rexecd。
defaults项从本质上提供了在整个文件中建立某些属性的默认值,它应用于没有设置这些属性的所有服务。
例2 /etc/xinetd.conf中defaults项的示例
defaults
{
log_type = SYSLOG loca14 info
log_on_success = PID HOST EXIT DURATION
log_on_failure = HOST
instances =8
disabled = in.tftpd in.rexecd
}
注:如果在/etcxinetd.conf文件中没有defaults项,且之后决定增加这一项,你必须中止和重新启动xinetd以使defaults生效。这对任何要增加到/etc/xinetd.conf中的新服务也是正确的。它可以如下完成。
# kill -TERM xinetd
# /usr/sbin/xinetd
或者如果使用了启动脚本,则只需要简单执行。
#/etc/rc.d/init.d/xinetd restart
servers项 servers特殊服务是实现提供当前运行在服务器上的进程表,以及有关这些进程的确切信息。换句话说,它提供了活动连接的列表。这对排除故障和检查xinetd状态是个有用机制。例3显示了/etc/xinetd.conf文件中的一个实例servers项。注意这项服务的类型是INTERNAL,UNLISTED,这意味着它是xinetd的内部功能,且不列在/etc/services中。使用的端口是完全任意的。
例3 servers项的示例
service servers
{
type = INTERNAL UNLISTED
socket_type = stream
protocol = tcp
port = 9997
wait = no
only_from = 172.17.33.111
wait = no
}
注意这项服务仅用于特定IP地址172.17.33.111,它是服务器自身的IP地址。这表示不允许任何其他主机从这个服务器获得当前运行在服务器上的进程列表。这样做的原因是显而易见的:如果这条信息可被其他系统上的主机获取,基于对当前正在运行的进程的了解就加以利用。除用于调试之外,一般不要运行该服务,因为172.17.33.111上的任何用户通过执行例4中的telnet 172.17.33.111 9997都能获取这条信息。注意xinetd仅提供这条信息就退出,不提供交互连接。例4中的输出告诉我们有两个正在运行的telnet进程(第5行和第31行),一个进程PID为5931,另一个为5961(分别为第6行和第32行),有一个ftp进程(第18行),其运行PID为5960(第19行)。
例4 servers服务的输出示例
1 $ telnet topcat 9997
2 Trying 172.17.33.111……
3 Connected to topcat
4 Escape character is ‘^]’
5 telnet server
6 Pid=5931
7 Start_time=Sat Apr 17 10:32:15 1999
8 Connection info:
9 State=CLOSED
10 Service=telnet
11 Descriptor=20
12 Flags=9
13 Remote_address=10.48.3.2,39958
14 Alternative services=
15 Log_remote_user=YES
16 Writes_to_log=YES
17
18 ftp server
19 Pid=5960
20 Start_time=Sat Apr 17 10:49:06 1999
21 Connection info:
22 State=CLOSED
23 Service=ftp
24 Descriptor=20
25 Flags=9
26 Remote_address=172.17.55.124,2320
27 Alternative services=
28 Log_remote_user=YES
29 Writes_to_log=YES
30
31 telnet server
32 Pid=5961
33 Start_time=Sat Apr 17 10:49:20 1999
34 Connection info:
35 State=CLOSED
36 Service=telnet
37 Descriptor=20
38 Flags=9
39 Remote_address=172.17.1.3,35461
40 Alternative services=
41 Log_remote_user=YES
42 Writes_to_log=YES
43
44 Connection closed by foreign host
45 $
services项
services特定项的目的是提供可用服务的列表。对services特定项来说,这是个有用的排除故障工具,但为了上述同样的安全因素,可能不会去用它。尽管如此,还是要看一看它如何工作。
例5是 services项的一个示例。端口号的选择也是任意的。也应注意访问限制于topcat,这是服务器自身的主机名。
例5 /etc/xinetd.conf中services项示例
service services
{
type = INTERNAL UNLISTED
Socket_type = stream
protocol = tcp
port = 8099
wait = no
only_ from = topcat
}
对于servers服务来说,任何用户可执行telnet topcat 8099,并获得来自services服务的输出。例6给出了连接8099端口的实例信息信息。注意xinetd仅提供这条信息就退出,而不提供任何交互连接。
例6 查询services内部服务的输出
$ telnet topcat 8099
Trying 172.17.33.111……
Connected to topcat.
