QQ登录

只需一步,快速开始

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 2343|回复: 7

xinet/inetd的含义是什么?那位能解释一下。

[复制链接]
发表于 2005-4-21 13:52:31 | 显示全部楼层 |阅读模式
xinet/inetd的含义是什么?那位能解释一下。
发表于 2005-4-21 15:04:01 | 显示全部楼层
应该是对网络类后台进程序的管理
xinetd是X下的,inetd是console下的

如proftpd可以设成为inetd管理的,proftpd最大可以开的连接数也会受到inetd的限制

错了不要怪
回复

使用道具 举报

发表于 2005-4-21 17:25:12 | 显示全部楼层
inetd 被叫做 “超级 Internet 服务器”, 因为它能够管理许多不同的服务程序的连接。 当 inetd 接到连入的连接时, 它就会判断连接所需要启动的服务程序,并运行它们, 然后将连接转交给这些服务程序 (在启动程序时,这些程序的标准输入、输出和错误输出描述符被替换为连入的连接)。与一个一个地运行单独的服务程序相比, 只启动一个 inetd 能够削减平均的系统负荷。
回复

使用道具 举报

发表于 2005-4-21 17:27:50 | 显示全部楼层
[OpenSource] 使用xinetd
作者:Jose Nazario
译者:Fenng
日期:25-Oct-2004
出处:http://www.dbanotes.net
版本:@2001/11/27 Version 0.01 @2003/05/23 Version 1.00


--------------------------------------------------------------------------------

Jose描述了如何着手配置调整xinetd。

xinetd取代了inetd,并且提供了访问控制、加强的日志和资源管理功能。xinetd已经成为Red Hat 7 和 Mandrake 7.2的Internet标准超级守护进程。这篇文章将引导你如何应用一些它的特性,这些特性基于xinetd 2.1.8.8 pre3版本。

导言
xinetd的最初的作者(Panagoitis Tsirigotis [email protected])好像已经停止了这个项目。 Rob Braun ([email protected])继续了该项目,现在负责维护这个软件包。为了能使 select()在我的老的libc5系统上也可以使用,我不得不给当前的包添加几对头文件,这是我注意到的问题。或许你需要它们,如下:

xinetd/internals.c.orig
Fri Jun 16 19:00:15 2000
+++ xinetd/internals.c
Fri Jun 16 19:00:53 2000
@@ -12,6 +12,8 @@
#include <time.h>
#include <fcntl.h>
#include <syslog.h>
#include <unistd.h>
#include <sys/time.h>
#include "sio.h"
关于 xinetd
xinetd用括号括起的、扩展了的语法取代了inetd中的通用的行。另外,还添加了日志和访问控制功能。 虽然inetd可以使用Venema的 tcp_wrappers 软件 (tcpd) 控制 TCP 的连接,但是你不能用它来控制 UDP 连接。此外,inetd对RPC(portmapper)类型的服务也处理不好。另外,虽然使用 inetd 你可以控制连接速度 ( 通过给wait或是no wait 变量附加一个数值,例如nowait.1表示每隔一秒钟一个实例),你不能控制实例的最大数。这能导致进程表攻击(例如,一个有效的拒绝服务攻击)。通过使用xinetd,我们可以防止Dos。

我通常使用下面的命令启动xinetd,把它放在我的Internet服务启动脚本中:

/usr/sbin/xinetd -filelog /var/adm/xinetd.log -f /etc/xinetd.conf
这告诉 xinetd 对所有的服务都进行纪录,日志保存到文件 /var/adm/xinetd.log中,并且使用配置文件/etc/xinetd.conf。这篇文章中的大量篇幅都将用在这个配置文件上。

编译时选项
你应该注意3个编译时的选项:libwrap、loadavg (用于监视负载均衡) 和 IPv6 support,它们提供了额外的访问控制。对于大多数libwrap"明白"的守护进程 (如portmapper 和sendmail),在配置脚本中的"with-libwrap"选项告诉xinetd支持tcp_wrappers文件/etc/hosts.allow和/etc/hosts.deny。这些选项对xinetd作用就如同它们之于 inetd那样,并且支持所有的 xinetd控制的守护进程。注意如果你从零开始做xinetd的话,就可以做访问控制,不再需要tcpd。不管怎样。对libwrap 的支持是有用的--如果你从inetd/tcpd迁移并且也不想改变你的访问文件的话 。

第二个有趣的设置选项是支持负载均衡监控,通过在./configure脚本中使用with-loadavg选项可以达到。sendmail支持在高负载的时候停止连接--假定它已经脱离了控制并且正在当掉机器。用这个选项可以激活max_load 选项以限制任何连接或是基于负载均衡机器的所有服务。

最后,添加 IPv6支持 可以通过在 ./configure 脚本中使用 with-inet6 capability选项来完成。 这使xinetd 支持IPv6地址和连接。注意要使其生效的话你的核心(和网络)必须支持 IPv6。当然IPv4 仍然被支持。

配置文件
xinetd 配置文件,通常可以手工或是自动从inetd.conf文件生成。前者费时间且容易出错;后者可以通过 itox软件或者xconv.pl 脚本轻易完成。虽然itox软件正在被取消而倾向于使用 xconv.pl 脚本,它仍是很有用的。但是,要注意重复的运行它会覆盖原有的配置文件。itox和 xconv都以同样的方式工作,我们用 itox来进行演示:

$ itox < /etc/inetd.conf > xinetd.conf
新一些的工具(xconv)可以理解注释,并且在对tcpd的使用上要比itox做得更好,使用itox,你不得不指定守护进程的路径 (如 /usr/sbin)。 你想要包含的第一段就是默认的段,就像名字暗示的那样,默认的xinetd服务。

defaults
{
   instances       = 25
   log_type        = FILE /var/adm/servicelog
   log_on_success  = PID HOST EXIT
   flags           = NORETRY
   log_on_failure  = HOST RECORD ATTEMPT
   only_from       = 129.22.0.0
   no_access       = 129.22.210.61
   disabled        = nntp uucp tftp bootps who
                     shell login exec
   disabled       += finger
}
马上,我们可以了解 xinetd 设置参数的语法:<指示(directive)> <操作符(operator)> <值(value)>。xinetd所能理解的指示列在表一中,在这里我们将忽略 flags、type、env 和passenv指示符。 我对将对 only_from 和 no_access以及额外的日志选项加以更多的讨论

表 1. xinetd的指示符
指示符  描述  
socket_type  网络套接字类型, 流或者数据包  
socket_type  网络套接字类型, 流或者数据包
protocol  IP 协议, 通常是TCP或者 UDP
wait  yes/no, 等同于inetd的wait/nowait
user  运行进程的用户 ID  
server  执行的完整路径
server_args  传递给server的变量,或者是值
instances  可以启动的实例的最大的值
start max_load 负载均衡
log_on_success 成功启动的登记选项
log_on_failure 联机失败的时候的日志信息
only_from  接受的网络或是主机
no_access  拒绝访问的网络或是主机
disabled  用在默认的 {} 中 禁止服务
log_type  日志的类型和路径 FILE /SYSLOG
nice  运行服务的优先级
id  日志中使用的服务名

