weekend - projektet: i stedet for inetd med xinetd for bedre net administration

,,, xinetd er et alternativ til de traditionelle super - server på internettet, dæmon, inetd, den proces, der starter og stopper alle ikke - vedvarende netservere.xinetd fungerer som et fald i stedet for inetd, men det kan gøre mere end bare start og stop tjenesteydelser på din linux maskine på indkommende tcp eller udp - forbindelser.den virkelige, fordel af xinetd er, at den giver mere finkornet kontrol, herunder kontrol af adgang lister (acls) hastighedsbegrænsende, tidsbaseret adgang og strøm omdirigeret.,, xinetd er emballeret i alle større linux udlodninger, så du kan installere det i pakken forvaltningssystem.bortset fra, at du kan downloade det seneste overgang fra xinetd.org og udarbejde det med det sædvanlige. /konfigurere; gøre; sudo at installere proces.der er ingen usædvanlig afhængighed at tale om.den eneste særlig risiko påtager du dig af det, hvis deres distribution, er det som værende i modstrid med inetd pakke, så du kan ikke få begge dele monteret på samme tid.tilbage op i din, /etc /inetd.conf, fil, før du går.,,,,, det grundlæggende, inetd ' s konfiguration fil består af en enkelt linje for hver enkelt tjeneste, med angivelse af den service og' navn (således som det er anført i, /etc /tjenesteydelser, dokumentation), led type (almindeligvis stream, tcp, og dgram, udp), protokol a " vent " eller " nowait " direktiv, der fortæller inetd, om ikke at vente på serveren tilbage inden videreforarbejdning forbindelser, brugeren som serveren bør løbe og pathname af serveren til affyring, efterfulgt af nogle argumenter.f.eks.,,,, imap stream tcp nowait root /bar /sbin /tcpd imapd normale havn stream tcp nowait saned: saned /bar /sbin /saned saned, første linje lancerer en imap dæmon, når anmodningen kommer på tcp port 220; den anden er for netdeling en fornuftig scanner, der brug ikke ietf tildelt tcp port 6566 og løber som den, saned,.,, xinetd ' s konfiguration fil /etc /xinetd.conf, bruger en anden syntaks, med bøjle afgrænset stanzas med muligheder for hver enkelt tjeneste.hver indførsel begynder med, service, servicename,,,,,,, fulgte den efterfølgende linjer af individuelle egenskaber og deres tildelte værdier.for eksempel,,,, service imap {socket_type = stream protokol = tcp - = ingen bruger = root only_from = 192.168.2.102 localhost banner_fail = /bar /lokale /etc /your_failure_banner server = /bar /sbin /imapd log_on_failure + = brugeridentifikation},,, de første linjer angiver den samme indstilling som vist i inetd eksempel: tcp, strøm, ingen ventetid, løb som rod.de sidste par dog opmærksom på nogle af xinetd ' yderligere muligheder.det, only_from, attribut giver dig mulighed for at angive et rum adskilt liste over tilladte værter og ip - adresser.det, banner_fail, attribut giver dig mulighed for at fastsætte en tekstfil vises til fjerntliggende vært ved en forbindelse er afvist (f.eks. med oprindelse i forbindelse fra en annulleret ip - adresse).du kan også give en banner_success attribut skal fremlægges, når en forbindelse er oprettet, og et banner attribut, der altid er udstillet, uanset om succes eller fiasko.,,, log_on_failure, tilskriver lister, hvilke oplysninger der er skrevet til log, når en forbindelse er annulleret.bemærk, at operatøren er " + = " i stedet for " = " det har den virkning, at den brugeridentifikation, forbindelsen til de oplysninger, der er registreret som standard.så du tror, log_on_success, også er til rådighed, og der er flere data, værdier, som xinetd kan log, herunder de fjerntliggende vært og den samlede trafik regne.,, du kan sætte hele din xinetd konfiguration helt inden for /etc /xinetd. conf,, eller du adskille forskellige tjenester i deres egen konfiguration filer.for at gøre det, du stopper, /etc /xinetd.conf, med en, includedir, direktiv, idet dette argument i et register, som xinetd bør finde yderligere konfiguration filer.nogle udlodninger, gøre dette ved misligholdelse, normalt med /etc /xinetd.d/, som den konfiguration, fortegnelse.oplysninger i den angivne fortegnelse vil blive parset, medmindre dens filnavn enten begynder med et punktum (.) eller slutter med en tilde (~). i dette tilfælde bør du nok har en " misligholdelser " strofe i din, /etc /xinetd.conf, fil.det er en særlig strofe, der tildeler base attributter for hver forbindelse.nogle egenskaber, der gælder for de enkelte tjenester (f.eks. socket_type og server), finder ikke anvendelse i