Escape character is ‘^]’
Servers tcp 9997
Services tcp 8099
ftp tcp 21
telnet tcp 23
Shell tcp 514
Login tcp 513
Talk udp 517
Ntalk udp 518
Pop-2 tcp 109
Pop-3 tcp 110
Imap tcp 143
Linuxconf tcp 98
Connection closed by foreign host.
$
xadmin项
这个特定服务项提供以交互方式获得services特定服务所提供信息的方法。例7是/etc/xinetd.conf项的一个示例(端口号的选择也是任意的),类似于services和servers服务,这项服务也没有口令或其他保护,所以要谨慎设置服务的only_from项,以增强安全性。
例7 xadmin项
Service xadmin
{
type = INTERNAL UNLISTED
socket_type = stream
protocol = tcp
port = 9967
wait = no
only_from = topcat
}
对前两个特定服务类型来说,你只需telnet到所列端口上,即telnet topcat 9967。和前两项服务不同,xadmin提供了一个交互环境。一旦连接到xadmin服务器上,就可执行5个命令。它们是help,show,run,bye和exit。Help命令显示其他命令以及一个简短的用法消息。bye和exit命令都关闭这个连接。show run和show avail命令分别提供servers和services提供的信息。
警告:像前3段中指出的一样,这些特定服务servers,services和xadmin产生的信息可用于攻击系统。可能不需要一直运行这些服务,或许只当你调试时才需要。在任何时候,如果的确运行了这些服务,要确信用access_from和/或no_access配置了访问控制。也可以为这些服务使用bind属性以进一步限制访问。
配置实例
这节中将看到一些不同的例子,与之相关的行为以及它们产生的登记消息。
访问控制
从一个简单的访问控制例子开始。在例10中,服务器topcat的login服务项允许IP地址以172开始但不以172.19开始的任何系统访问。这个例子包括了defaults部分。假定这一项用于login服务,且从客户机上用rlogin命令激活,让我们检查成功和不成功企图,以及它们产生的登记。
假定主机underdog的IP地址是172.18.5.9。那么当Mary执行rlogin登记topcat时,会给予她访问权。这相成功的登录如例11所示。尽管例11说明了Mary的动作产生的log内容。如例12所示,该例中的最后一项反映了当Mary拆除登录时的退出情况。可用PID跟踪某次会话的退出,只要你指明这个PID将在/etc/xinetd.conf中登记。登记项如下:每个xinetd登记项记录日期和时间戳,之后服务器主机名,然后是xinetd,之后在括号中是xinetd的PID。例12中的第一条记录以start关键字开始,表明这个会话的开始,之后识别的激活进程(login),然后激活进程的PID,最后是客户机地址。
例10 在/etc/xinetd.conf中rlogin service项的示例
defaults
{
log_type=SYSLOG loca14 info
log_on_success=PID HOST EXIT DURATION
log_on_failure=HOST
instances=8
}
Service login
{
socket_type=stream
protocol=tcp
wait=no
user=root
flags=REUSE
only_from=172.0.0.0
no_access=172.19.0.0
log_on_success+=USERID
log_on_failure+=USERID
server=/usr/sbin/in.ftpd
server_args=-1 -a
}
例11 成功的rlogin企图
[mary@underdog]$ rlogin topcat
password:
last login:Wed Apr 14 17:45:02 from roadrunner
[mary@topcat]$
例12 和例11相关的登记项
Apr 15 11:01:46 topcat xinetd[1402]:START:login pid=1439 From=172.18.5.9
Apr 15 11:01:46 topcat xinetd[1439]:USERID:login OTHER:mary …
…
Apr 15 11:39:31 topcat xinetd[1402]:EXIT:login status:1 pid=1439 dura-tion=2265(sec)
第2项以USERID关键字开始,表明成功地发出了RFC1413调用。之后是服务名(login),远程系统对RFC1413调用(此时为OTHER)的响应,最后远程用户名(mary)。
这些log项的含义是很清楚的,但表4提供了这些关键字(如START,USERID和EXIT)和其含义的解释。
现在假定Joe想在主机sly.no.good.org(IP地址为19.152.1.5)上使用rlogin。例13显示了这一结果。看上去Joe连接被拒绝,或者可能他想强入。让我们看一看例14中的这三次企图所产生的登记项。注意登记项不包括远程用户名,尽管我们在例10中用log_on_failure属性特别请求那个信息。这是因为远程主机sly.no.good.org没有运行identd或类似进程。因为主机sly.no.good.org不在例10中的only_from表中,尽管在login服务项中增加了flags=IDONLY一项,它不会记录sly.no.good.org没有运行identd的事实。仅当主机得到许可时,这样一项登记记录才会出现。
