Áttérés inetd a xinetd
Xinetd - alternatívát a hagyományos inetd szuper szerver. folyamatirányítás elindítása és leállítása hálózati szerverek, amelyek nem kell állandóan elhanyagolták. Xinetd nem csak egy csere, ő tehet sokkal több, mint egy egyszerű start és stop a démonok válaszként bejövő TCP és UDP kapcsolatokat. A legjelentősebb előnye a kiváló xientd konfigurálhatóságra beleértve a hozzáférés (ACL) listák, sebességkorlátozás, idő alapú hozzáférés-vezérlés és átirányítási folyik.
Csomagok Xinetd jelen vannak szinte minden népszerű Linux-disztribúció, ezért könnyen telepíthető ez a rendszer a csomagkezelő segítségével. Ha ez a módja, hogy valamilyen oknál fogva nem illik, akkor töltse le a forrást és fordítsd a xinetd.org szuper szerver a hagyományos módon. Xinetd szerelés során nem igényel egzotikus függőségeket. Természetesen figyelni a rendszer nincs telepítve csomagok xinetd. ha építeni a forrásból. És ne felejtsük el, hogy mentse az /etc/inetd.conf megkezdése előtt.
konfigurációs alapjai
inetd konfigurációs fájl áll a vonalak, amelyek bemutatják, egyetlen szolgáltatást. Vonal áll:
- szolgáltatás neve (mint a neve is leírtak az / etc / services);
- foglalat típusa (stream dgram TCP és UDP);
- Íme a protokoll;
- Irányelv várjon vagy nowait (jelzi a szuper-szerver, arról, hogy várni a befejezését a futó démon előtt van szüksége, mielőtt elkezdi a következő új kapcsolat);
- felhasználói név, amelynek a futtatni kívánt démon;
- az elérési utat a futtatható fájlt a démon és az érvek átadott, amikor elindul.
Például, a konfigurációs fájl fragmens inetd:
imap stream tcp nowait root / usr / sbin / tcpd imapd
épelméjű - port stream tcp nowait saned. saned / usr / sbin / saned saned
Az első sor kezdődik, az IMAP-kiszolgáló, amikor egy bejövő kapcsolat TCP-port 220. A második sorban írja le a dob Sane szerver. hozzáférést biztosít a lapolvasó osztály.
Format xinetd konfigurációs fájl van egy eltérő szerkezetű. Ahol az egyes szolgáltatás által leírt egy csoport lehetőségek helyezzük fogszabályozó. Minden leírás a szolgáltatás indul a szót szolgáltatást. ezt követi a szolgáltató nevét, majd a paraméterek leírása, zárójelbe tett. Például:
Az első néhány sor írja le az adott példában ugyanaz, mint a például a konfiguráció inetd. fent látható: TCP, patak, nowait, gyökér. De a többi húr - lehetséges, feltéve, hogy csak xinetd. only_from opció lehetővé teszi, hogy adjon meg egy listát a házigazdák, szóközzel elválasztva, amellyel engedélyével engedélyezett. Az érték banner_fail paraméter határozza meg az utat, hogy a szöveget tartalmazó fájl üzenetet küldött az ügyfélnek, ha a kapcsolat nem engedélyezett. Ön is használja az attribútum banner_success. üzenetet küldeni esetén a sikeres kapcsolatok és banner. ha azt akarjuk, hogy küldjön egy üzenetet, függetlenül attól, hogy sikeres volt-e vagy sikertelen kapcsolat.
Log_on_failure paraméter értéke határozza meg, hogy milyen információkat kell rögzíteni a naplóban, abban az esetben, sikertelen kapcsolatok. Ügyeljen arra, hogy használja a kezelő „+ =” helyett a „=” - ha használják USERIDbudet hozzá a meglévő információkat, amelyet elküld a napló alapértelmezés szerint. Mint azt bizonyára kitalálta, log_on_success lehetőség is rendelkezésre áll. Vannak különböző változatai az információ, hogy xinetd tud jelentkezni, például a nevét, a távoli gépre, és a forgalom értékét.