操作符非常简单,“=”或者“+=”。用 =,右边给定的值传给左边的指示符。+=也是非常直接的,用于给一个已经指定的指示符添加一个值。没有它,原先的指示符就会被覆盖,这样可以用来展开访问列表,或者跨越多行。

用如下的格式描述服务:

服务名 
{
指示符 = 值
指示符 += 值
}


服务名一定要在 /etc/services列出 ,并且要使用合适的socket和协议。

关于访问控制
关于访问控制的有几句话。 首先,xinetd控制连接而不是控制数据分组,它只是个用户方的守护进程,如同inetd 一样。同样的,可以打断一个被服务器禁止的主机的SYN或是connect()。但不能中止象FIN [端口扫描使用带有FIN 标志位的TCP包,通常是nmap这样的工具运行产生的]这样的"秘密" 扫描。不要把xinetd 当作一个firewall 用以阻止端口扫描。一个有经验的入侵者能够用这些信息收集你的不同服务的访问控制列表。幸运的是, 这些可以被xinetd纪录。当你看到日志的时候你的疑虑会消除的。

第二,xinetd(2.1.8.8pre3版本),当一个系统试图连接的时候进行名字查找。以前,它在启动的时候进行查找, 但是现在已经改变。

使用访问控制真的很简单。第一个指示符是 only_from, 列出了我们可以接受从哪一个网络或是主机的连接。这个规则可以被 no_access覆盖。 你可以使用网络号,如 10.0.0.0 或者 10或者是网络名(包括 .my.com 或者 .my.com)。主机名或者主机的 IP地址也可以在这里使用指示符0.0.0.0 匹配所有的主机并监听所有的地址。通过使用 no_access一旦符合标准拒绝就会被解析。再说一遍,网络和主机可以指定。

服务配置
让我们看一些基本的应用。我们先看第一个基本的服务echo,它是inetd 和xinetd固有的服务。

service echo
{
        socket_type     = stream
        protocol        = tcp
        wait            = no
        user            = root
        type            = INTERNAL
        id              = echo-stream
}
echo 以root权限运行, 是一个tcp 流并在内部处理。echo-stream指示符将出现在日志中。如果没有only_from或是 no_access在指示符中,对这个服务的访问的配置将是不受限制的。

现在,让我们看一个正规的服务,daytime:

service daytime
{
        socket_type     = stream
        protocol        = tcp
        wait            = no
        user            = nobody
        server          = /usr/sbin/in.date
        instances       = 1
        nice            = 10
        only_from       = 0.0.0.0
}
再说一次,任何人都可以连接, 不过我们指明它以nobody的身份运行来返回信息。和前一个例子相比,这个并没有额外的什么。现在我们看另一个服务 secure shell version 1。下面的设置可以防止sshd所带来的资源耗尽问题。

service ssh1
{
        socket_type     = stream
        protocol        = tcp
        instances       = 10
        nice            = 10
        wait            = no
        user            = root
        server          = /usr/local/sbin/sshd1
        server_args     = -i
        log_on_failure  += USERID
        only_from       = 192.168.0.0
        no_access       = 192.168.54.0
        no_access       += 192.168.33.0
}
在这里,我们建立了前面我们所作的。当作为超级用户inetd或者 xinetd重新调用sshd 需要用 -i 参数, 所以我们把它放在了 server_args 指示符后。注意:把这个标记添加到server标识符出会导致失败。在任何时候只有十个人可以同时使用,在这个服务器上这不是问题,这个例子我们从日志得到。另外作为默认信息,如果不能连接的话,连接方的用户 ID在RFC 1413中描述。最后,我们列出了两个网络不能访问这个服务。

日志和 xinetd
日志中有几个值可以用于得到你的服务器的信息

表2 不同的日志指示值
值  成功/失败  描述
PID  success  当一个连接成功时登记产生的进程的pid
HOST  both  登记远程主机地址
USERID  both  登记远程用户的RFC 1413 ID  
EXIT  success  登记产生的进程的完成
DURATION success  登记任务持续的时间
ATTEMPT  failure  登记连接失败的原因
RECORD  failure  关于连接失败的额外的信息

这样,可以添加一些标准的行指明日志,就像下面的样子。对一个成功连接的服务,我们通常想登记服务产生的进程id,连接的主机和退出的时间:

log_on_success = PID HOST EXIT
这样可以给出我们用来排错的有用的信息和正常的服务器操做信息。针对失败,我们可以记录我们想要的:

log_on_failure = HOST RECORD ATTEMPT
我们记录了连接的主机、拒绝连接的原因和关于连接中的主机的额外的信息(有的时候是那些试图连接的用户ID)。推荐你这样做,可以对你的服务器有一个好的把握。

还看上面,在我们的默认段中,我们的日志写在/var/adm/servicelog中。我们指定所有信息,成功和失败的都要被xinetd记录。我们的大多数信息看起来像这样:

00/9/13@16:05:07: START: pop3 pid=25679 from=192.168.152.133
00/9/13@16:05:09: EXIT: pop3 status=0 pid=25679
00/10/3@19:28:18: USERID: telnet OTHER :www
使用这个信息,可以轻易对 xinetd 排错和进行和正常操作。也可以容易发现安全问题(如你试图阻止的连接企图),在日志中简单的用 grep 作 ''FAIL'' 过滤,这些项显示如下:

00/10/4@17:04:58: FAIL: telnet address from=216.237.57.154
00/10/8@22:25:09: FAIL: pop2 address from=202.112.14.184
真正的安全问题需要另外的文章,但是,这足以说明,既然地址可以伪造,不要把地址报告看作固定的信息。xinetd.log文件(包含了从 xinetd得到的信息)在连接出错的时候作为排错信息很有用。

00/10/25@21:10:48 xinetd[50]: ERROR: service echo-stream,
accept:
Connection reset by peer
重配置 xinetd
在xinetd.conf运行的时候,你可以编辑 xinetd.conf 文件。要重新配置,发送一个信号SIGUSR1 给 xinetd 进程:

# ps -ax | grep xinetd
50 ? S 5:47 /usr/sbin/xinetd -filelog /var/adm/xinetd.log -f /etc/xinetd.conf
# kill -SIGUSR1 50
察看日志文件的尾部(用tail命令)确保你的配置和改动已经生效。如果你是个远程用户的话要确保你退出后还可以重新登陆进来。注意使用-HUP对xinetd重新配置,会实际导致 xinetd 停止操作。从设计的角度看,这可以阻止黑客重新配置你的xinetd并且在无需理解文档的情况下就可以重新载入它。

何时使用xinetd
以我个人而言,对所有的服务我都使xinetd;唯一一个对性能有影响的服务是我的Apache web 守护进程。太多的进程不得不启动,对它来说这太快了从而时间效率是个问题。DNS 服务也不应该用 xinetd,性能消耗太大。