表4 xinetd登记项的描述
登记关键词 格式和描述
START START:service_id[pid=PID][from=Ipaddress]
当启动一项服务时记录该项。service_id是服务名,像id属性指定的一样(如果不明确设置这个属性,它采用该服务参数的值:参看表10.10);PID是被激活进程的标识符,或者如果没有进程被激活,就为0(log_on_ Success指定了PID时才记录):Ipaddress是客户机的IP地址(仅当HOST是log_on_success时才记录)
EXIT EXIT:service_id[type=s][pid=PID][duration=#(sec)]
仅当为log_on_success指定了EXIT时,若进程终止就记录这项。service_id和PID项和以前一样。Type项记录退出状态或产生终止的信号。Duration捕获会话时间(秒数)且需要在log_on_success中说明DURATION选项
FAIL FAIL:service_id reason[from=Ipaddress]
当失败的请求发生且至少为log_on_success属性指定了一个值时生成该项。service_id如前。Reason是一个解释失败原因的简单词或短语。Ipaddress是客户机地址且需要为log_on_success属性设置HOST值才出现。
DATA DATA:service_id data
仅当为log_on_failure指定了RECORD时才记录。service_id如前。记录的data取决于服务,但通常包括远程用户名(如果可得到)和状态信息
USERID USERID:service_id text
仅当为log_on_success或log_on_failure或者指定了USERID时,才记录这个住处。Service_id如前。Text包括客户机对RFC1413调用的响应且特别是远程用户名
NOID NOID:service_id Ipaddress reason
仅当为flags属性设置了IDONLY值且至少为log_on_success或log_on_failure设置了USERID值时该项出现。Service_id如前。给出的Ipaddress是主机地址。Reason是失败状态
例13 来自未授权主机的失败rlogin企图
Sly.no.good.org $ rlogin topcat
Topcat:Connection reset by peer
Sly.no.good.org $ rlogin -1 paul topcat
Topcat:Connection reset by peer
Sly.no.good.org $ rlogin -1 mary topcat
Topcat:Connection reset by peer
Sly.no.good.org $
例 14 和例10-50相关的登记项
Apr 15 12:08:40 topcat xinetd[1402]:FAIL:login address from-19.152.1.5
Apr 15 12:08:52 topcat xinetd[1402]:FAIL:login address from-19.152.1.5
Apr 15 12:08:49 topcat xinetd[1402]:FAIL:login address from-19.152.1.5
有一个最后登记项要检查。注意例10中的instances属性设置为8。对第9个登录会话会发生什么?当第9个用户试图rlogin到topcat时,那个用户会看到下列错误消息
rcmd:topcat:address already in use
并且topcat中为这一事件记录的登记项是
Apr 15 13:37:33 topcat xinetd(1402):FAIL:login service_limit from-172.17.55.124
把这个记录和表4中的描述相对照,FAIL关键字之后是服务名,然后是对失败的解释(此时为service_limit),最后是客户机地址。
使用bind属性
bind属性允许把一个特定接口的IP地址和一个特定的服务关联。假定有一个内部ftp服务器,它通过匿名ftp为公司职员提供只读资源。再假定这个ftp服务器有两个接口,一个连接在公司环境中,另一个连接到专用内部网,通常只有在那个特定组中工作的职员可访问它。尽这个例子中只考虑基于接口提供两个不同ftp服务的需求。例15在/etc/xinetd.conf中说明了两个ftp服务项。它可以实现所期望的功能。出于完整性再次提供了defaults部分。
注意每个ftp服务项有一个唯一的id属性。对有相同名字的服务数目没有任何限制,只要每个有唯一的标识符。在这个例子中,为内部ftp服务器设置id属性为ftp,为外部匿名服务器设置id属性为ftp_chroot。注意在后一种情况下,激活的进程是/usr/sbin/anon/in.aftpd(对TCP_Wrappers来说是twist),这和以前的服务是不同的。
例15 把服务绑定到特定地址上
defaults
{
log_type=SYSLOG loca14 info
log_on_success=PID HOST EXIT DURATION
instances=8
}
service ftp
{
id=ftp
socket_type=stream
protocol=tcp
