xinetd服务

xinetd(eXtended InterNET services daemon)

1、xinetd的功能介绍：

x inetd提供相似于inetd+tcp_wrapper的功能，可是更增强大和安全。它能提供如下特点：

* 支持对tcp、udp、 RPC服务(可是当前对RPC的支持不够稳定)

* 基于时间段的 访问控制

* 功能完备的log功能，便可以记录链接成功也能够记录链接失败的行为

* 能有效的防止 DoS攻击(Denial of Services)

* 能限制同时运行的同一类型的服务器数目

* 能限制启动的全部服务器数目

* 能限制log文件大小

* 将某个服务绑定在特定的系统接口上，从而能实现只容许私有网络访问某项服务

* 能实现做为其余系统的代理。若是和ip假装结合能够实现对内部私有网络的访问

它最大的缺点是对RPC支持的不稳定性，可是能够启动portmap，与x inetd共存来解决这个问题。

 

2、使用xinetd启动守护进程

原则上任何系统服务均可以使用xinetd，然 而最适合的应该是那些经常使用的网络服务，同时，这个服务的请求数目和频繁程度不会过高。像DNS和Apache就不适合采用这种方式，而像FTP、 Telnet、SSH等就适合使用xinetd模式，系统默认使用xinetd的服务能够分为以下几类。

① 标准Internet服务：telnet、ftp。

② 信息服务：finger、netstat、systat。

③ 邮件服务：imap、imaps、pop二、pop三、pops。

④ RPC服务：rquotad、rstatd、rusersd、sprayd、walld。

⑤ BSD服务：comsat、exec、login、ntalk、shell、talk。

⑥ 内部服务：chargen、daytime、echo、servers、services、time。

⑦ 安全服务：irc。

⑧ 其余服务：name、tftp、uucp。

具体 可使用xinetd的服务在/etc/services文件中指出。

 

3、xinetd的主配置文件：/etc/xinetd.conf

 

 

   1.内容格式以下：

 

     注：那个 assign_op 主要有三种形式，分别以下：

 = ： 表示后面的设定参数就是这样啦！
+= ： 表示后面的设定为『 在原来的设定集合中里头加入新的参数』
-+ ： 表示后面的设定为『 在原来的参数集合中舍弃这里输入的参数！』

接下来，再来讲一说那些 attribute 与 value ！ 

2.xinetd共有45个属性，你能够经过man xinetd.conf得到英文原文，属性列表如表4-3所示。

表4-3  xinetd的属性列表

属性选项	功能描述
id	该属性被 用来惟一地指定一项服务。由于有些服务的区别仅仅在于使用不一样的协议，所以须要使用该属性加以区别。默认状况下，id和 服务名相同。如 echo 同时支持 dgram 和 stream 服 务。设置 id=echo_dgram 和id=echo_stream来 分别惟一标志两个服务
type	能够是下 列一个或多个值。   RPC： RPC类 型的服务。   INTERNAL： 由 xinetd 自身提供的服务，如 echo。 UNLISTED： 没有列在标准系统文件如 /etc/rpc 或 /etc/service中 的服务
flags	能够是如下一个或多个选项的任意组合。   REUSE：设置 TCP/IP socket 可重用。也就是在该服务 socket 中设置 SO_REUSEADDR 标 志。当中断 时从新 启动 xinetd。 INTERCEPT： 截获数据包进行访问检查，以肯定是否来自于容许进行链接的位置。 INTERNAL服务和多线程服务不可以使用 该属性值。