对sendmail 服务我也使用了xinetd。这样对于允许连接的客户,我能够进行完美的控制。针对 sendmail我的设置如下:

service smtp
{
        socket_type   = stream
        protocol      = tcp
        wait          = no
        user          = root
        server        = /usr/sbin/sendmail
        server_args   = -bs
        instances     = 20
        nice          = 10
        only_from     += 0.0.0.0
        no_access     += 129.22.122.84 204.0.224.254
}
即使是在一个高流量的邮件服务器上,对性能的影响也是可以忽略不计的。我还把 sshd 载入到 xinetd 以便阻止对它的进程表攻击。

结论
希望这篇文章对你配置或是根据需要调整inetd能有帮助。正如你所看到的,它提供的特性要比inetd大得多,甚至包含了tcp_wrappers。Solar Designer (http://www.openwall.com/) 提供一个针对稍旧一点的xinetd的版本的(2.2.1版本)的补丁,允许基于IP的实例控制,这有助于阻止简单的进程表攻击。注意,不管怎样,简单的伪造可以绕过它。我不知道是否这个包对以后的 xinetd是否也适用。

附:xinetd 代表 Extended Internet Services Daemon 下面附上一个xinetd.conf手册页上的参考设置:

        #
        # Sample configuration file for xinetd
        #

        defaults
        {
             log_type                 = FILE /var/log/servicelog
             log_on_success         = PID
             log_on_failure         = HOST RECORD
             only_from                 = 128.138.193.0 128.138.204.0
             only_from                 = 128.138.252.1
             instances                 = 10
             disabled                 = rstatd
    }

        #
    # Note 1: the protocol attribute is not required
    # Note 2: the instances attribute overrides the default
    #
     
        service login
    {
            socket_type         = stream
            protocol                 = tcp
            wait                 = no
            user                 = root
            server                 = /usr/etc/in.rlogind
            instances                 = UNLIMITED
    }

    #
    # Note 1: the instances attribute overrides the default
    # Note 2: the log_on_success flags are augmented
    #

    service shell
    {
             socket_type         = stream
             wait                 = no
             user                 = root
             instances                 = UNLIMITED
             server                 = /usr/etc/in.rshd
             log_on_success         += HOST RECORD
    }

    service ftp
    {
             socket_type         = stream
             wait                 = no
             nice                 = 10
             user                 = root
             server                 = /usr/etc/in.ftpd
             server_args         = -l
             instances                 = 4
             log_on_success         += DURATION HOST USERID
             access_times         = 2:00-9:00 12:00-24:00
    }

    # Limit telnet sessions to 8 Mbytes of memory and a total
    # 20 CPU seconds for child processes.

    service telnet
    {
             socket_type         = stream
             wait                 = no
             nice                 = 10
             user                 = root
             server                 = /usr/etc/in.telnetd
             rlimit_as                 = 8M
             rlimit_cpu                 = 20
    }

    #
    # This entry and the next one specify internal services. Since
    # this is the same service using a different socket type, the
    # id attribute is used to uniquely identify each entry
    #
   
        service echo
    {
             id                         = echo-stream
             type                 = INTERNAL
             socket_type         = stream
             user                 = root
             wait                 = no
    }
   
    service echo
    {
             id                         = echo-dgram
             type                 = INTERNAL
             socket_type         = dgram
             user                 = root
             wait                 = no
    }

    service servers
        {
             type                 = INTERNAL UNLISTED
             protocol                 = tcp
             port                 = 9099
             socket_type         = stream
             wait                 = no
    }

    #
    # Sample RPC service
    #
    service rstatd
    {
             type                 = RPC
             socket_type         = dgram
             protocol                 = udp
             server                 = /usr/etc/rpc.rstatd
             wait                 = yes
             user                 = root
             rpc_version         = 2-4
             env                 = LD_LIBRARY_PATH=/etc/securelib
    }

    #
    # Sample unlisted service
    #
   
        service unlisted
    {
             type                 = UNLISTED
             socket_type         = stream
             protocol                 = tcp
             wait                 = no
             server                 = /home/user/some_server
             port                 = 20020
    }
翻译后记:一日在网上看到自己在2年前的这个翻译文档,细读一下,发现谬误不少,遂找到原文,更正了一些不当之处。翻译不当之处肯定还是存在的,欢迎指出!



参考信息(译者提供)


xinetd - http://www.xinetd.org/

Frederic Raynal的文章 - http://www.linuxfocus.org/English/November2000/article175.shtml

xinetd HOWTO - http://www.dbanotes/net/Books/xinted.pdf
回复

使用道具 举报

发表于 2005-4-21 17:29:00 | 显示全部楼层
什么是xinetd?
大家对被称作超级服务器的Inetd一定很熟悉,其实现控制对主机网络连接。当一个请求到达由Inetd管理的服务端口,Inetd将该请求转发给名为tcpd的程序。Tcpd根据配置文件hosts.{allow, deny}来判断是否允许服务该请求。如果请求被允许则相应的服务器程序(如:ftpd、telnetd)将被启动。这个机制也被称作tcp_wrapper.

xinetd(eXtended InterNET services daemon)提供类似于inetd+tcp_wrapper的功能,但是更加强大和安全。它能提供以下特色:

* 支持对tcp、ucp、RPC服务(但是当前对RPC的支持不够稳定)

* 基于时间段的访问控制

* 功能完备的log功能,即可以记录连接成功也可以记录连接失败的行为

* 能有效的防止DoS攻击(Denial of Services)

* 能限制同时运行的同意类型的服务器数目

* 能限制启动的所有服务器数目

* 能限制log文件大小

* 将某个服务绑定在特定的系统接口上,从而能实现只允许私有网络访问某项服务

* 能实现作为其他系统的代理。如果和ip伪装结合可以实现对内部私有网络的访问

它最大的缺点是对RPC支持的不稳定性,但是可以启动protmap,与xinetd共存来解决这个问题

编译安装
可以从www.xinetd.org下载xinetd,当前最新的版本是xinetd 2.1.8.8p3。默认编译和安装xinetd是非常简单的,按照如下的步骤进行:

#./configure; make; make install

即可完成。

在进行configure时,可以支持如下几个有用处的选项:

--with-libwrap : 如果使用该选项xinetd将会察看tcpd配置文件(/etc/hosts.{allow, deny})来进行访问控制,但是如果要利用该功能,系统上必须安装有tcp_wrapper和相关库。

--with-loadavg : 使用该选项,xinetd将而已处理max-load配置选项。从而在系统负载过重时关闭某些服务进程,来实现某些DoS攻击。

--with-inet6 : 使用该选项xinetd将支持IPv6。

配置
xinetd的默认配置文件是/etc/xinetd.conf。其语法和/etc/inetd.conf完全不同且不兼容。它本质上是/etc/inetd.conf和/etc/hosts.allow,/etc/hosts.deny功能的组合。/etc/xinetd.conf中的每一项具有下列形式

service service-name

{

……。

}

其中service是必需的关键字,且属性表必须用大括号括起来。每一项都定义了由service-name定义的服务。

Service-name是任意的,但通常是标准网络服务名,也可增加其他非标准的服务,只要它们能通过网络请求激活,包括localhost自身发出的网络请求。有很多可以使用的attribute,在下表中进行了详细的说明。稍后将描述必需的属性和属性的使用规则。