wait=no
user=root
only_from=172.17.0.0 172.19.0.0/20
bind=172.17.1.1
Log_on_success+=USERID
Log_on_failure+=USERID
server=/usr/sbin/in.ftpd
server_args=-1 a
}
service ftp
{
id=ftp_chroot
socket_type=stream
}
service telnet
{
socket_type=stream
wait=no
flags=REUSE
user=root
bind=172.17.33.111
server=usr/sbin/in.telnetd
log_on_success=PID HOST EXIT DURATION USERID
log_on_failure=RECORD HOST
}
service telnet
{
Socket_type=stream
protocol=tcp
wait=no
flags=REUSE
user=root
bind=201.171.99.99
redirect=172.17.1.1 23
Log_on_success=PID HOST EXIT DURATION USERID
LOG_ON_FAILURE=record host
}
例 16 redirect的结果
$ telnet 201.171.99.99
Trying 201.171.99.99
Connected to 201.171.99.99
Escape character is‘^]’
UNIX(r) System V Release 4.0 (foghorn)
Login:
因为Linux对每个物理端口最多支持256个逻辑接口,因此理论上可以为系统上的每个物理地址代理256个不同的地址。
尽管redirect机制可能是非常有用的,但实现它时要小心。要确保在代理服务器和终端系统上进行登记。可是在高度受控的内部网络中,这个实现可能是方便的。
包含TCP_Wrappers
/etc/xinetd.conf中包含TCP_Wrappers功能是如此简单,TCP_Wrappers的所有功能可通过xinetd包括进去,就像通过inetd一样。例17是/etc/xinetd.conf文件的一个实例,它为许多服务使用了TCP_Wrappers。当属性服务器设置为/usr/sbin/tcpd后,那个服务将被包裹。注意这样的项总是把server_args属性设置为要激活的进程(全路径)。在讨论xinetd的编译时,用到了libwrap配置选项,但是无论是否用libwrap编译,例17中的配置文件都能发挥作用。用libwrap编译的作用是包含/etc/hosts.allow和/etc/hosts.deny中的访问限制。例17所示提供了TCP_Wrappers的一组完整特征,banners,spawn,twist等。
例 17 在/etc/xinetd.conf中使用TCP_Wrappers
defaults
{
Log_type=SYSLOG loca14 info
Log_on_success=PID HOST EXIT DURATION
Log_on_failure=HOST
instances=8
}
service ftp
{
id=ftp
socket_type=stream
protocol=tcp
wait=no
user=root
only_from=172.17.0.0
log_on_success+=USERID
log_on_failure+=USERID
access_times=8:00-16:30
server= /usr/sbin/tcpd
server_args= /usr/sbin/in.ftpd -1 -a
}
service telnet
{
socket_type=stream
wait=no
flags=NAMEINARGS REUSE
user=root
bind=172.17.33.111
server= /usr/sbin/tcpd
server_args= /usr/sbin/in.telnetd
log_on_success=PID HOST EXIT DURATION USERID
log_on_failure=RECORD HOST
}
service telnet
{
socket_type=stream
protocol=tcp
wait=no
flags=REUSE
user=root
bind=201.171.99.99
redirect=172.17.1.1 23
log_on_success=PID HOST EXIT DURATION USERID
log_on_failure=RECORD HOST
}
…
…
xinetd进程
xinetd进程接受若干参数。这些参数可被特定服务default中的属性改写,或在一个或多个服务的单个属性项改写。然而,这里给出的所有参数或它们的缺省值控制xinetd自身的行为。例如,如果filelog标记指定为xinetd,那么将在那里登记所有状态转换消息,尽管 /etc/xinetd.conf文件中为和服务相关消息指定了其他登记位置。可用参数列在表5中。
应注意xinetd报告的所有状态信息,总是出现在-syslog或-filelog标记指定的登记文件中,不管设置如何,即通过defaults还是在/etc/xinetd.conf中。如果要在一个文件中捕获xinetd的PID,可以用 xinetd -pid 2> /var/run.xinetd.pid
