xinetd服务介绍及配置 – 徐霁的博客

内容纲要

转自：http://blog.51cto.com/wushank/1155965

xinetd(eXtended InterNET services daemon)

一、xinetd的功能介绍：xinetd提供类似于inetd+tcp_wrapper的功能，但是更加强大和安全。它能提供以下特色：* 支持对tcp、udp、RPC服务(但是当前对RPC的支持不够稳定)* 基于时间段的访问控制* 功能完备的log功能，即可以记录连接成功也可以记录连接失败的行为* 能有效的防止DoS攻击(Denial of Services)* 能限制同时运行的同一类型的服务器数目* 能限制启动的所有服务器数目* 能限制log文件大小* 将某个服务绑定在特定的系统接口上，从而能实现只允许私有网络访问某项服务* 能实现作为其他系统的代理。如果和ip伪装结合可以实现对内部私有网络的访问它最大的缺点是对RPC支持的不稳定性，但是可以启动portmap，与xinetd共存来解决这个问题。 二、使用xinetd启动守护进程原则上任何系统服务都可以使用xinetd，然而最适合的应该是那些常用的网络服务，同时，这个服务的请求数目和频繁程度不会太高。像DNS和Apache就不适合采用这种方式，而像FTP、 Telnet、SSH等就适合使用xinetd模式，系统默认使用xinetd的服务可以分为如下几类。① 标准Internet服务：telnet、ftp。② 信息服务：finger、netstat、systat。③ 邮件服务：imap、imaps、pop2、pop3、pops。④ RPC服务：rquotad、rstatd、rusersd、sprayd、walld。⑤ BSD服务：comsat、exec、login、ntalk、shell、talk。⑥ 内部服务：chargen、daytime、echo、servers、services、time。⑦ 安全服务：irc。⑧ 其他服务：name、tftp、uucp。具体可以使用xinetd的服务在/etc/services文件中指出。 三、xinetd的主配置文件：/etc/xinetd.conf

1.内容格式如下：

注：那个 assign_op 主要有三种形式，分别如下：

= ：表示后面的设定参数就是这样啦！
+= ：表示后面的设定为『在原来的设定集合中里头加入新的参数』
-+ ：表示后面的设定为『在原来的参数集合中舍弃这里输入的参数！』

接下来，再来说一说那些 attribute 与 value ！

2.xinetd共有45个属性，你可以通过man xinetd.conf获得英文原文，属性列表如表4-3所示。

表4-3 xinetd的属性列表

^属性选项 ^功能描述

^id ^{该属性被用来唯一地指定一项服务。因为有些服务的区别仅仅在于使用不同的协议，因此需要使用该属性加以区别。默认情况下，id和服务名相同。如}^echo^同时支持^dgram^和^stream^{服务。设置}^{id=echo_dgram}^{和id=echo_stream来分别唯一标志两个服务}

^type ^{可以是下列一个或多个值。} ^RPC：^{RPC类型的服务。} ^{INTERNAL：由}^xinetd^{自身提供的服务，如}^echo。^{UNLISTED：没有列在标准系统文件如}^/etc/rpc^或^{/etc/service中的服务}

^flags ^{可以是以下一个或多个选项的任意组合。} ^{REUSE：设置}^{TCP/IP socket}^{可重用。也就是在该服务}^socket^中设置^SO_REUSEADDR^{标志。当中断}^时重新^启动^xinetd。^{INTERCEPT：截获数据包进行访问检查，以确定是否来自于允许进行连接的位置。}^{INTERNAL服务和多线程服务不可使用该属性值。}

续表

^属性选项 ^功能描述

^flags ^{NORETRY：如果}^fork^{失败，}^不重试。 ^{IDONLY：只有在远程端识别远程用户时才接受该连接（也就是远程系统必须运行}^ident^{服务器），该标记只适用于面向连接的服务。若没有使用}^USERID^{记录选项，则该标记无效，}^{log_on_success}^或^{log_on_failure}^{属性设置}^{USERID值以使该值生效。仅用于多线程的流服务。} ^{NAMEINARGS：允许}^server_args^{属性中的第一个参数}^是进程^{的完全合法路径，此时，}^server^属性采用^inetd^{的方式来指定（此标签的作用是表明该服务采用}^tcpd^{的方式来处理，而不是}^tcp^wrapper^{，参见}^{NOLIBWRAP标记）。} ^NODELAY：^{若服务}^为^tcp^{服务，并且}^NODELAY^{标记被设置，则}^TCP_NODELAY^{标记将被设置。}^若服务^{不是}^{tcp服务，则该标记无效。} ^{DISABLE：具有}^DISABLE^{标记的服务表示被禁用。该标记将覆盖}^enable^{的指定，即如果你指定了}^“^enable=foo^”^{，若}^foo^具有^DISABLE^{标记，那么}^{foo仍将被禁用。使用了该标记的服务不会被提醒。}^{KEEPALIVE：如果一个}^tcp^{服务设置了}^KEEPALIVE^{标记，那么该服务的}^socket^{将被设置}^SO_KEEPALIVE^{标记，对非}^{TCP类型的服务设置该标记无任何作用。}