操作符可以是=,+=,或 -=。所有属性可以使用=,其作用是分配一个或多个值,某些属性可以使用+=或-=的形式,其作用分别是将其值增加到某个现存的值表中,或将其值从现存值表中删除。表10.10中说明了可以用后一种形式的属性。

Value是为给定属性设置的参数。

表1 扩展的lnernet服务进程属性

属 性
描述和允许值

Socket_type
使用的TCP/IP socket类型,值可能为stream(TCP), dgram(UDP), raw和seqpacket(可靠的有序数据报)

protocol
指定该服务使用的协议,其值必须是在/etc/protocols中定义的。如果不指定,使用该项服务的缺省协议。

Server
要激活的进程,必须指定完整路径

Server_args
指定传送给该进程的参数,但是不包括服务程序名

Port
定义该项服务相关的端口号。如果该服务在/etc/services中列出,它们必须匹配

Wait
这个属性有两个可能的值。如果是yes,那么xinetd会启动请的进程并停止处理该项服务的请求直到该进程终止。这是个单线程服务。如果是no,那xinetd会为每个请求启动的一个进程,而不管先前启动的进程的状态。这是个多线程服务

User
设置服务进程的UID,但是若xinetd的有效UID不是0,该属性无效

Group
设置进程的GID。若xinetd的有效UID不是0,这个属性无效

Nice
指定进程的nice值

Id
该属性被用来唯一地指定一项服务。因为有些服务的区别仅仅在于使用不同的协议,因此需要使用该属性加以区别。默认情况下服务id和服务名相同。如echo同时支持dgram和streama服务。设置id=echo_dgram和id=echo_streams来分别唯一标识两个服务

Type
可以是下列一个或多个值:RPC(对RPC服务),INTERNAL(由由xinetd自身提供的服务,如echo),UNLISTED(没有列在标准系统文件如/etc/rpc或/etc/service中的服务)

Access_time
设置服务可用时的时间间隔。格式是hh:mm_hh:mm; 如08:00-18:00意味着从8A.M到6P.M.可使用这项服务

Banner
无论该连接是否被允许,当建立连接时就将该文件显示给客户机

Flags
可以是以下一个或多个选项的任意组合:

REUSE:设置TCP/IP socket可重用。也就是在该服务socket中设置SO_REUSEADDR标志。当中断并重新启动xinetd

INTERCEPT:截获数据报进行访问检查,以确定它是来自于允许进行连接的位置。不能和INTERNAL服务和多线程服务不可使用该属性值

NORETRY:如果fork失败,不重试

IDONLY: 只有在远程端识别远程用户时才接受该连接(也就是远程系统必须运行ident服务器),该标记只适用于面向连接的服务。若没有使用USERID记录选项则该标记无效log_on_success和/或log_on_failure属性设置USERID值以使该值生效。仅用于多线程的流服务

NAMEINARGS:允许server_args属性中的第一个参数是进程的完全合格路径,以允许使用TCP_Wrappers

NODELAY:若服务为tcp服务,并且NODELAY标记被设置,则TCP_NODELAY标记将被设置。若服务不是tcp服务则该标记无效

Rpc_version
指定RPC版本号或服务号。版本号可以是一个单值或者一个范围中如2-3

rpc_number
如果RPC程序号不在/etc/rpc中,就指定它

Env
用空格分开的VAR=VALUE表,其中VAR是一个shell环境变量且VALUE是其设置值。这些值以及xinetd的环境都在激活时传送给服务程序。这个属性支持=和+=操作符

Passenv
用空格分开的xinetd环境中的环境变量表,该表在激活时传递给服务程序。设置no就不传送任何变量。该属性支持所有操作符

Only_from
用空格分开的允许访问服务的客户机表。表2种给出客户机语法。如果不为该属性指定一个值,就拒绝访问这项服务。该属性支持所有操作符。

No_access
用空格分开的拒绝访问服务的客户机表。表2给出客户机语法。该属性支持所有操作符

Instances
接受一个大于或等于1的整数或UNLIMITED。设置可同时运行的最大进程数。UNLIMITED意味着xinetd对该数没有限制。

Log_type
指定服务log记录方式,可以为:

SYSLOG facility[level]:设置该工具为daemon,auth,user或loca10-7。设置level是可选的,可以的level值为emerg,alert,crit,err,warning,notice, info, debug,默认值为info

<!--[if !supportEmptyParas]--> <!--[endif]-->

file[soft[hard]]:指定file用于记录log,而不是syslog。限度soft和hard用KB指定(可选)。一旦达到soft限,xinetd就登记一条消息。一旦达到hard限,xinetd停止登记使用该文件的所有服务。如果不指定hard限,它成为soft加1%,但缺省时不超过20MB.缺省soft限是5MB

Redirect
该属性语法为redirect=Ipaddress port。它把TCP服务重定向到另一个系统。如果使用该属性,就忽略server属性

<!--[if !supportEmptyParas]--> <!--[endif]-->

<!--[if !supportEmptyParas]--> <!--[endif]-->


Bind
把一项服务绑定到一个特定端口。语法是bind=Ipaddress。这样有多个接口(物理的或逻辑的)的主机允许某个接口但不是其他接口上的特定服务(或端口)

Log_on_success
指定成功时登记的信息。可能值是

PID:进程的PID。如果一个新进程没被分叉,PID设置为0。

HOST:客户机主机IP地址

USERID:通过RFC1413高用捕获客户机用户的UID。只可用于多线程流服务。

EXIT:登记进程终止和状态

DURATION:登记会话持续期

缺省时不登记任何信息。该属性支持所有操作符

Log_on_failure
指定失败时登记的信息。总是登记表明错误性质的消息。可能值是ATTEMPT:记录一次失败的尝试。所有其他值隐含为这个值。

HOST:客户机主机IP地址

USERID:通过RFC1413调用捕获客户机用户的UID。只

可用于多线程流服务。

RECORD:记录附加的客户机信息如本地用户,远程用户

和终端的类型。

缺省时不登记任何信息。该属性支持所有操作符。

Disabled
只可用于defaults项(参看本小节后面的defaults项),指定被关闭的服务列表,是用空格分开的不可用服务列表来表示的。它和在/etc/xinetd.conf文件中注释掉该服务项有相同的效果。


我们首先看一个简单的例子。例1是配置文件/etc/xinetd.conf的一个范例。这两种服务的定义看上去像/etc/inetd.conf的原因是因为它们是用itox工具从/etc/inetd.conf转换得来的,只把/etc/inetd.conf项对应转换成适当的xinetd语法。这样,这些属性(在大括号中的=号的左边)意义是非常直接的,其相关值(在大括号中的=号的右边)也是如此。

例1 文件/etc/xinetd.conf中的一部分

Serice ftp

{

Socket_type=stream

protocol=tcp

wait=no

user=root

server=root

Server_args= - 1 - a

}

Service telnet

{

Socket_type=stream

protocol=tcp

wait=tcp

user=root

server=/usr/sbin/in.telnetd


<!--[if !supportEmptyParas]--> <!--[endif]-->

创建/etc/xinetd.conf文件最容易的方法是用itox工具(该例假定当前工作目录是xinetd的编译目录):