和xinetd一起使用的可用信号 xinetd进程也基于收到的信号采取特定的行动。表16描述了它接受的每个信号的功能。注意每当增加了新服务或defaults项,或每当改变了任何服务的如下属性:protocol,socket_type,type或wait时,必须用SIGTERM(或更简单的TERM)信号中止xientd。每当给xinetd发布一个软性或硬性重配置信号时,将写入例19中所示类型的登记项。这个特定例子是硬性重配置的结果。注意这次硬性重配置的结果是中止了一项服务(用dropped=1标识)。
表 5 xinetd的标记
标 记 描 述
-d 调试模式。输出可和调试器如gdb一起使用
-sysllog facility 指定syslogd工具。是daemon, auth, user和loca10-7其中之一
-filelog file 指定登记写到file而不是syslog中。必须是完整路径名
-fconfig_file 指定配置文件。必须是完整路径名。缺省是/etc/xinetd.conf
-pid 把PID写入标准错误中
-loop rate 指定每秒钟分叉的进程数。缺省是10.对较快机器来说可能希望改变它
-reuse 设置可重用的TCP socket,这意味着以前的实例运行时也可启动其他进程。当和flags属性一起使用时,有更特殊的服务控制(参看表10.10)
-limit numproc 限制由xinetd启动的同时运行的进程总数为numproc
-shutdownprocs limit当log_on_failure属性中使用了RECORD值时,xinetd分叉称为shutdown的服务以收集服务终止时的信息。该选项限制同时运行的shutdown进程总数为limit
-cc interval 使xinetd每隔interval秒运行对其内部状态的一致性检查。用killall -IOT xinetd可手工实现
表6 xinetd信号
信 号 作 用
SIGUSR1 软性重配置。重读/etc/xinetd.conf并作相应调整
SIGUSR2 硬性重配置。重读/etc/xinetd.conf并杀死和配置文件中的建立准则不再匹配的所有进程。例如,如果一个客户机连接到这个服务器且又增加到no_access表中,那么这个信号会终止该客户机的会话
SIGQUIT 终止xinetd但不终止它分叉的任何进程
SIGTERM 终止xinetd分叉的所有进程;然后终止xinetd
SIGHUP 把xinetd状态信息写到/tmp/xinetd.dump中
SIGIOT 检查内部数据库毁坏情况并报告结果
例19 xinetd硬性重配置的登记记录
Apr 15 14:42:31 topcat xinetd[1402]:Starting hard reconfiguration
Apr 15 14:42:31 topcat xinetd[1402]:readjusting service servers
Apr 15 14:42:31 topcat xinetd[1402]:readjusting service servces
Apr 15 14:42:31 topcat xinetd[1402]:readjusting service telnet
Apr 15 14:42:31 topcat xinetd[1402]:readjusting service shell
Apr 15 14:42:31 topcat xinetd[1402]:readjusting service login
Apr 15 14:42:31 topcat xinetd[1402]:readjusting service talk
Apr 15 14:42:31 topcat xinetd[1402]:readjusting service ntalk
Apr 15 14:42:31 topcat xinetd[1402]:readjusting service pop-2
Apr 15 14:42:31 topcat xinetd[1402]:readjusting service pop-3
Apr 15 14:42:31 topcat xinetd[1402]:readjusting service imap
Apr 15 14:42:31 topcat xinetd[1402]:readjusting service linuxconf
Apr 15 14:42:31 topcat xinetd[1402]:readjusting service ftp
Apr 15 14:42:31 topcat xinetd[1402]:Reconfigured:new=1 old=12 dropped=1 (services)
注:确定某个修改的/etc/xinetd.conf文件被读的最可靠方式是停止并重启动xinetd进程。最好用SIGTERM信号中止xinetd。如这节中描述的,发给xzinetd一个SIGTERM使它中止(用SIGKILL或信号号9)其控制之下的每个进程。有时在xinetd的子进程中止之前有一个延时,这意味着如果杀死并立即重启动xinetd,它不可能绑定所有端口(对此xinetd的登记文件----而不是这项服务指定的登记文件----中含一个错误消息)。这就是为什么sleep3命令出现在例中的stop和start命令间的脚本中。对TCP服务如telnet和ftp用flags=REUSE属性及其值或指定xinetd自身的-reuse选项可完全消除这个问题。
xinetd使用指南相关推荐
- 断点续传的原理(转)
断点续传的原理(转) zt from http://www.chinajavaworld.com (一)断点续传的原理 其实断点续传的原理很简单,就是在Http的请求上和一般的下载有所不同而已. 打个 ...