续表 

属性选项	功能描述
flags	NORETRY：若是 fork 失 败， 不重试。   IDONLY：只有在远程 端识别远程用户时才接受该链接（也就是远程系统必须运行 ident 服务器），该标记只适用于面向链接的服 务。若没有使用 USERID 记录选项，则该标记无效， log_on_success 或 log_on_failure 属 性设置 USERID值以使该值生效。仅用于多线程的流服务。   NAMEINARGS：允 许 server_args 属性中的第一个参数 是进程 的彻底合 法路径，此时， server 属性采用 inetd 的方式来指定 （此标签的做用是代表该服务采用 tcpd 的方式来处理，而不是 tcp  wrapper ， 参见 NOLIBWRAP标记）。   NODELAY： 若 服务 为 tcp 服务，而且 NODELAY 标 记被设置，则 TCP_NODELAY 标记将被设置。 若服务 不 是 tcp服务，则该标记无效。   DISABLE：具备 DISABLE 标 记的服务表示被禁用。该标记将覆盖 enable 的指定，即若是你指定了 “ enable=foo ” ， 若 foo 具备 DISABLE 标记，那么 foo仍 将被禁用。使用了该标记的服务不会被提醒。 KEEPALIVE：若是一个 tcp 服 务设置了 KEEPALIVE 标记，那么该服务的 socket 将 被设置 SO_KEEPALIVE 标记，对非 TCP类型的服务 设置该标记无任何做用。
flags	NOLIBWRAP：禁用 tcpwrap   库 来决定 一个服务的请求访问控制。 像 xinetd ，须要长时间 的运行（系统启动后一直运行），一直调用 libwrap 函数库是不可取的，这种类型的服务就须要设置该标 记，它们能够直接调用而无须调用 libwrap 函数库来控制 访问请求（参见 NAMEINARGS标 记）。 SENSOR： 该标记的做用是使用一个传感器（ SENSOR ）来代替当前的服务。使用该标记须要注意几个问题：其一，你应 当确认该服务是你不须要的或者是你不想提供该服务；其二，它不能觉察秘密的扫描动做；其三，它将觉察该服务指定端口的请求，并记录到做用于全局的 no_access 列 表中，这就使得请求过该服务的 IP 在 deny_time 指定 的时间过时以前一直都拒绝访问；其四，它还使得 xinetd 认为该服务的 server 属 性是 INTERNAL ；其五，若是使用了该标记的 socket_type 为 stream 的 服务设置，你须要设置 wait 为no
disable	能够设置为yes 或 no ， 设置为 yes 将禁用一个服务，详见 flags 的 disable标 签
socket_type	使用的TCP/IP socket 类型， 值可能 为 stream （ TCP ）， dgram （ UDP ）， raw 和 seqpacket（可 靠的有序数据包）
protocol	指定该服务使用的协议，其值必须是在/etc/protocols中 定义的。若是不指定，使用该项服务的默认协议
wait	这个属性 有两个可能的值。若是是yes ，那么 xinetd 会启动对方 请求的进程，并中止处理该项服务的其余请求直到该进程终止，适合于单线程服务；若是是 no ，那 xinetd会 为每一个请求启动的一个进程，而无论先前启动的进程的状态，适合于多线程服务
user	设置服务进程的UID 。 若 xinetd 的有效 UID 不是 0， 该属性无效
group	设置 进程的GID 。若 xinetd 的有效 UID 不 是 0，该属性无效
instances	接受 一个大于或等于1 的整数或 UNLIMITED 。设置可同时运 行的最大进程数。 UNLIMITED 意味着 xinetd对该 数没有限制
nice	指定 进程的nice值。它决定了服务的优先级，参数值是某个数字，能够为负数
server	要激 活的进程，必须指定完整的路径
server_args	指定 传送给该进程的参数，可是不包括服务程序名
only_from	用空 格分开的容许访问服务的客户机列表。若是不为该属性指定一个值，就拒绝任何人访问这项服务。该属性支持全部操做符。访问控制表的语法以下：   a） 用数字表示的 IP 地址，格式为 %d. %d. %d. %d 。 若是最右边的一位是 0 ，将被看做通配符。举例来讲， 10.35.1.0 表 示 10.35.1 段内的任何地址都知足条件；若是地址是 0.0.0.0 ， 则匹配全部的 IP地址。   b） 分解列出的 IP 地址，格式为 %d. %d. %d .{  %d. %d … } 。固然，并非必定要四个部分都列出，例如， %d. %d.{ %d. %d … } ，这样的格式也是能够的，然而，被分解列出的部分必须 在最后面，例如， %d.{ %d. %d … }.%d.%d， 这样的格式是不容许的。 c） 网络名。 /etc/networks中的网络名。