# xinetd/itox -daemon_dir /usr/sbin >/etc/xinetd.conf。itox的参数-daemon_dir /usr/sbin指定服务程序的目录位置,如果实现了TCP_Wrappers,从/etc/inetd.conf中是不能确定它的,转换完成以后,就开始增加属性和值,以限制访问并增加登记,最后要手工修改/etc/xinetd.conf以充分利用xinetd的特性;否则,如果只把/etc/inetd.conf转换为/etc/xinetd.conf, xinetd的行为就和inetd一样了。

表1详述了在/etc/xinetd.conf中最常使用的一些属性和值。当然还有许多其他属性,详细配置选项可以在安装xinetd以后通过man xinetd.conf来得到。在本小节后面的“配置实例”中,将用一些例子阐明其中的许多属性。

表2 中给出only_from和no_access表的语法,定义了指定主机名,IP地址和网络的语法。注意表2中最后一项netmask的语法和之前看到的有所不同。它没有采用传统的十进制或十六进制netmask的表示方法,而是采用一个整数表示从netmask(用二进制表示)的最高位(最左端)开始起每位都为1的位数。因此,给定例子的netmask值设置为20,意味着其最左端的20位都设置为1,而余下12位设置为0,或

11111111 11111111 11110000 00000000

它是十进制netmask255.255.240.0的二进制表示。

<!--[if !supportEmptyParas]--> <!--[endif]-->

表2 /etc/xinetd.conf的访问控制表的语法

语 法
描 述

hostname
可解析的主机名。使用和这个主机名相关的所有IP地址

IPaddress
点和十进制形式的标准IP地址,如192.168.0.1

Net_name
/etc/networks中的网络名

x.x.x.0 x.x.0.0

x.0.0.0 0.0.0.0
0作为通配符看待。如项88.3.92.0匹配从88.3.92.0到88.3.92.255的所有IP地址。项0.0.0.0匹配所有地址

x.x.x.{a,b,…}

x.x{a,b,…}

x.{a,b,…}
指定主机表。如172.19.32.{1,56,59}意味着含IP地址172,19.32.1,172.19.32.56和172.19.32.59的表

Ipaddress/netmask
定义要匹配的网络或子网。如172.19.16.0/20匹配从172.19.16.0到172.19.31.255的所有地址


<!--[if !supportEmptyParas]--> <!--[endif]-->

在看了这些基本属性之后,下面我们仔细讨论那些必需的属性,特定服务和一些配置实例。

<!--[if !supportEmptyParas]--> <!--[endif]-->

必需的属性 对每种服务都必须指定某些属性。一些服务比其他服务需要更多属性,因为它们不被缺省定义(即不在/etc/services或/etc/rpc中)。表3列出了必需的属性。

<!--[if !supportEmptyParas]--> <!--[endif]-->

<!--[if !supportEmptyParas]--> <!--[endif]-->

表3必需的属性

语 法
描 述

Socket_type
所有服务

Wait
所有服务

User
在/etc/services或/etc/rpc中列出的服务

Server
非内部服务

Port
不在/etc/services中的非RPC服务

Protocol
不在/etc/services中的所有RPC服务和所有其他服务

Rpc_version
所有RPC服务

Rpc_number
不列在/etc/rpc中的任何RPC服务


<!--[if !supportEmptyParas]--> <!--[endif]-->

特定的xinetd服务 /etc/xinetd.conf文件中有4个特殊项。它们分别是defaults, servers,services和xadmin。Defaults项不是一项服务,且不需要前置service关键字(否则它会被当成称为defaults的服务对待)。这些特殊项在以下4小段中描述。

<!--[if !supportEmptyParas]--> <!--[endif]-->

Defaults项 /etc/xinetd.conf文件中的defaults项是实现为该文件中的所有服务指定某些属性的默认值。这些默认值可被每个服务项取消或修改。表4中列出可在defaults项中指定的属性。这个表也指明了具体服务项中可以修改哪些属性。

<!--[if !supportEmptyParas]--> <!--[endif]-->

表4 defaults可用的属性

属性
服务修改

Log_on_success

Log-on_failure

Only_from

No_access

Passenv
可以用=操作符改写或用+ =或 - =操作符修改

Instances

Log_type
可以用=操作符改写

disabled
可注释掉的服务,但disabled属性可用于某个服务项内


<!--[if !supportEmptyParas]--> <!--[endif]-->

例2是defaults项的一个实例。从中看到对所有服务而言,登记消息将通过loca14.info有选择地送到syslogd进程。对成功的服务连接,将登记PID,客户机IP地址,中止状态和连接时间。对不成功的连接企图,将登记客户机IP地址。每项服务的最大实例数设置为8。禁止两项服务:in.tftpd和in.rexecd。

defaults项从本质上提供了在整个文件中建立某些属性的默认值,它应用于没有设置这些属性的所有服务。

例2 /etc/xinetd.conf中defaults项的示例

Defaults

{

Log_type = SYSLOG loca14 info

Log_on_success = PID HOST EXIT DURATION

Log_on_failure = HOST

Instances =8

Disabled = in.tftpd in.rexecd

}


注释

如果在/etcxinetd.conf文件中没有defaults项,且之后决定增加这一项,你必须中止和重新启动xinetd以使defaults生效。这对任何要增加到/etc/xinetd.conf中的新服务也是正确的。它可以如下完成。

# kill-TERM xinetd

#/ usr/sbin/xinetd

或者如果使用了启动脚本,则只需要简单执行。

#/etc/rc.d/init.d/xinetd restart

<!--[if !supportEmptyParas]--> <!--[endif]-->

Servers项 servers 特殊服务是实现提供当前运行在服务器上的进程表,以及有关这些进程的确切信息。换句话说,它提供了活动连接的列表。这对排除故障和检查xinetd状态是个有用机制。例3显示了/etc/xinetd.conf文件中的一个实例servers项。注意这项服务的类型是INTERNAL,UNLISTED,这意味着它是xinetd的内部功能,且不列在/etc/services中。使用的端口是完全任意的。

例3 servers项的示例

Service servers

{

type = INTERNAL UNLISTED

Socket_type = stream

Protocol = tcp

Port = 9997

Wait = no

Only_from = 172.17.33.111

Wait = no

}


<!--[if !supportEmptyParas]--> <!--[endif]-->

注意这项服务仅用于特定IP地址172.17.33.111,它是服务器自身的IP地址。这表示不允许任何其他主机从这个服务器获得当前运行在服务器上的进程列表。这样做的原因是显而易见的:如果这条信息可被其他系统上的主机获取,基于对当前正在运行的进程的了解就加以利用。除用于调试之外,一般不要运行该服务,因为172.17.33.111上的任何用户通过执行例4中的telnet 172.17.33.111 9997都能获取这条信息。注意xinetd仅提供这条信息就退出,不提供交互连接。例4中的输出告诉我们有两个正在运行的telnet进程(第5行和第31行),一个进程PID为5931,另一个为5961(分别为第6行和第32行),有一个ftp进程(第18行),其运行PID为5960(第19行)。