- 高级扫描技术及原理介绍(转)
高级扫描技术及原理介绍(转) 作者:refdom (refdom@263.net) Scan,是一切入侵的基础,扫描探测一台主机包括是为了确定主机是否活动.主机系统.正在使用哪些端口.提供了哪些服务. ...
- linux下用802.1x客户端上网(转)
linux下用802.1x客户端上网(转) 问题解决:Mandrake10.0下用802.1x客户端上网 搞了两天,终于搞出来了,下面说详细点:我们学校是用的实达的认证 1.你得让网管把你们寝室改为使 ...
- vsFTPd 服务器初学者指南
作者:北南南北,正在修订之中 来自:LinuxSir.Org 摘要:vsFTPD是一款小巧易用FTP服务器程序:本文面向初学者的一点疑问,能让初学者在最短的时间内学会最简单的vsftpd服务器的架设: ...
- AIX 操作系统安全配置指南
目 录 第1章 概述 7 1.1. 目的 7 1.2. 适用范围 7 1.3. 参考文档 7 第2章 AIX安全配置指南 7 2.1. 补丁与安全软件 7 2.1.1. 补丁 7 2.1.2. SSH ...
- centos7安全指南
侧重于红帽企业 Linux,但细节的概念和技术适用于所有Linux系统,该指南详细介绍了一些规划和工具,这些规划和工具可以为数据中心.工作场所以及家庭创建一个安全的计算环境. 使用正确的管理知识.警告 ...
- RHCSA/RHCE Red Hat Linux认证学习指南(第6版):EX200 EX300
<RHCSA/RHCE Red Hat Linux认证学习指南(第6版):EX200 & EX300> 基本信息 原书名:RHCSA/RHCE Red Hat Linux Cert ...
- 超详细中文预训练模型ERNIE使用指南-源码
作者 | 高开远,上海交通大学,自然语言处理研究方向 最近在工作上处理的都是中文语料,也尝试了一些最近放出来的预训练模型(ERNIE,BERT-CHINESE,WWM-BERT-CHINESE),比对 ...
- 入门指南目录页 -PaddlePaddle 飞桨 入门指南 FAQ合集-深度学习问题
入门指南目录页 -PaddlePaddle 飞桨 入门指南 FAQ合集 GT_Zhang关注 0.1012019.08.01 18:43:34字数 1,874阅读 795 Hi,欢迎各位来自Paddl ...
最新文章
- 英国EE:启动TechCity 2.0 首期将部署LTE-Advanced Pro
- logging日志配置,day95下午
- 开发顺序工作流时注意的几个事项
- SpringBoot+Vue使用Get请求时提示:Error parsing HTTP request header
- 【Linux系统编程】IO多路复用之select
- 使用的postman心得
- Mysql一主多从和读写分离配置简记
- EditPlus 文件查找功能:在指定文件夹,用正则查寻包含指定内容的文件,指定文件类型,并排除特殊文件名文件
- Spring MVC请求处理流程分析
- java bufferedreader读大文件会内存溢出吗_深度分析:java中的字符流与字节流,以及缓存流,一次性帮你全掌握...
- android 播放器 下载,VPlayer安卓最新版
- windows搭建FTP
- 用计算机刻录光盘,笔记本电脑刻录光盘 手把手教你刻录光盘
- Bundle-Adjustment并行求解器
- 博士申请——Research Proposal
- 怎么开通附近小程序-微信小程序开发-视频教程20
- 微信开发------------公众号支付统一下单整个流程
- 博弈论+指鹿为马DP法(CSU 2095: Sweet War题解)
- 一位在微软公司的粉丝,写给我的信
- assert在c语言中有什么作用,C语言中assert的作用是什么?