续表 

属性选项	功能描述
only_from	d） 主机名或域名。当一个 IP 地址链接到 xinetd 上的时候， 它会对这个 IP进行反向解析，得出相应的主机名，而后与指定的主机名进行比较，查看是否匹配。固然也可使 用域名，道理是同样的。 e） 网络 / 子网。格式为 IP Address/netmask ， 例如，1.2.3.4/32
no_access	用空格分开的拒绝访问服务的客户机列表 。该属性支持全部操做符，访问控制表的语法参见 only_from。 Only_from和 no_access 决 定了一个远程链接可否访问某个服务。若是这两个属性都没有设置，那么任何人均可以请求该服务；若是都设置了，那么，最匹配的那个记录优先。例如，你在 only_from 中 设定了 10.35.1.0 能够访问，而后又在 no_access 中 设定 10.35.1.10 禁止访问，那么， 10.35.1 段 内除了 10.35.1.10 外的 IP地址均可以访问
access_time	设置 服务的可用时段，也就是说，在哪一段时间里可使用本服务 。格式是 hh:mm_hh:mm ; 如 08 ： 00-18 ： 00 ， 意味着从 8AM 到 6PM可以使用这项服务
log_type	指定 服务log的记录方式。   SYSLOG facility[level]：设置 facility 为 daemon ， auth ， user 或 local0-7 ； level 是 可选的，可用的 level 值为 emerg ， alert ， crit ， err ， warning ， notice ， info ， debug ， 默认值为 info。 file[soft[hard]]： 指定用 file 记录 log ，而不是 syslog 。 限度 soft 和 hard 用 KB 指 定（可选）。一旦达到 soft 限， xinetd 就登记一条消 息。一旦达到 hard 限， xinetd 就 停 止登记使用该文件的全部服务。若是不指定 hard 限，它为 soft 加 1 % ， 但默认时不超过 20MB ，默认 soft 限是5MB
log_on_success	指定 成功时登记的信息，默认时不登记任何信息。该属性支持全部操做符。可能的值有如下几种。   PID： 进程的 PID 。若是一个新进程没被分叉， PID 设置为 0。   HOST： 客户机 IP地址。   USERID： 经过 RFC1413 调用捕获客户机用户的 UID。只可用于多 线程的流服务。   EXIT： 登记进程终止的状态。 DURATION： 登记会话持续期
log_on_failure	指定 失败时登记的信息。老是登记代表错误性质的消息，默认时不登记任何信息。该属性支持全部操做符。可能的值是有如下几种。   ATTEMPT： 记录一次失败的尝试，全部其余值隐含为这个值。   HOST： 客户机 IP地址。   USERID： 经过 RFC1413 调用捕获客户机用户的 UID。只可用于多 线程的流服务。 RECORD： 记录附加的客户机信息，如本地用户、远程用户和终端的类型
rpc_version	指定RPC 版 本号或服务号。版本号能够是一个单 值或者 一个范围，如2~3
rpc_number	若是RPC 程 序号不在 /etc/rpc中，就指定它
env	用空 格分开的VAR=VALUE 表，其中 VAR 是一个 shell 环 境变量， VALUE是其设置值。这些设置在服务被激活时被追加到服务的环境变量中。这个属性支持＝和＋＝操 做符
passenv	用空格分开的xinetd 环 境中的环境变量表，该表在激活时传递给服务程序。若是设置的值为空就不传送任何变量（除了在 env中指定的 变量）。该属性支持全部操做符
port	定义该项服务相关的端口号。若是该服务在/etc/services中 列出，它们必须匹配
redirect	该属性语法为redirect=Ipaddress port 。它把 tcp 服务重定向到另外一个系统。若是使用该属性，就忽略 server属 性
bind	把一项服务绑定到一个特定界面。语法是bind=ipaddress/interface 。 这意味着你的 telnet服务能够监听一个本地的安全的端口，而不是一个外部的界面。或者，同一个端口在某 个网络界面上能够作某件事情，同时，在另外一个界面上能够作彻底不一样的事情
interface	等同于bind
banner	不管该链接是否被容许，当 创建链接时就将该文件显示给客户机
banner_success	当链接受权经过时显示 banner_success指 定的文件中包含的信息