Akkor lök minden xinetd konfiguráció egyetlen fájlban /etc/xinetd.conf. és akkor ossza fel több kis fájlok, például egy szolgáltatás minden fájlt. Ehhez használja az irányelv includedir. golyóstoll a végén a fő konfigurációs fájl. Az az érv, hogy az irányelv kell átadni a könyvtár elérési útját tartalmazó konfigurációs fájlok szolgáltatásokat. Minden fájl, akiknek neve nem kezdődhet ponttal, vagy egy tilde leszek kezeljük xinetd. konfigurációs fájlok. Egyes disztribúciók ilyen rendszer által végrehajtott alapértelmezett és egy könyvtárat tárolja konfigurációs fájlok /etc/xinetd.d.
Ha ön használ egy külön konfigurációs, akkor nagy valószínűséggel van egy rekord «alapértelmezett» itt /etc/xinetd.conf fájlt. Ez egy különleges bejegyzést, amely leírja az attribútumokat, amelyeket alkalmazni fognak minden más rekordok, amelyek nem lesznek kimutatható. Persze, attribútumok, mint a szerver és socket_type nincs értelme a „globális” alkalmazásuk, de van számos olyan tulajdonságok, amelyek lehetnek azonosak az összes vagy majdnem az összes rekordot. Akkor menteni magadnak időt meghatározó tulajdonságait oly alapértékekre. Például:
hozzáférés-szabályozás
Amellett, hogy a bemutatott lehetőségek a fenti példák, az inetd olyan további lehetőségek meghatározása, ami növelheti a biztonsági szintet a hálózaton, és megakadályozza bizonyos típusú támadásokat.
access_times irányelv való hozzáférés szabályozására alapuló szolgáltatás a rendszer időt. Meghatározása ebben az irányelvben meg kell adni egy ideig, amely alatt megengedett lesz elérhető ez a szolgáltatás, a formátum „hh: mm-hh: mm”. például
hozzáférés _ idők 05. 00 - 11. 30 13. 00 - 16. 30
Elhagyja a szolgáltatás 05:00-11:00, majd bezárja a „ebéd”, amíg 1:00, majd újra kinyílik 16:30. Mint látható, megadhatja a sorozat időrés. Ha azt szeretnénk, hogy kezelni nem felbontás, de mire a tilalom, használd deny_time opciót.
A fenti hozzáférési beállítások kombinálható az „alkalmazkodó” beállítások létre, amely lehet, hogy a szolgáltatás elérhetetlenné válik bekövetkezése után bizonyos körülmények között. Például, per_source attribútum. Tart paraméterként egy egész, amely lehetővé teszi, hogy korlátozza a több egyidejű kapcsolatot a szolgáltatással. Ez a funkció használható, például korlátozni egyidejű kapcsolatok számát az SMTP -server ha a hálózat valahol felszámolás spam bot.
Cp attribútum lehetővé teszi, hogy korlátozza a sebesség a bejövő kapcsolatok egy második, fent ez a frekvencia, a szolgáltatás nem lesz elérhető egy bizonyos ideig, hogy meg kell adni. Egy hasonló funkciót segíthet megelőzni DoS-támadásokat. Például, ha az Ön által megadott:
majd amikor a 81 kapcsolatok másodpercenként, a szolgáltatás letiltásra kerül 60 másodpercig, majd folytassa a bejövő kapcsolatok fogadására.
Is, akkor meg egy küszöböt a leválasztási szolgáltatásminőségi paramétereket, mint például:
Host és interfészek
Az attribútum átirányítani átirányítani minden TCP-forgalmat (de nem UDP!) A másik fogadó. attribútum szintaxis nagyon egyszerű:
redirect = Host port
Amikor xinetd fogadja a bejövő kapcsolatot a szolgáltatással, amely jelen van a leírása ez a tulajdonság, a szuper-szerver nyit a TCP-kapcsolatot a fogadó meghatározott attribútum paraméter, és a „továbbítjuk” rá belépő TCP-kapcsolat a megadott porton.
A legtöbb által nyújtott funkcionalitás xinetd. Úgy is meg lehet valósítani a más programok, mint például az inetd. TCP wrapper. iptables és így tovább. n. Azonban ebben az esetben, ha elveszíti egyetlen eszköz, hogy ezeket a „gazdaság”.