例4 servers服务的输出示例

1

2
$ telnet topcat 9997

Trying 172.17.33.111……

<!--[if !supportEmptyParas]--> <!--[endif]-->

(续表)

3
Connected to topcat

4
Escape character is ‘^]’

5
telnet server

6
Pid=5931

7
Start_time=Sat Apr 17 10:32:15 1999

8
Connection info:

9
State=CLOSED

10
Service=telnet

11
Descriptor=20

12
Flags=9

13
Remote_address=10.48.3.2,39958

14
Alternative services=

15
Log_remote_user=YES

16
Writes_to_log=YES

17
<!--[if !supportEmptyParas]--> <!--[endif]-->


18
ftp server

19
Pid=5960

20
Start_time=Sat Apr 17 10:49:06 1999

21
Connection info:

22
State=CLOSED

23
Service=ftp

24
Descriptor=20

25
Flags=9

26
Remote_address=172.17.55.124,2320

27
Alternative services=

28
Log_remote_user=YES

29
Writes_to_log=YES

30
<!--[if !supportEmptyParas]--> <!--[endif]-->


31
telnet server

32
Pid=5961

33
Start_time=Sat Apr 17 10:49:20 1999

34
Connection info:

35
State=CLOSED

36
Service=telnet

37
Descriptor=20

38
Flags=9

39
Remote_address=172.17.1.3,35461

40
Alternative services=

41
Log_remote_user=YES

42
Writes_to_log=YES

43
<!--[if !supportEmptyParas]--> <!--[endif]-->


44
Connection closed by foreign host

45
$


<!--[if !supportEmptyParas]--> <!--[endif]-->

Services项 services特定项的目的是提供可用服务的列表。对services特定项来说,这是个有用的排除故障工具,但为了上述同样的安全因素,可能不会去用它。尽管如此,还是要看一看它如何工作。

例5是 services项的一个示例。端口号的选择也是任意的。也应注意访问限制于topcat,这是服务器自身的主机名。

例5 /etc/xinetd.conf中services项示例

Service services

{

type = INTERNAL UNLISTED

Socket_type = stream

protocol = tcp

port = 8099

wait = no

Only_ from = topcat

}


<!--[if !supportEmptyParas]--> <!--[endif]-->

对于servers服务来说,任何用户可执行telnet topcat 8099,并获得来自services服务的输出。例6给出了连接8099端口的实例信息信息。注意xinetd仅提供这条信息就退出,而不提供任何交互连接。

例6 查询services内部服务的输出

$ telnet topcat 8099

Trying 172.17.33.111……

Connected to topcat.

Escape character is ‘^]’

Servers tcp 9997

Services tcp 8099

ftp tcp 21

telnet tcp 23

Shell tcp 514

Login tcp 513

Talk udp 517

Ntalk udp 518

Pop-2 tcp 109

Pop-3 tcp 110

Imap tcp 143

Linuxconf tcp 98

Connection closed by foreign host.

$


<!--[if !supportEmptyParas]--> <!--[endif]-->

Xadmin项 这个特定服务项提供以交互方式获得services特定服务所提供信息的方法。例7是/etc/xinetd.conf项的一个示例(端口号的选择也是任意的),类似于services和servers服务,这项服务也没有口令或其他保护,所以要谨慎设置服务的only_from项,以增强安全性。

例7 xadmin项

Service xadmin

{

type = INTERNAL UNLISTED

socket_type = stream

protocol = tcp

port = 9967

wait = no

Only_from = topcat

}


<!--[if !supportEmptyParas]--> <!--[endif]-->

对前两个特定服务类型来说,你只需telnet到所列端口上,即telnet topcat 9967。和前两项服务不同,xadmin提供了一个交互环境。一旦连接到xadmin服务器上,就可执行5个命令。它们是help,show, run,bye和exit。Help命令显示其他命令以及一个简短的用法消息。Bye和exit命令都关闭这个连接。Show run和show avail命令分别提供servers和services提供的信息。

<!--[if !supportEmptyParas]--> <!--[endif]-->

警告

像前3段中指出的一样,这些特定服务servers, services和xadmin产生的信息可用于攻击系统。可能不需要一直运行这些服务,或许只当你调试时才需要。在任何时候,如果的确运行了这些服务,要确信用access_from和/或no_access配置了访问控制。也可以为这些服务使用bind属性以进一步限制访问。

<!--[if !supportEmptyParas]--> <!--[endif]-->

配置实例 这节中将看到一些不同的例子,与之相关的行为以及它们产生的登记消息。

访问控制 从一个简单的访问控制例子开始。在例10中,服务器topcat的login服务项允许IP地址以172开始但不以172.19开始的任何系统访问。这个例子包括了defaults部分。假定这一项用于login服务,且从客户机上用rlogin命令激活,让我们检查成功和不成功企图,以及它们产生的登记。

假定主机underdog 和IP地址是172.18.5.9。那么当Mary执行rlogin登记topcat时,会给予她访问权。这相成功的登录如例11所示。尽管例11说明了 Mary的动作产生的log内容。如例12所示,该例中的最后一项反映了当Mary拆除登录时的退出情况。可用PID跟踪某次会话的退出,只要你指明这个 PID将在/etc/xinetd.conf中登记。登记项如下:每个xinetd登记项记录日期和时间戳,之后服务器主机名,然后是xinetd,之后在括号中是xinetd的PID。例12中的第一条记录以start关键字开始,表明这个会话的开始,之后识别的激活进程(login),然后激活进程的 PID,最后是客户机地址。

例10 在/etc/xinetd.conf中rlogin service项的示例

Defaults

{

Log_type=SYSLOG loca14 info

Log_on_success=PID HOST EXIT DURATION

Log_on_failure=HOST

instances=8

}

Service login

{

Socket_type=stream

protocol=tcp

wait=no

user=root

flags=REUSE

Only_from=172.0.0.0

No_access=172.19.0.0

Olg_on_success+=USERID

Olg_on_failure+=USERID

server=/usr/sbin/in.ftpd

Server_args=-1 –a

}


例11 成功的rlogin企图

[mary@underdog]$ rlogin topcat

password:

last login:Wed Apr 14 17:45:02 from roadrunner

[mary@topcat]$


例12 和例11相关的登记项

Apr 15 11:01:46 topcat xinetd[1402]:START:login pid=1439

From=172.18.5.9

Apr 15 11:01:46 topcat xinetd[1439]:USERID:login OTHER:mary






apr 15 11:39:31 topcat xinetd[1402]:EXIT:login status:1 pid=1439 dura-

tion=2265(sec)


<!--[if !supportEmptyParas]--> <!--[endif]-->

第2项以USERID关键字开始,表明成功地发出了RFC1413调用。之后是服务名(login),远程系统对RFC1413调用(此时为OTHER)的响应,最后远程用户名(mary)。