续表 

属性选项	功能描述
banner_fail	当客 户端的请求违反控制规则时显示 banner_fail指定的文件中包含的信息，以告 知用户他们正在试图请求不被容许的服务
per_source	参数值 能够 为整数或者 UNLIMITED 关键字。它表示每个 IP 地 址上最多能够创建的实例数目。本属性也能够定义在 defaults部分
cps	用来 设定链接速率。它须要两个参数，第一个参数表示每秒能够处理的链接数，若是超过了这个链接数时，以后 进入的 链接将被暂时中止处理；第二个参数表示中止处理 多少秒后，继续处理先前暂停处理的链接
max_load	用一 个浮点数做为负载系数，当负载达到这个数目的时，该服务将中止处理后续的链接
groups	能够 设置为yes 或 no 。若是设置为 yes ， 将容许对该服务起做用的组中包含的用户来访问，若是设置为 no ，将设置服务进程的 GID 。 若是 xinetd 的有效 GID 不是 0 ， 则该属性无效。在 BSD 类的系统上，不少服务须要设置该属性为 yes ， 这个属性也能够设置在 defaults部分
umask	设置 服务所继承的umask 。参数 值应该 是一个八进制数字，该属 性也能够设置到 defaults 项中。 xinetd 本身的 umask 默 认是 022 ，若是你没有设置 umask 属性，那么全部 xinetd 的 子 进程 的 umask 将都是022
enabled	其参 数值是一个服务名称的列表，表示该列表中的服务将被启用，其他的则不被启用。然而，若是某个服务设置使用了disable 或 者 DISABLE 标记（ flag ），即便该服务被设置在 enabled 列 表中，也不会被启用。参见 disable 属性和 flags 的 DISABLE标 记
disabled	只可 用于defaults 项，指定被关闭的服务列表，是用空格分开的、 不 可 用的服务列表来表示的。它和在 /etc/xinetd.conf 文件中 注释掉该服务项 有相同的效果
include	使用 “include /etc/xinetd.d/service_name ”这样的格式来引入一个文件。这 跟直接将引入文件的内容放到 xinetd.conf 中是不一样的，由于那里默认已经有了 include 指 令。须要注意的是，其一，被引入文件的格式应该是跟 xined.conf格式相同；其二，不能够在某个服务 的声明部分使用此指令，应当放在声明以外的地方
includedir	使用 “includedir  /etc/xinetd.d ”这样的格式引入一个目录做为 xinetd 配 置文件的存放目录。指定目录下除了文件名包括点号（ . ）或者以引号（ “ ” ） 结束的文件，都将视做 xinetd 的服务配置文件。跟 include指 令同样，该指令也不能够放在服务的声明部分
rlimit_as	设置 服务的地址资源限制。参数值应该 是以字节为单位的正整数或者 UNLIMITED 关 键字。因为 libc  malloc 的实现机制，在 Linux 系 统上设置该属性比设置 rlimit_rss 、 rlimit_data 和 rlimit_stack 属 性更有效，这个资源限制的属性只能够在 Linux系统上设置
rlimit_cpu	设置 服务最多可占用的CPU 秒数。参数 值应该 是以秒为单位的正整 数或者 UNLIMITED关键字
rlimit_data	设置 服务的最大数据量。参数值应该 是以字节为单位的正整数或者 UNLIMITED关 键字
rlimit_rss	设置 服务的最大常驻内存。参数值应该 是以字节为单位的正整数或者 UNLIMITED关 键字
rlimit_stack	设置 服务的最大堆栈大小。参数值应该 是以字节为单位的正整数或者 UNLIMITED关 键字
deny_time	设置 对于全部IP ，全部服务的访问被禁用的时间长度。参数 值能够 是 以分钟为单位的正整数、 FOREVER 和 NEVER 。若是你 设置为 FOREVER ，在 xinetd 重启以前一直有效； NEVER 只 对那些非法的 IP 地址有效；数字通常设置为 60 ，设置为这个 数值基本就能够防范 DoS 攻击了。须要注意的是，这个标记必须与 SENSOR 标 记（ flags）结合使用

