xinetd使用指南(一)(转)

xinetd使用指南(一)(转)
　　redhat7.0以后inetd都已换成xinetd了--好用了很多。先看一下/etc/xinetd.conf--instances最大实例数- -如果你用的是wu-ftpd-最大人数60那就改这个了。注意最后一句includedir其实是把telnet,wu-ftpd等脚本包含到此文件中的--直接写在这也行。　　defaults　　{　　instances　　&＃61;　　60　　log_type　　&＃61;　　SYSLOG　　authpriv　　log_on_success　　&＃61;　　HOST　　PID　　log_on_failure　　&＃61;　　HOST　　cps　　&＃61;　　25　　30　　}　　includedir　　/etc/xinetd.d　　这篇xinetd完全指南已非常全了--看了它你对xinetd就会很熟了&＃xff1a;&＃xff09;　　许多人在装了redhat　　7.x后开始找不到北!!!(我就是其中一个)　　因为redhat　　7.x开始注重系统安全,最大的特征就是用xinetd.conf代替原来的inetd.conf　　并且7.1中默认安装没有开ftp,telnet等熟悉的服务,而是更安全的ssh!　　7.1还加入firewall等服务　　(感谢paradise提供下载地点给我安装redhat7.1)　　大家对被称作超级服务器的Inetd一定很熟悉&＃xff0c;其实现控制对主机网络连接。当一个请求到达由Inetd管理的服务端口&＃xff0c;Inetd将该请求转发给名为 tcpd的程序。Tcpd根据配置文件hosts.{allow&＃xff0c;　　deny}来判断是否允许服务该请求。如果请求被允许则相应的服务器程序(如&＃xff1a; ftpd、telnetd)将被启动。这个机制也被称作tcp_wrapper.　　xinetd(eXtended　　InterNET　　services　　daemon)提供类似于inetd&＃43;tcp_wrapper的功能&＃xff0c;但是更加强大和安全。它能提供以下特色&＃xff1a;　　*　　支持对tcp、ucp、RPC服务(但是当前对RPC的支持不够稳定)　　*　　基于时间段的访问控制　　*　　功能完备的log功能&＃xff0c;即可以记录连接成功也可以记录连接失败的行为　　*　　能有效的防止DoS攻击(Denial　　of　　Services)　　*　　能限制同时运行的同意类型的服务器数目　　*　　能限制启动的所有服务器数目　　*　　能限制log文件大小　　*　　将某个服务绑定在特定的系统接口上&＃xff0c;从而能实现只允许私有网络访问某项服务　　*　　能实现作为其他系统的代理。如果和ip伪装结合可以实现对内部私有网络的访问　　它最大的缺点是对RPC支持的不稳定性&＃xff0c;但是可以启动protmap&＃xff0c;与xinetd共存来解决这个问题　　编译安装　　可以从www.xinetd.org下载xinetd&＃xff0c;当前最新的版本是xinetd　　2.1.8.8p3。默认编译和安装xinetd是非常简单的&＃xff0c;按照如下的步骤进行&＃xff1a;　　#./configure;　　make;　　make　　install　　即可完成。　　在进行configure时&＃xff0c;可以支持如下几个有用处的选项&＃xff1a;　　--with-libwrap　　:　　如果使用该选项xinetd将会察看tcpd配置文件(/etc/hosts.{allow&＃xff0c;　　deny})来进行访问控制&＃xff0c;但是如果要利用该功能&＃xff0c;系统上必须安装有tcp_wrapper和相关库。　　--with-loadavg　　:　　使用该选项&＃xff0c;xinetd将而已处理max-load配置选项。从而在系统负载过重时关闭某些服务进程&＃xff0c;来实现某些DoS攻击。　　--with-inet6　　:　　使用该选项xinetd将支持IPv6。　　如果是是用redhat7.0&＃xff0c;则其默认将安装xinetd&＃xff0c;而不需要自行安装。　　配置　　xinetd 的默认配置文件是/etc/xinetd.conf。其语法和/etc/inetd.conf完全不同且不兼容。它本质上是 /etc/inetd.conf和/etc/hosts.allow&＃xff0c;/etc/hosts.deny功能的组合。/etc/xinetd.conf中的每一项具有下列形式　　service　　service-name　　{　　……。　　}　　其中service是必需的关键字&＃xff0c;且属性表必须用大括号括起来。每一项都定义了由service-name定义的服务。　　Service-name是任意的&＃xff0c;但通常是标准网络服务名&＃xff0c;也可增加其他非标准的服务&＃xff0c;只要它们能通过网络请求激活&＃xff0c;包括localhost自身发出的网络请求。有很多可以使用的attribute&＃xff0c;在下表中进行了详细的说明。稍后将描述必需的属性和属性的使用规则。　　