这些log项的含义是很清楚的,但表4提供了这些关键字(如START,USERID和EXIT)和其含义的解释。

现在假定Joe 想在主机sly.no.good.org(IP地址为19.152.1.5)上使用rlogin。例13显示了这一结果。看上去Joe连接被拒绝,或者可能他想强入。让我们看一看例14中的这三次企图所产生的登记项。注意登记项不包括远程用户名,尽管我们在例10中用log_on_failure属性特别请求那个信息。这是因为远程主机sly.no.good.org没有运行identd或类似进程。因为主机sly.no.good.org不在例10中的 only_from表中,尽管在login服务项中增加了flags=IDONLY一项,它不会记录sly.no.good.org没有运行identd 的事实。仅当主机得到许可时,这样一项登记记录才会出现。

<!--[if !supportEmptyParas]--> <!--[endif]-->

表4 xinetd登记项的描述

登记关键词
格式和描述

START
START:service_id[pid=PID][from=Ipaddress]

当启动一项服务时记录该项。Service_id是服务名,像id属性指定的一样(如果不明确设置这个属性,它采用该服务参数的值:参看表10.10);PID是被激活进程的标识符,或者如果没有进程被激活,就为0(仅不灵log_on_

<!--[if !supportEmptyParas]--> <!--[endif]-->

Success指定了PID时才记录):Ipaddress是客户机的IP地址(仅当HOST是log_on_success时才记录)

EXIT
EXIT:service_id[type=s][pid=PID][duration=#(sec)]

仅当为log_on_success指定了EXIT时,若进程终止就记录这项。Service_id和PID项和以前一样。Type项记录退出状态或产生终止的信号。Duration捕获会话时间(秒数)且需要在log_on_success中说明DURATION选项

FAIL
FAIL:service_id reason[from=Ipaddress]

当失败的请求发生且至少为log_on_success属性指定了一个值时生成该项。Service_id如前。Reason是一个解释失败原因的简单词或短语。Ipaddress是客户机地址且需要为log_on_success属性设置HOST值才出现。

DATA
DATA:service_id data

仅当为log_on_failure指定了RECORD时才记录。Service_id如前。记录的data取决于服务,但通常包括远程用户名(如果可得到)和状态信息

USERID
USERID:service_id text

仅当为log_on_success或log_on_failure或者指定了USERID时,才记录这个住处。Service_id如前。Text包括客户机对RFC1413调用的响应且特别是远程用户名

NOID
NOID:service_id Ipaddress reason

仅当为flags属性设置了IDONLY值且至少为log_on_success或log_on_failure设置了USERID值时该项出现。Service_id如前。给出的Ipaddress是主机地址。Reason是失败状态


例13 来自未授权主机的失败rlogin企图

Sly.no.good.org $ rlogin topcat

Topcat:Connection reset by peer

Sly.no.good.org $ rlogin –1 paul topcat

Topcat:Connection reset by peer

Sly.no.good.org $ rlogin –1 mary topcat

Topcat:Connection reset by peer

Sly.no.good.org $


例 14 和例10-50相关的登记项

Apr 15 12:08:40 topcat xinetd[1402]:FAIL:login address from-19.152.1.5

Apr 15 12:08:52 topcat xinetd[1402]:FAIL:login address from-19.152.1.5

Apr 15 12:08:49 topcat xinetd[1402]:FAIL:login address from-19.152.1.5


有一个最后登记项要检查。注意例10中的instances属性设置为8。对第9个登录会话会发生什么?当第9个用户试图rlogin到topcat时,那个用户会看到下列错误消息

rcmd:topcat:address already in use

并且topcat中为这一事件记录的登记项是

Apr 15 13:37:33 topcat xinetd(1402):FAIL:login service_limit from-172.17.55.124

把这个记录和表4中的描述相对照,FAIL关键字之后是服务名,然后是对失败的解释(此时为service_limit),最后是客户机地址。

<!--[if !supportEmptyParas]--> <!--[endif]-->

使用bind属性 bind 属性允许把一个特定接口的IP地址和一个特定的服务关联。假定有一个内部ftp服务器,它通过匿名ftp为公司职员提供只读资源。再假定这个ftp服务器有两个接口,一个连接在公司环境中,另一个连接到专用内部网,通常只有在那个特定组中工作的职员可访问它。尽这个例子中只考虑基于接口提供两个不同ftp 服务的需求。例15在/etc/xinetd.conf中说明了两个ftp服务项。它可以实现所期望的功能。出于完整性再次提供了defaults部分。

注意每个ftp 服务项有一个唯一的id属性。对有相同名字的服务数目没有任何限制,只要每个有唯一的标识符。在这个例子中,为内部ftp服务器设置id属性为ftp,为外部匿名服务器设置id属性为ftp_chroot。注意在后一种情况下,激活的进程是/usr/sbin/anon/in.aftpd(对 TCP_Wrappers来说是twist),这和以前的服务是不同的。

例15 把服务绑定到特定地址上

Defaults

{

Log_type=SYSLOG loca14 info

Log_on_success=PID HOST EXIT DURATION

Instances=8

}

Service ftp

{

id=ftp

Socket_type=stream

protocol=tcp

wait=no

user=root

Only_from=172.17.0.0 172.19.0.0/20

bind=172.17.1.1

Log_on_success+=USERID

Log_on_failure+=USERID

server=/usr/sbin/in.ftpd

Server_args=-1 –a

}

Service ftp

{

id=ftp_chroot

Socket_type=stream

}

<!--[if !supportEmptyParas]--> <!--[endif]-->

Service telnet

{

Socket_type=stream

Wait=no

flags=REUSE

user=root

bind=172.17.33.111

server=usr/sbin/in.telnetd

Log_on_success=PID HOST EXIT DURATION USERID

Log_on_failure=RECORD HOST

}

Service telnet

{

Socket_type=stream

protocol=tcp

wait=no

flags=REUSE

user=root

bind=201.171.99.99

redirect=172.17.1.1 23

Log_on_success=PID HOST EXIT DURATION USERID

LOG_ON_FAILURE=record host

}


例 16 redirect的结果

$ telnet 201.171.99.99

Trying 201.171.99.99

Connected to 201.171.99.99

Escape character is‘^]’

UNIX(r) System V Release 4.0 (foghorn)

Login:


因为Linux对每个物理端口最多支持256个逻辑接口,因此理论上可以为系统上的每个物理地址代理256个不同的地址。

尽管redirect机制可能是非常有用的,但实现它时要小心。要确保在代理服务器和终端系统上进行登记。可是在高度受控的内部网络中,这个实现可能是方便的。

<!--[if !supportEmptyParas]--> <!--[endif]-->

包含TCP_Wrappers /etc/xinetd.conf 中包含TCP_Wrappers功能是如此简单,TCP_Wrappers的所有功能可通过xinetd包括进去,就像通过inetd一样。例17是 /etc/xinetd.conf文件的一个实例,它为许多服务使用了TCP_Wrappers。当属性服务器设置为/usr/sbin/tcpd后,那个服务将被包裹。注意这样的项总是把server_args属性设置为要激活的进程(全路径)。载讨论xinetd的编译时,用到了libwrap配置选项,但是无论是否用libwrap编译,例17中的配置文件都能发挥作用。用libwrap编译的作用是包含/etc/hosts.allow和 /etc/hosts.deny中的访问限制。例7所示提供了TCP_Wrappers的一组完整特征,banners,spawn,twist等。