3．基本属性

上 面的列表是xinetd可用的全部属性，然而，针对一个服务并不须要指定上面全部的属性，其实必需的属性只有几个，如表4-4所示。

表4-4  xinetd设定服务必需的属性

xinetd 设定服务必需的属性
属     性	适用范围
socket_type	全部服务
user	Non_internal service only 非内部服务
server	Non_internal service only 非内部服务
wait	全部服务
protocol	不在 /etc/services 中 的全部 RPC 服务和全部其余服务
rpc_vision	全部 RPC 服 务
rpc_number	不列在 /etc/rpc 中 的任何 RPC 服务
port	不在 /etc/services 中 的非 RPC 服务

4．支持多操做符的属性

对 于大多数的服务而言，在针对一个服务的设定中操做符只能出现一次，并只支持＝操做符，然而，下面的六个属性能够支持多个操做符，如表4-5所示。

表4-5  支持多操做符的属性

支持多操做符的属性
属     性	支持范围
only_from	支持全部 操做符
no_access
log_on_success
log_on_failure
passenv
env	不支持 - = 操 做符

5．默认属性

defaults项是实现为全部服务指定某些属性的默认值。这些默认值可被每一个服务项取消或修改。表4-6列出可在defaults项中指定的属性。这个表也指明了具体服务项中能够修改哪些属性。

表4-6  可用的defaults属性

可用的 defaults 属 性
属     性	适用范围
log_on_success	能够用 = 操做符改写，或用 + = 或 - = 操 做符修改
log_on_failure
only_from
no_access
passenv
instances	能够用 = 操做符改写
log_type
disabled	注销掉的服务
enabled	指定启用的服务

6．disabled与enabled

前者的参数是禁用的服务列表，后者的参数是启用 的服务列表。他们的共同点是格式相同（属性名、服务名列表与服务中间用空格分开，例如disabled = in.tftpd in.rexecd），此外，它们都是做用于全局的。若是在disabled列表中被指定，那么不管包含在列表中的服务是否有配置文件和如何设置，都将被 禁用；若是enabled列表被指定，那么只有列表中的服务才可启动，若是enabled没有被指定，那么disabled指定的服务以外的全部服务均可 以启动。

7．注意问题

① 在从新配置的时候，下列的属性不能被改变：socket_type、wait、protocol、type；

② 若是only_from和no_access属性没有被指定（不管在服务项中直接指定仍是经过默认项指定），那么对该服务的访问IP将没有限制；

③ 地址校验是针对IP地址而不是针对域名地址。

  

4、xinetd能有效地防止拒绝服务攻击 （Denial of Services）的缘由以下：

    1．限制同时运行的进程数
    经过 设置instances选项设定同时运行的并发进程数：
    instances＝20
    当服务器被 请求链接的进程数达到20个时，xinetd将中止接受多出部分的链接请求。直到请求链接数低于设定值为止。
    2．限制一个IP地址的最大链接数
    经过限制一个主机的最大链接数，从而防止某个主机独占某个服务。
    per_source＝5
    这里每一个IP地址的链接数是5个。
    3．限制日志文件大小，防止磁盘空间被填满
    许多 攻击者知道大多数服务须要写入日志。入侵者能够构造大量的错误信息并发送出来，服务器记录这些错误，可能就形成日志文件很是庞大，甚至会塞满硬盘。同时会 让管理员面对大量的日志，而不能发现入侵者真正的入侵途径。所以，限制日志文件大小是防范拒绝服务攻击的一个方法。
    log_type FILE.1 /var/log/myservice.log 8388608 15728640
    这里设置的 日志文件FILE.1临界值为8MB，到达此值时，syslog文件会出现告警，到达15MB，系统会中止全部使用这个日志系统的服务。
    4．限制负载
    xinetd 还可使用限制负载的方法防范拒绝服务攻击。用一个浮点数做为负载系数，当负载达到这个数目的时候，该服务将暂停处理后续的链接。
    max_load = 2.8
    上面的设定 表示当一项系统负载达到2.8时，全部服务将暂时停止，直到系统负载降低到设定值如下。
    说明  要使用这个选项，编译时应加入“--with-loadavg”，xinetd将处理max-load配置选项，从而在系统负载太重时关闭某些服务进程， 来实现防范某些拒绝服务攻击。
    5．限制全部服务器数目（链接速 率）
    xinetd 可使用cps选项设定链接速率，下面的例子：
    cps = 25 60
    上面的 设定表示服务器最多启动25个链接，若是达到这个数目将中止启动新服务60秒。在此期间不接受任何请求。
    6．限制对硬件资源的利用
    通 过rlimit_as和rlimit_cpu两个选项能够有效地限制一种服务对内 存、中央处理器的资源占用：
    rlimit_as = 8M
    rlimit_cpu=20
    上面的 设定表示对服务器硬件资源占用的限制，最多可用内存为8MB，CPU每秒处理20个进程。
    xinetd的一个重要功能是它可以控制从属服务能够利用的资源量，经过它的以上设置能够达到这 个目的，有助于防止某个xinetd服务占用大量资源，从而致使“拒绝服 务”状况的出现。