forbindelse med; men de kan spare plads ved anbringelse af almindeligt anvendte attributter her snarere end at gentage dem for hver enkelt tjeneste.for eksempel,,,,, at misligholdelse (log_type = fil /var /log /services.log log_on_success = pid log_on_failure = pid vært tilfælde = 20 banner_success = /bar /lokale /welcome_message},,, adgangskontrol foranstaltninger, ud over ekstra bekvemmeligheder som bannere og skovhugst muligheder er xinetd ' administrative funktioner, som du kan fastsætte og håndhæve net og svare til visse former for angreb,.,, only_from attribut i ovenstående eksempel er den mest grundlæggende form for adgangskontrol i modsætning til ved hjælp af /etc /hosts_allow, dog, du kan få only_from værdier for hver tjeneste enkeltvis, eller en lokalitet bred politik i deres misligholdelse strofe, og tilpasse det til specifikke tjenester ved hjælp af + = = ope -rators i de enkelte punkter.et spejlbillede af only_from er no_access, som kan hindre adgangen til en tjeneste, der er baseret på up eller hostname.begge egenskaber kan også acceptere en ip - adresse vifte med ip /netmask formatering.,, access_times direktiv tillader dig at gøre eller deaktivere forbindelser baseret på systemet.du angiver tidsintervaller, når den tjeneste, vil acceptere forbindelser i timen: minutters intervaller.for eksempel, access_times 05:00-11:30 13:00-16:30, holder den service, der er til rådighed fra 5 er halv tolv er, så er det for en lille frokost, og genoptager den fra kl. 13.30 statsminister 4:30pm.som eksempel viser, du kan kæde sammen flere tidsintervaller på en linje.omvendt kan man bruge, deny_time, at diktere, når den ydelse, der skal gøres, fn, til rådighed for indgående forbindelser. disse faste politiske foranstaltninger kan være kombineret med en indstilling, der gør det muligt for dem at udløse service - baseret på maskinen, og' s stat eller netværkstrafik.det, per_source, attribut, for eksempel, er et heltal, som dens argumentation, og begrænser antallet af samtidige tilslutninger, at en enkelt vært kan gøre ved hjælp af tjenesten.dette kan bruges til at begrænse antallet af smtp - forbindelser, som kunne være effektive i at fange maskiner er inficeret med spam - bot - vira,.,,, bf, attribut giver dig mulighed for at fastsætte en forbindelse frekvens tærskel (tilslutninger pr. sekund), over hvilken server vil være lukket for en konfigurerbare tid.det giver dig mulighed for at forebygge benægtelse af service - angreb på grundlag af oversvømmelser af denne tjeneste.anbringelse af en fastsættelse af, cp = 80, 60, i en særlig tjeneste ' s strofe siger, at xinetd vil svare til 80 tilslutninger pr. sekund, men hvis antallet af forbindelser rammer 81, det vil stoppe den service, vent 60 sekunder, så begynd at behandle nye forbindelser igen. kan du også få - grænseværdier for system belastning (ved hjælp af, max_load, tilskriver) samt adresse rum (ved hjælp af, rlimit_as) cpu sekunder (med rlimit_cpu,) eller endog stak størrelse (, rlimit_stack,.,, sjov med værter og grænseflader, og omdirigere attribut giver dig mulighed for at sende en tcp (men ikke en udp) forbindelse til en anden vært helt.syntaksen er enkle, omlægge = ip - adresse havn,,.når en forbindelse på den tilsvarende tjeneste i xinetd starter en tcp forbindelse til de anførte ip - adresse og havn, og fremsender alle de trafikken.,, det giver dig en enkel og effektiv måde til at omdirigere særlige tjenester (måske på maskiner, der ikke er tilgængelige for den eksterne netværk) uden at røre firewallreglerne.det kunne være et nyttigt element for midlertidigt at omdirigere en tjenesteydelse, eller kombineret med andre adgang kontrolforanstaltninger for at omdirigere tjenester baseret på deres kilde og tid af dagen.,, xinetd også har mulighed for at knytte en særlig tjeneste til et bestemt net - adapter.dette kan være nyttigt, når en tjeneste, skaber en stor mængde trafik, eller hvis du vil lave en tjeneste til rådighed over ledningstilslutning (eth0) og ikke trådløse (wlan0).du kan bruge den, grænseflade eller forpligte attributter i service - og' s strofe, efterfulgt af ip - adressen på den grænseflade, er de fleste af xinetd ' s konfiguration tricks kan opnås med en kombination af andre programmer. inetd, tcp - papir, hosts_allow og hosts_deny, iptables osv. men det væld af værker ikke gør, er at give et enkelt, samlet grænseflade, som du kan ganske enkelt og let at sammensætte deres network service politik.



Previous:
Next Page: