xinetd不太详的详解
xinetd不太详的详解
http://blog.sina.com.cn/s/blog_88cdde9f01019fg5.htmlhtml
######################################linux
大蚊子整理、修正shell
2012.12.4 20:00apache
######################################vim
xinetd(eXtended InterNET services Daemon)安全
xinetd提供相似于inetd+tcp wrapper的功能,但更增强大、安全。服务器
1. xinetd特点
1.强大的存取控制功能网络
— 内置对恶意用户和蔼意用户的差异待遇设定。多线程
— 使用libwrap支持,其效能更甚于tcpd。并发
— 能够限制链接的等级,基于主机的链接数和基于服务的链接数。
— 设置特定的链接时间。
— 将某个服务设置到特定的主机以提供服务。
2.有效防止DoS攻击
— 能够限制链接的等级。
— 能够限制一个主机的最大链接数,从而防止某个主机独占某个服务。
— 能够限制日志文件的大小,防止磁盘空间被填满。
3.强大的日志功能
— 能够为每个服务就syslog设定日志等级。
— 若是不使用syslog,也能够为每一个服务创建日志文件。
— 能够记录请求的起止时间以决定对方的访问时间。
— 能够记录试图非法访问的请求。
4.转发功能
能够将客户端的请求转发到另外一台主机去处理。
5.支持IPv6
xinetd自xinetd 2.1.8.8pre*起的版本就支持IPv6,能够经过在./configure脚本中使用with-inet6 capability选项来完成。注意,要使这个生效,核心和网络必须支持IPv6。固然IPv4仍然被支持。
6.与客户端的交互功能
不管客户端请求是否成功,xinetd都会有提示告知链接状态。
7.Xinetd的缺点
当前,它最大的缺点是对RPC支持的不稳定性,可是能够启动protmap,使它与xinetd共存来解决这个问题。
2. 使用xinetd启动守护进程
原则上任何系统服务均可以使用xinetd,然而最适合的应该是那些经常使用的网络服务,同时,这个服务的请求数目和频繁程度不会过高。像DNS和Apache就不适合采用这种方式,而像FTP、 Telnet、SSH等就适合使用xinetd模式,系统默认使用xinetd的服务能够分为以下几类。
① 标准Internet服务:telnet、ftp。
② 信息服务:finger、netstat、systat。
③ 邮件服务:imap、imaps、pop二、pop三、pops。
④ RPC服务:rquotad、rstatd、rusersd、sprayd、walld。
⑤ BSD服务:comsat、exec、login、ntalk、shell、talk。
⑥ 内部服务:chargen、daytime、echo、servers、services、time。
⑦ 安全服务:irc。
⑧ 其余服务:name、tftp、uucp。
具体可使用xinetd的服务在/etc/services文件中指出。这个文件的节选内容以下所示:
# /etc/services:
# $Id: services,v 1.40 2004/09/23 05:45:18 notting Exp $
# service-name port/protocol [aliases ...] [# comment]
tcpmux 1/tcp # TCP port service multiplexer
tcpmux 1/udp # TCP port service multiplexer
rje 5/tcp # Remote Job Entry
rje 5/udp # Remote Job Entry
echo 7/tcp
echo 7/udp
discard 9/tcp sink null
discard 9/udp sink null
………
服务名 端口/协议 别名 #注释
Internet 网络服务文件中,记录网络服务名和它们对应使用的端口号及协议。
通常状况下,不要修改该文件的内容,由于这些设置都是Internet标准的设置。一旦修改,可能会形成系统冲突,使用户没法正常访问资源。
Linux系统的端口号的范围为0~65 535,不一样范围的端口号有不一样的意义。
— 0:不使用。
— 1~1023:系统保留,只能由root用户使用。
— 1024~4999:由客户端程序自由分配。 已被使用的端口1024~49151
— 5000~65535:由服务器程序自由分配。 动态和私有端口49151~65535
3. Xinet工做方式:
3.1 服务的启动和管理主要有stand alone和super daemon两种。
stand alone由启动脚本启动,脚本通常存储在/etc/init.d/,经过/etc/init.d/[service name] restart 启动。服务直接加载在内存中,响应迅速,适合访问量较大的服务。
super daemon经过超级守护进程—xinetd来控制服务。系统服务托管在xinetd进程下,当有请求访问端口时,xinetd会启动该服务处理访问请求。同时xinetd还提供监控、访问控制等安全特性,缺点是响应速度较慢。
3.2 xinetd提供的服务处理模式分为两种,一种是多线程,一种是单线程。
multi-threaded:为每个容许的访问创建一个daemon提供服务。
single-threaded:为全部访问创建一个daemon提供服务。
3.3 Daemon工做状态:
signal-control:只要有客户端请求,就当即执行。如打印机服务(cupsd)
interval-control:每隔一段时间执行。如atd、crond。
4. 数据包访问服务器资源:
数据包->iptables->tcp wrapper->服务->Selinux->权限、ACL->本地资源
数据包->iptables->tcp wrapper->xinetd->
└>服务->SeLinux->权限、ACL->本地资源
Iptables:对数据包ip、端口、mac等信息进行过滤。
Tcp wrapper:针对tcp包头进行ip、端口等信息的过滤。
Xinetd:监控、访问控制、时间管理、连接管理等。
服务:服务自己的权限控制、访问控制、资源控制。
SeLinux:控制进程对系统资源的访问,进程上下文匹配文件资源上下文标签。
权限、ACL:目录以及文件的权限、访问控制列表,也能够实现许多资源控制。
本地资源:存储在本地的一系列须要被外部地址访问的资源。银行卡密码等 ^.^~
# grep -i 'disable' /etc/xinetd.d/* //查看Xinetd服务状态
5. /etc/xinetd.conf — xinetd主配置文件
defaults
{
# The next two items are intended to be a quick access place to
# temporarily enable or disable services. //启动、中止服务
# enabled =
# disabled =
# Define general logging characteristics. //日志选项
log_type = SYSLOG daemon info //日志的记录级别(共7级)
log_on_failure = HOST //发生错误时记录主机信息
log_on_success = PID HOST DURATION EXIT //成功登录时记录的信息
# Define access restriction defaults //访问控制
# no_access = //禁止访问
# only_from = //仅容许访问
# max_load = 0 //用一个浮点数做为负载系数,当1分钟内负载达到时,该服务将中止处理后续链接,只有Linux、Solaris、FreeBSD支持。
cps = 50 10 //每秒超过50个链接,等待10s。
instances = 50 //同一个服务的最大被链接数
per_source = 10 //同一客户端的最大链接数
# Address and networking defaults //网络设置
# bind = //绑定主机ip地址
# mdns = yes //支持组播DNS(multicast DNS),目前只有Mac OS X和linux支持。
v6only = no //仅容许IPv6
# setup environmental attributes //环境属性设置
# passenv = //xinetd环境中的环境变量表,该表在激活时传递给服务。
groups = yes //设定组名
umask = 002 //设定文件权限掩码
# Generally, banners are not used. This sets up their global defaults //设置登陆显示的信息
# banner = //创建链接时就显示该文件信息。
# banner_fail = //链接失败时,显示文件内的信息。
# banner_success = //链接成功时,显示文件内的信息。
}
includedir /etc/xinetd.d
xinetd守护进程读取/etc/xinetd.d/之中的配置信息,其余未指定的参数均按/etc/xinetd.conf中的默认配置设置。
6. /etc/xinetd.d/ — xinetd子配置文件
/etc/xinetd.d/ — xinetd子配置文件,大概都是形如如下格式。
service
{
<<A name=OLE_LINK7>attribute> <<A name=OLE_LINK6>assign_op> ...
}
解释:
1. Service_name与/etc/services有关,xinetd会启动与名字对应的端口。
2. Attribute是一些xinetd管理参数
3. assign_op参数设定方法
=:设定参数
+=:在默认配置中加入这些参数
-=:在默认配置中去掉这些参数
Attribute参数:(待补充)
6.1 基本属性
上面的列表是xinetd可用的全部属性,针对一个服务只须要指定几个属性。
xinetd设定服务必需的属性:
| 属性 |
适用范围 |
| socket_type |
全部服务 |
| user |
Non_internal service only 非内部服务 |
| server |
Non_internal service only 非内部服务 |
| wait |
全部服务 |
| protocol |
不在/etc/services中的全部RPC服务和全部其余服务 |
| rpc_vision |
全部RPC服务 |
| rpc_number |
不在/etc/rpc中的任何RPC服务 |
| port |
不在/etc/services中的非RPC服务 |
6.2 支持多操做符的属性
对于大多数的服务而言,在针对一个服务的设定中操做符只能出现一次,并只支持=操做符,下面六个属性能够支持多个操做符。
支持多操做符的属性:
| 属性 |
适用范围 |
| only_from |
支持全部操做符 |
| no_access |
|
| log_on_success |
|
| log_on_failure |
|
| passenv |
|
| env |
不支持-=操做符 |
6.3 默认属性
defaults项是实现为全部服务指定某些属性的默认值。默认值可被每一个服务项取消或修改。
可用的defaults属性:
| 属性 |
适用范围 |
| log_on_success |
能够用=操做符改写,或用+=或-=操做符修改 |
| log_on_failure |
|
| only_from |
|
| no_access |
|
| passenv |
|
| instances |
能够用=操做符改写 |
| log_type |
|
| disabled |
注销的服务 |
| enabled |
指定启用的服务 |
6.4 disabled与enabled
前者的参数是禁用的服务列表,后者的参数是启用的服务列表。共同点是格式相同(属性名、服务名列表与服务中间用空格分开,例如disabled = in.tftpd in.rexecd),此外,它们都是做用于全局的。若是在disabled列表中被指定,那么不管包含在列表中的服务是否有配置文件和如何设置,都将被禁用;若是enabled列表被指定,那么只有列表中的服务才可启动,若是enabled没有被指定,那么disabled指定的服务以外的全部服务均可以启动。
6.5 注意问题
① 在从新配置的时候,下列的属性不能被改变:socket_type、wait、protocol、type;
② 若是only_from和no_access属性没有被指定(不管在服务项中直接指定仍是经过默认项指定),那么对该服务的访问IP将没有限制;
③ 地址校验是针对IP地址而不是针对域名地址。
7. 对内外网分别应用不一样设置—telnet为例
7.1 要求:
内网:
o 绑定内网;
o 对127.0.0.0/8 开放登录权限;
o 没有链接限制;
o 127.0.0.100和127.0.0.200不容许使用telnet登录。
外网:
o 绑定外网
o 仅开放192.168.0.0/24网络和.edu.cn域能够登录;
o 开放的时间为早上1-9 点,晚上20-24点;
o 服务最大容许10个链接。
7.2 配置:
service telnet
{
#——————————增长———
disable = yes #启动
bind = 127.0.0.1 #绑定服务在127.0.0.1这个ip上
only_from = 127.0.0.0/8 #容许登录
no_access = 127.0.0.{100,200} #限制登录
instances = UNLIMITED #不限制服务最大链接数
#——————————增长———
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.telnetd
log_on_failure += USERID
disable = yes
}
service telnet
{
#——————————增长———
disable = yes #启动
bind = 192.168.0.250 #绑定服务在192.168.1.100这个ip上
only_from = 192.168.0.0/24 #容许访问
only_from += .edu.cn #容许访问
access_times = 01:00-9:00 20:00-23:59 #提供telnet服务的时间
instances = 10 #服务仅提供10个连接
#——————————增长———
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.telnetd
log_on_failure += USERID
disable = yes
}
7.3 测试:
xinetd监听了2个ip地址。
Xinetd为不一样的网段提供了不一样的访问控制。
7.4 总结:
不一样的ip地址相同的服务可使用相同的端口。一个主机有2块网卡对应不一样的网络,xinetd可提供不一样的配置。
8. 利用xinetd设置sensor陷阱,隔离恶意访问
许多暴露在公网的服务器都承担了巨大的安全风险,时时可可均可能被扫描、被攻击。当有人链接管理员不但愿被访问的端口时,xinetd能够记录这个端口,并拒绝这个家伙对服务器中xinetd所托管服务端口的访问请求,这样他就跟你的服务器无缘了。
Xinetd.conf参数中有一项deny_time是用来设置拒绝时间的,flags选项用来为服务添加标志,不一样的标志有不一样的功能,具体以下:
Deny_time =
直到xinetd重启 | 仅记录日志 | 拒绝X分钟
Flags=SENSOR //记录访问服务的IP地址,添加到做用于全局的no_access列表中,使得请求过该服务的IP在deny_time过时以前一直都拒绝访问。
8.1 实验:
#yum install rsh-server //服务端
#yum install rsh //客户端,提供rsh、rlogin、rcp命令
#yum install telnet-server //telnet用于测试
#yum install telnet
#chkconfig rlogin on
#chkconfig rsh on
#chkconfig telnet on
#vim /etc/xinetd.d/rlogin
service login
{
disable = no
socket_type = stream
wait = no
user = root
log_on_success += USERID
log_on_failure += USERID
server = /usr/sbin/in.rlogind
flags = SENSOR
deny_time = forever
}
8.2 客户机测试
#yum install telnet rsh
Xinetd服务实际上监听了rlogin-server的端口,因为带有flags=SENSOR标记,sensor会记录客户ip并将其添加到真对全局的no_access列表里面去。因此,恶意的访问都不能访问xinetd托管的服务了。
注:重启xinetd服务,禁用ip会失效。
另一个高级用法是,利用sensor为任意端口作陷阱。
1.修改/etc/services下对应服务的端口
2.在/etc/xinetd.d/telnet配置文件中添加port=80
这样外部访问80端口的请求都会被禁止,能够将apache修改成其余很是规端口。
9. 创建自定义xinetd托管服务
1.编写一个test.c程序并编译
#cat /tmp/test.c
#include
main()
{
printf ("hello world\n");
return 0;
}
#gcc /tmp/test.c -o /tmp/test
2.在/etc/xinetd.d/中增长配置文件
#cp telnet test
#vim test
service test_server
{
disable = no
flags = REUSE
socket_type = stream
wait = no
user = root
server = /tmp/test
log_on_failure += USERID
port =9015
}
3.在/etc/services里添加一行
test_server 9015/tcp
4.重启xinetd服务
#service xinetd restart
5.测试
另外一台计算机上运行
#telnet 192.168.0.250 9015
自定义xinetd服务,须要必定的linux C开发技能,要求熟悉linux C语言的网络开发。这对我来讲仍是颇有难度的。
10. xinetd防止拒绝服务攻击(Denial of Services)的缘由
xinetd能有效地防止拒绝服务攻击(Denial of Services)的缘由以下。
1.限制同时运行的进程数
经过设置instances选项设定同时运行的并发进程数:
Instances=20
当服务器被请求链接的进程数达到20个时,xinetd将中止接受多出部分的链接请求。直到请求链接数低于设定值为止。
2.限制一个IP地址的最大链接数
经过限制一个主机的最大链接数,从而防止某个主机独占某个服务。
per_source=5
这里每一个 IP地址的链接数是5个。
3.限制日志文件大小,防止磁盘空间被填满
许多攻击者知道大多数服务须要写入日志。入侵者能够构造大量的错误信息并发送出来,服务器记录这些错误,可能就形成日志文件很是庞大,甚至会塞满硬盘。同时会让管理员面对大量的日志,而不能发现入侵者真正的入侵途径。所以,限制日志文件大小是防范拒绝服务攻击的一个方法。
log_type FILE.1 /var/log/myservice.log 8388608 15728640
这里设置的日志文件FILE.1临界值为8MB,到达此值时,syslog文件会出现告警,到达15MB,系统会中止全部使用这个日志系统的服务。
4.限制负载
xinetd 还可使用限制负载的方法防范拒绝服务攻击。用一个浮点数做为负载系数,当负载达到这个数目的时候,该服务将暂停处理后续的链接。
max_load = 2.8
上面的设定表示当一项系统负载达到2.8时,全部服务将暂时停止,直到系统负载降低到设定值如下。
注意:
要使用这个选项,编译时应加入“--with-loadavg”,xinetd将处理max-load配置选项,从而在系统负载太重时关闭某些服务进程,来实现防范某些拒绝服务攻击。
5.限制全部服务器数目(链接速率)
xinetd 可使用cps选项设定链接速率,下面的例子:
cps = 25 60
上面的设定表示服务器每秒最多启动25个链接,若是达到这个数目将中止启动新服务60秒。在此期间不接受任何请求。
6.限制对硬件资源的利用
经过rlimit_as和rlimit_cpu两个选项能够有效地限制一种服务对内存、中央处理器的资源占用:
rlimit_as = 8M
rlimit_cpu=20
上面的设定表示对服务器硬件资源占用的限制,最多可用内存为8MB,CPU每秒处理20个进程。
xinetd的一个重要功能是它可以控制从属服务能够利用的资源量,经过设置能够达到这个目的,有助于防止某个xinetd服务占用大量资源,从而致使“拒绝服务”状况的出现。
==============================
- 1. 以太坊nonce详解
- 2. 以太网详解五
- 3. 以太坊 RLP详解
- 4. xinetd
- 5. 以太坊 2.0:验证者详解
- 6. 以太坊java开发包web3j详解
- 7. 5.3 以太坊源码详解3
- 8. web3j - 以太坊java开发包详解
- 9. 以太坊官方 Token 代码详解
- 10. 以太零能量系统详解
- 更多相关文章...
- • 免费ARP详解 - TCP/IP教程
- • ARP协议的工作机制详解 - TCP/IP教程
- • Flink 数据传输及反压详解
- • 为了进字节跳动,我精选了29道Java经典算法题,带详细讲解
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 以太坊nonce详解
- 2. 以太网详解五
- 3. 以太坊 RLP详解
- 4. xinetd
- 5. 以太坊 2.0:验证者详解
- 6. 以太坊java开发包web3j详解
- 7. 5.3 以太坊源码详解3
- 8. web3j - 以太坊java开发包详解
- 9. 以太坊官方 Token 代码详解
- 10. 以太零能量系统详解