^flags ^{NOLIBWRAP：禁用}^tcpwrap^{库来决定}^{一个服务的请求访问控制。}^像^xinetd^{，需要长时间的运行（系统启动后一直运行），一直调用}^libwrap^{函数库是不可取的，这种类型的服务就需要设置该标记，它们可以直接调用而无须调用}^libwrap^{函数库来控制}^{访问请求（参见}^{NAMEINARGS标记）。}^{SENSOR：该标记的作用是使用一个传感器（}^SENSOR^{）来代替当前的服务。使用该标记需要注意几个问题：其一，你应当确认该服务是你不需要的或者是你不想提供该服务；其二，它不能觉察秘密的扫描动作；其三，它将觉察该服务指定端口的请求，并记录到作用于全局的}^no_access^{列表中，这就使得请求过该服务的}^IP^在^deny_time^{指定的时间过期之前一直都拒绝访问；其四，它还使得}^xinetd^{认为该服务的}^server^{属性是}^INTERNAL^{；其五，如果使用了该标记的}^socket_type^为^stream^{的服务设置，你需要设置}^wait^为no

^disable ^{可以设置为yes}^或^no^{，设置为}^yes^{将禁用一个服务，详见}^flags^的^{disable标签}

^socket_type ^{使用的TCP/IP socket}^类型，^值可能^为^stream^（^TCP^），^dgram^（^UDP^），^raw^和^{seqpacket（可靠的有序数据包）}

^protocol ^{指定该服务使用的协议，其值必须是在/etc/protocols中定义的。如果不指定，使用该项服务的默认协议}

^wait ^{这个属性有两个可能的值。如果是yes}^，那么^xinetd^{会启动对方请求的进程，并停止处理该项服务的其他请求直到该进程终止，适合于单线程服务；如果是}^no^，那^{xinetd会为每个请求启动的一个进程，而不管先前启动的进程的状态，适合于多线程服务}

^user ^{设置服务进程的UID}^{。若}^xinetd^的有效^UID^不是^{0，该属性无效}

^group ^{设置进程的GID}^。若^xinetd^的有效^UID^{不是}^{0，该属性无效}

^instances ^{接受一个大于或等于1}^的整数或^UNLIMITED^{。设置可同时运行的最大进程数。}^UNLIMITED^意味着^{xinetd对该数没有限制}

^nice ^{指定进程的nice值。它决定了服务的优先级，参数值是某个数字，可以为负数}

^server ^{要激活的进程，必须指定完整的路径}

^server_args ^{指定传送给该进程的参数，但是不包括服务程序名}

^only_from ^{用空格分开的允许访问服务的客户机列表。如果不为该属性指定一个值，就拒绝任何人访问这项服务。该属性支持所有操作符。访问控制表的语法如下：} ^{a）用数字表示的}^IP^{地址，格式为}^{%d. %d. %d. %d}^{。如果最右边的一位是}⁰^{，将被看作通配符。举例来说，}^10.35.1.0^{表示}^10.35.1^{段内的任何地址都满足条件；如果地址是}^0.0.0.0^{，则匹配所有的}^IP地址。 ^{b）分解列出的}^IP^{地址，格式为}^{%d. %d. %d}^.{^{%d. %d}^…^}^{。当然，并不是一定要四个部分都列出，例如，}^{%d. %d.{ %d. %d}^…^}^{，这样的格式也是可以的，然而，被分解列出的部分必须在最后面，例如，}^{%d.{ %d. %d}^…^{}.%d.%d，这样的格式是不允许的。}^{c）网络名。}^{/etc/networks中的网络名。}

续表

^属性选项 ^功能描述

^only_from ^{d）主机名或域名。当一个}^IP^{地址连接到}^xinetd^{上的时候，它会对这个}^{IP进行反向解析，得出相应的主机名，然后与指定的主机名进行比较，查看是否匹配。当然也可以使用域名，道理是一样的。}^{e）网络}^/^{子网。格式为}^{IP Address/netmask}^{，例如，1.2.3.4/32}

^no_access ^{用空格分开的拒绝访问服务的客户机列表}^{。该属性支持所有操作符，访问控制表的语法参见}^only_from。^Only_from和^no_access^{决定了一个远程连接能否访问某个服务。如果这两个属性都没有设置，那么任何人都可以请求该服务；如果都设置了，那么，最匹配的那个记录优先。例如，你在}^only_from^{中设定了}^10.35.1.0^{可以访问，然后又在}^no_access^{中设定}^10.35.1.10^{禁止访问，那么，}^10.35.1^{段内除了}^10.35.1.10^外的^{IP地址都可以访问}

^access_time ^{设置服务的可用时段，也就是说，在哪一段时间里可以使用本服务}^。格式是^hh:mm_hh:mm^;^如⁰⁸^：^00-18^：⁰⁰^{，意味着从}^8AM^到^{6PM可使用这项服务}