例 17 在/etc/xinetd.conf中使用TCP_Wrappers

Defaults

{

Log_type=SYSLOG loca14 info

Log_on_success=PID HOST EXIT DURATION

Log_on_failure=HOST

instances=8

}

Service ftp

{

id=ftp

Socket_type=stream

protocol=tcp

wait=no

user=root

Only_from=172.17.0.0

Log_on_success+=USERID

Log_on_failure+=USERID

Access_times=8:00-16:30

server= /usr/sbin/tcpd

Server_args= /usr/sbin/in.ftpd –1 –a

}

Service telnet

{

Socket_type=stream

wait=no

flags=NAMEINARGS REUSE

User=root

Bind=172.17.33.111

server= /usr/sbin/tcpd

Server_args= /usr/sbin/in.telnetd

Log_on_success=PID HOST EXIT DURATION USERID

Log_on_failure=RECORD HOST

}

Service telnet

{

Socket_type=stream

protocol=tcp

wait=no

flags=REUSE

user=root

bind=201.171.99.99

redirect=172.17.1.1 23

Log_on_success=PID HOST EXIT DURATION USERID

Log_on_failure=RECORD HOST

}







xinetd进程
xinetd 进程接受若干参数。这些参数可被特定服务default中的属性改写,或在一个或多个服务的单个属性项改写。然而,这里给出的所有参数或它们的缺省值控制 xinetd自身的行为。例如,如果filelog标记指定为xinetd,那么将在那里登记所有状态转换消息,尽管 /etc/xinetd.conf文件中为和服务相关消息指定了其他登记位置。可用参数列在表5中。

应注意xinetd报告的所有状态信息,总是出现在-syslog或-filelog标记指定的登记文件中,不管设置如何,即通过defaults还是在/etc/xinetd.conf中。如果要在一个文件中捕获xinetd的PID,可以用

xinetd –pid 2> /var/run.xinetd.pid

和xinetd一起使用的可用信号 xinetd 进程也基于收到的信号采取特定的行动。表16描述了它接受的每个信号的功能。注意每当增加了新服务或defaults项,或每当改变了任何服务的如下属性:protocol,socket_type,type或wait时,必须用SIGTERM(或更简单的TERM)信号中止xientd。每当给 xinetd发布一个软性或硬性重配置信号时,将写入例19中所示类型的登记项。这个特定例子是硬性重配置的结果。注意这次硬性重配置的结果是中止了一项服务(用dropped=1标识)。

<!--[if !supportEmptyParas]--> <!--[endif]-->

表 5 xinetd的标记

标 记
描 述

-d
调试模式。输出可和调试器如gdb一起使用

-sysllog facility
指定syslogd工具。是daemon, auth, user和loca10-7其中之一

-filelog file
指定登记写到file而不是syslog中。必须是完整路径名

-fconfig_file
指定配置文件。必须是完整路径名。缺省是/etc/xinetd.conf

-pid
把PID写入标准错误中

-loop rate
指定每秒钟分叉的进程数。缺省是10.对较快机器来说可能希望改变它

-reuse
设置可重用的TCP socket, 这意味着以前的实例运行时也可启动其他进程。当和flags属性一起使用时,有更特殊的服务控制(参看表10.10)

-limit numproc
限制由xinetd启动的同时运行的进程总数为numproc

-
限制同时发生的RFC1413请求数为limit

-shutdownprocs limit
当log_on_failure属性中使用了RECORD值时,xinetd分叉称为shutdown的服务以收集服务终止时的信息。该选项限制同时运行的shutdown进程总数为limit

-cc interval
使xinetd每隔interval秒运行对其内部状态的一致性检查。用killall –IOT xinetd可手工实现


表18 xinetd信号

信 号
作 用

SIGUSR1
软性重配置。重读/etc/xinetd.conf并作相应调整

SIGUSR2
硬性重配置。重读/etc/xinetd.conf并杀死和配置文件中的建立准则不再匹配的所有进程。例如,如果一个客户机连接到这个服务器且又增加到no_access表中,那么这个信号会终止该客户机的会话

SIGQUIT
终止xinetd但不终止它分叉的任何进程

SIGTERM
终止xinetd分叉的所有进程;然后终止xinetd

SIGHUP
把xinetd状态信息写到/tmp/xinetd.dump中

SIGIOT
检查内部数据库毁坏情况并报告结果


<!--[if !supportEmptyParas]--> <!--[endif]-->

例19 xinetd硬性重配置的登记记录

Apr 15 14:42:31 topcat xinetd[1402]:Starting hard reconfiguration

Apr 15 14:42:31 topcat xinetd[1402]:readjusting service servers

Apr 15 14:42:31 topcat xinetd[1402]:readjusting service servces

Apr 15 14:42:31 topcat xinetd[1402]:readjusting service telnet

Apr 15 14:42:31 topcat xinetd[1402]:readjusting service shell

Apr 15 14:42:31 topcat xinetd[1402]:readjusting service login

Apr 15 14:42:31 topcat xinetd[1402]:readjusting service talk

Apr 15 14:42:31 topcat xinetd[1402]:readjusting service ntalk

Apr 15 14:42:31 topcat xinetd[1402]:readjusting service pop-2

Apr 15 14:42:31 topcat xinetd[1402]:readjusting service pop-3

Apr 15 14:42:31 topcat xinetd[1402]:readjusting service imap

Apr 15 14:42:31 topcat xinetd[1402]:readjusting service linuxconf

Apr 15 14:42:31 topcat xinetd[1402]:readjusting service ftp

Apr 15 14:42:31 topcat xinetd[1402]:Reconfigured:new=1 old=12 dropped=1 (services)


注释

确定某个修改的/etc/xinetd.conf文件被读的最可靠方式是停止并重启动xinetd进程。最好用SIGTERM信号中止xinetd。如这节中描述的,发给xzinetd一个SIGTERM使它中止(用SIGKILL或信号号9)其控制之下的每个进程。有时在xinetd的子进程中止之前有一个延时,这意味着如果杀死并立即重启动xinetd,它不可能绑定所有端口(对此xinetd的登记文件----而不是这项服务指定的登记文件----中含一个错误消息)。这就是为什么sleep3命令出现在例中的stop和start命令间的脚本中。对TCP服务如telnet和ftp用flags=REUSE属性及其值或指定xinetd自身的-reuse选项可完全消除这个问题。
回复

使用道具 举报

发表于 2005-4-21 18:13:48 | 显示全部楼层
够消化一阵子的了
回复

使用道具 举报

发表于 2005-4-21 18:25:43 | 显示全部楼层
够强!
回复

使用道具 举报

 楼主| 发表于 2005-4-21 21:42:29 | 显示全部楼层
斑竹果然是博学多才,在下佩服!佩服!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

GMT+8, 2024-11-3 02:19 , Processed in 0.113354 second(s), 15 queries .

© 2021 Powered by Discuz! X3.5.

快速回复 返回顶部 返回列表