操作符可以是&＃61;&＃xff0c;&＃43;&＃61;&＃xff0c;或&＃xff0d;&＃61;。所有属性可以使用&＃61;&＃xff0c;其作用是分配一个或多个值&＃xff0c;某些属性可以使用&＃43;&＃61;或&＃xff0d;&＃61;的形式&＃xff0c;其作用分别是将其值增加到某个现存的值表中&＃xff0c;或将其值从现存值表中删除。表10.10中说明了可以用后一种形式的属性。　　Value是为给定属性设置的参数。　　表1　　扩展的lnernet服务进程属性　　属　　性　　描述和允许值　　Socket_type　　使用的TCP/IP　　socket类型&＃xff0c;值可能为stream(TCP)&＃xff0c;　　dgram(UDP)&＃xff0c;　　raw和seqpacket(可靠的有序数据报)　　protocol　　指定该服务使用的协议&＃xff0c;其值必须是在/etc/protocols中定义的。如果不指定&＃xff0c;使用该项服务的缺省协议。　　Server　　要激活的进程&＃xff0c;必须指定完整路径　　Server_args　　指定传送给该进程的参数&＃xff0c;但是不包括服务程序名　　Port　　定义该项服务相关的端口号。如果该服务在/etc/services中列出&＃xff0c;它们必须匹配　　Wait　　这个属性有两个可能的值。如果是yes&＃xff0c;那么xinetd会启动请的进程并停止处理该项服务的请求直到该进程终止。这是个单线程服务。如果是no&＃xff0c;那xinetd会为每个请求启动的一个进程&＃xff0c;而不管先前启动的进程的状态。这是个多线程服务　　User　　设置服务进程的UID&＃xff0c;但是若xinetd的有效UID不是0&＃xff0c;该属性无效　　Group　　设置进程的GID。若xinetd的有效UID不是0&＃xff0c;这个属性无效　　Nice　　指定进程的nice值　　Id　　该属性被用来唯一地指定一项服务。因为有些服务的区别仅仅在于使用不同的协议&＃xff0c;因此需要使用该属性加以区别。默认情况下服务id和服务名相同。如echo同时支持dgram和streama服务。设置id&＃61;echo_dgram和id&＃61;echo_streams来分别唯一标识两个服务　　Type　　可以是下列一个或多个值&＃xff1a;RPC&＃xff08;对RPC服务&＃xff09;&＃xff0c;INTERNAL(由由xinetd自身提供的服务&＃xff0c;如echo)&＃xff0c;UNLISTED(没有列在标准系统文件如/etc/rpc或/etc/service中的服务)　　Access_time　　设置服务可用时的时间间隔。格式是hh:mm_hh:mm;　　如08&＃xff1a;00-18&＃xff1a;00意味着从8A.M到6P.M.可使用这项服务　　Banner　　无论该连接是否被允许&＃xff0c;当建立连接时就将该文件显示给客户机　　Flags　　可以是以下一个或多个选项的任意组合&＃xff1a;　　REUSE:设置TCP/IP　　socket可重用。也就是在该服务socket中设置SO_REUSEADDR标志。当中断并重新启动xinetd　　INTERCEPT:截获数据报进行访问检查&＃xff0c;以确定它是来自于允许进行连接的位置。不能和INTERNAL服务和多线程服务不可使用该属性值　　NORETRY:如果fork失败&＃xff0c;不重试　　IDONLY:　　只有在远程端识别远程用户时才接受该连接(也就是远程系统必须运行ident服务器)&＃xff0c;该标记只适用于面向连接的服务。若没有使用USERID记录选项则该标记无效log_on_success和/或log_on_failure属性设置USERID值以使该值生效。仅用于多线程的流服务　　NAMEINARGS:允许server_args属性中的第一个参数是进程的完全合格路径&＃xff0c;以允许使用TCP_Wrappers　　NODELAY:若服务为tcp服务&＃xff0c;并且NODELAY标记被设置&＃xff0c;则TCP_NODELAY标记将被设置。若服务不是tcp服务则该标记无效　　Rpc_version　　指定RPC版本号或服务号。版本号可以是一个单值或者一个范围中如2-3　　rpc_number　　如果RPC程序号不在/etc/rpc中&＃xff0c;就指定它　　Env　　用空格分开的VAR&＃61;VALUE表&＃xff0c;其中VAR是一个shell环境变量且VALUE是其设置值。这些值以及xinetd的环境都在激活时传送给服务程序。这个属性支持&＃61;和&＃43;&＃61;操作符　　Passenv　　用空格分开的xinetd环境中的环境变量表&＃xff0c;该表在激活时传递给服务程序。设置no就不传送任何变量。该属性支持所有操作符　　Only_from　　用空格分开的允许访问服务的客户机表。表2种给出客户机语法。如果不为该属性指定一个值&＃xff0c;就拒绝访问这项服务。该属性支持所有操作符。　　No_access　　用空格分开的拒绝访问服务的客户机表。表2给出客户机语法。