当 然上面的参数不须要每一个都设定啦！只要设定须要的就能够啦！而在 /etc/xinetd.conf 这个文件中，必定会看到『 includedir = /etc/xinetd.d 』这一行！这说明的是，除了 /etc/xinetd.conf 以外，全部在 /etc/xinetd.d 的文件都是能够用来设定的啦！

5、用telnet来举例说明：

    /etc/xinetd.d/telnet，内容以下：

 

上面的表格中，已经说明了每一项参数的意义！若是本来的默认值你并不满意，那么你能够修改为比较安全与多一点机制。假设你这个 Linux 是一部主机，并且他有两块网络接口，分别是对外的 140.116.44.125 与对内的 192.168.0.254 这两个，若是你想要让对内的接口限制较松，而对外的限制较严格，你能够这样的来设定呢：

对内较为松散的限制设定：

 

对外较为严格的限制设定：

 

呵呵！如上面的设定，咱们能够将 telnet 的启动项目进行更多的限制！如此一来，将有助于咱们的安全防御呢！尤为若是能够针对不一样的接口来设定，嘿嘿！就更加的棒啰！不过，请注意喔！若是照上面的设定，那么您的主机上面将会开了两个 23 port 的接口，分别是给两个接口来使用的呢！嗯！真好玩?一样的，你也能够针对本身的喜爱来设定你的其它 daemon 使他挂在 xinetd 底下呢！

6、SENSOR + DENY_TIME的使用

使用rlogin和krb5-telnet来进行实验：

   一、yum install rsh-server -y

   二、yum install krb5-workstation -y

   三、对krb5-telnet进行配置：

service telnet

{
disable    = no  #将telnet服务设置为启用。若是disable = yes  表示禁用服务。
flags      = SENSOR  #设置为SENSOR，拒绝条件触发后，将在全局生效，即全部被xinetd托管的服务都有效
deny_time  = 2       #拒绝2分钟
no_access  = 192.168.0.3   #拒绝的IP范围
socket_type = stream
wait       = no
user       = root   #指定程序用什么身份来执行
server     = /usr/sbin/in.telnetd   #xinetd服务托管的程序，当被触发时就启动该程序来监听
access_times = 9:00-18:00    #容许访问的时间段为早上9点到下午6点
bind       = 192.168.0.100   #在指定的网络接口上监听 （在有多个网卡多个IP时，能够精确控制）
cps        = 25 30    #在同一时刻，有25个链接数，则暂停链接30秒
per_source = 15       #限制每一个源IP最大只能有15个并发链接
}
具体讲讲一下三行：
flags      = SENSOR
deny_time  = 2
no_access  = 192.168.0.3
做用：禁止192.168.0.3的IP来使用telnet链接本机，若是他telnet链接了本机，那么被xinetd所管理的所有服务都禁止192.168.0.3来访问，禁止访问的时间为2分钟。SENSOR模式表示让xientd所管理的所有服务都生效改配置。

    四、进行测试：telnet 192.168.0.y；rlogin 192.168.0.y

7、向xinetd添加新服务

   例：添加一个TCP服务，开启26端口的服务程序wushank

     一、在/etc/services文件中添加服务和端口信息：

             wushank    26/tcp            #test

     二、在/etc/xinetd.d目录下生成服务文件,具体以下：  

 

      三、建立/bin/wushank脚本：

                #!/bin/bash
                date +%F" "%T
                echo "welcome to you"

      四、重启服务：service xinetd restart

      五、测试结果以下：