该属性支持所有操作符　　Instances　　接受一个大于或等于1的整数或UNLIMITED。设置可同时运行的最大进程数。UNLIMITED意味着xinetd对该数没有限制。　　Log_type　　指定服务log记录方式&＃xff0c;可以为&＃xff1a;　　SYSLOG　　facility[level]&＃xff1a;设置该工具为daemon&＃xff0c;auth&＃xff0c;user或loca10-7。设置level是可选的&＃xff0c;可以的level值为 emerg&＃xff0c;alert&＃xff0c;crit&＃xff0c;err&＃xff0c;warning&＃xff0c;notice&＃xff0c;　　info&＃xff0c;　　debug&＃xff0c;默认值为info　　file[soft[hard]]&＃xff1a;指定file用于记录log&＃xff0c;而不是syslog。限度soft和hard用KB指定&＃xff08;可选&＃xff09;。一旦达到soft限&＃xff0c;xinetd就登记一条消息。一旦达到hard限&＃xff0c;xinetd停止登记使用该文件的所有服务。如果不指定hard限&＃xff0c;它成为soft加1&＃xff05;&＃xff0c;但缺省时不超过20MB.缺省soft限是 5MB　　Redirect　　该属性语法为redirect&＃61;Ipaddress　　port。它把TCP服务重定向到另一个系统。如果使用该属性&＃xff0c;就忽略server属性　　Bind　　把一项服务绑定到一个特定端口。语法是bind&＃61;Ipaddress。这样有多个接口&＃xff08;物理的或逻辑的&＃xff09;的主机允许某个接口但不是其他接口上的特定服务&＃xff08;或端口&＃xff09;　　Log_on_success　　指定成功时登记的信息。可能值是　　PID:进程的PID。如果一个新进程没被分叉&＃xff0c;PID设置为0。　　HOST&＃xff1a;客户机主机IP地址　　USERID:通过RFC1413高用捕获客户机用户的UID。只可用于多线程流服务。　　EXIT&＃xff1a;登记进程终止和状态　　DURATION&＃xff1a;登记会话持续期　　缺省时不登记任何信息。该属性支持所有操作符　　Log_on_failure　　指定失败时登记的信息。总是登记表明错误性质的消息。可能值是ATTEMPT&＃xff1a;记录一次失败的尝试。所有其他值隐含为这个值。　　HOST&＃xff1a;客户机主机IP地址　　USERID&＃xff1a;通过RFC1413调用捕获客户机用户的UID。只　　可用于多线程流服务。　　RECORD&＃xff1a;记录附加的客户机信息如本地用户&＃xff0c;远程用户　　和终端的类型。缺省时不登记任何信息。该属性支持所有操作符。　　Disabled　　只可用于defaults项&＃xff08;参看本小节后面的defaults项&＃xff09;&＃xff0c;指定被关闭的服务列表&＃xff0c;是用空格分开的不可用服务列表来表示的。它和在/etc/xinetd.conf文件中注释掉该服务项有相同的效果。　　我们首先看一个简单的例子。例1是配置文件/etc/xinetd.conf的一个范例。这两种服务的定义看上去像/etc/inetd.conf的原因是因为它们是用itox工具从/etc/inetd.conf转换得来的&＃xff0c;只把/etc/inetd.conf项对应转换成适当的xinetd语法。这样&＃xff0c;这些属性&＃xff08;在大括号中的&＃61;号的左边&＃xff09;意义是非常直接的&＃xff0c;其相关值&＃xff08;在大括号中的&＃61;号的右边&＃xff09;也是如此。&＃xff08;linux知识宝库&＃xff09;本文来自&＃xff1a;http://www.linuxpk.com/5139.html-->linux电子图书免费下载和技术讨论基地·上一篇&＃xff1a;Linux网络应用问答·下一篇&＃xff1a;xinetd使用指南(二)

最新更新
	·隐藏/etc目录·PC服务器中的“1U/2U”中“U”的含义·信号集合·单网卡架设NAT过程·关于Linux下网卡的一些技术信息·uptime作弊方法·进程查看·网络层访问权限控制技术ACL详解·常见端口表汇总·IP基础--1.IP地址·profile,rcfile的搜索执行顺序·IP基础--3.ARP协定·IP基础--2.DHCP协定·IP基础--5.DNS协定·IP基础--4.RIP协定·判断华为中低端交换机是二层还是三层的简单方法·目录列表小技巧·ubuntu关闭ipv6,提高dns解析速度·网络组建大全&＃xff08;包括企业网、校园网、网吧和基础知识&＃xff09;·xinetd使用指南(二)·Linux下的网络邻居软件大全·44个路由器知识要点·linux下用802.1x客户端上网·网络监控&＃xff0d;iptraf安装配置使用中文文档·Linux网络应用问答·xinetd使用指南(一)·网络词典[U~Z]·linux网络服务器配置基础·端口基础常识大全贴·man内容的屏幕拷贝