^log_type ^{指定服务log的记录方式。} ^{SYSLOG facility[level]：设置}^facility^为^daemon^，^auth^，^user^或^local0-7^；^level^{是可选的，可用的}^level^值为^emerg^，^alert^，^crit^，^err^，^warning^，^notice^，^info^，^debug^{，默认值为}^info。^{file[soft[hard]]：指定用}^file^记录^log^，而不是^syslog^{。限度}^soft^和^hard^用^KB^{指定（可选）。一旦达到}^soft^限，^xinetd^{就登记一条消息。一旦达到}^hard^限，^xinetd^就^{停止登记使用该文件的所有服务。如果不指定}^hard^限，它为^soft^加¹^%^{，但默认时不超过}^20MB^，默认^soft^限是5MB

^{log_on_success} ^{指定成功时登记的信息，默认时不登记任何信息。该属性支持所有操作符。可能的值有以下几种。} ^{PID：进程的}^PID^{。如果一个新进程没被分叉，}^PID^设置为^0。 ^{HOST：客户机}^IP地址。 ^{USERID：通过}^RFC1413^{调用捕获客户机用户的}^{UID。只可用于多线程的流服务。} ^{EXIT：登记进程终止的状态。}^{DURATION：登记会话持续期}

^{log_on_failure} ^{指定失败时登记的信息。总是登记表明错误性质的消息，默认时不登记任何信息。该属性支持所有操作符。可能的值是有以下几种。} ^{ATTEMPT：记录一次失败的尝试，所有其他值隐含为这个值。} ^{HOST：客户机}^IP地址。 ^{USERID：通过}^RFC1413^{调用捕获客户机用户的}^{UID。只可用于多线程的流服务。}^{RECORD：记录附加的客户机信息，如本地用户、远程用户和终端的类型}

^rpc_version ^指定RPC^{版本号或服务号。版本号可以是一个单}^值或者^{一个范围，如2~3}

^rpc_number ^如果RPC^{程序号不在}^{/etc/rpc中，就指定它}

^env ^{用空格分开的VAR=VALUE}^表，其中^VAR^是一个^shell^{环境变量，}^{VALUE是其设置值。这些设置在服务被激活时被追加到服务的环境变量中。这个属性支持＝和＋＝操作符}

^passenv ^{用空格分开的xinetd}^{环境中的环境变量表，该表在激活时传递给服务程序。如果设置的值为空就不传送任何变量（除了在}^{env中指定的变量）。该属性支持所有操作符}

^port ^{定义该项服务相关的端口号。如果该服务在/etc/services中列出，它们必须匹配}

^redirect ^{该属性语法为redirect=Ipaddress port}^。它把^tcp^{服务重定向到另一个系统。如果使用该属性，就忽略}^{server属性}

^bind ^{把一项服务绑定到一个特定界面。语法是bind=ipaddress/interface}^{。这意味着你的}^{telnet服务可以监听一个本地的安全的端口，而不是一个外部的界面。或者，同一个端口在某个网络界面上可以做某件事情，同时，在另一个界面上可以做完全不同的事情}

^interface ^{等同于bind}

^banner ^{无论该连接是否被允许，当建立连接时就将该文件显示给客户机}

^{banner_success} ^{当连接授权通过时显示}^{banner_success指定的文件中包含的信息}

续表

^属性选项 ^功能描述

^banner_fail ^{当客户端的请求违反控制规则时显示}^{banner_fail指定的文件中包含的信息，以告知用户他们正在试图请求不被允许的服务}

^per_source ^{参数值可以}^{为整数或者}^UNLIMITED^{关键字。它表示每一个}^IP^{地址上最多可以建立的实例数目。本属性也可以定义在}^{defaults部分}

^cps ^{用来设定连接速率。它需要两个参数，第一个参数表示每秒可以处理的连接数，如果超过了这个连接数时，之后}^{进入的连接将被暂时停止处理；第二个参数表示停止处理}^{多少秒后，继续处理先前暂停处理的连接}

^max_load ^{用一个浮点数作为负载系数，当负载达到这个数目的时，该服务将停止处理后续的连接}

^groups ^{可以设置为yes}^或^no^{。如果设置为}^yes^{，将允许对该服务起作用的组中包含的用户来访问，如果设置为}^no^{，将设置服务进程的}^GID^{。如果}^xinetd^的有效^GID^不是⁰^{，则该属性无效。在}^BSD^{类的系统上，很多服务需要设置该属性为}^yes^{，这个属性也可以设置在}^{defaults部分}

^umask ^{设置服务所继承的umask}^。参数^值应该^{是一个八进制数字，该属性也可以设置到}^defaults^项中。^xinetd^自己的^umask^{默认是}⁰²²^{，如果你没有设置}^umask^{属性，那么所有}^xinetd^的^{子进程}^的^umask^将都是022

^enabled ^{其参数值是一个服务名称的列表，表示该列表中的服务将被启用，其余的则不被启用。然而，如果某个服务设置使用了disable}^{或者}^DISABLE^标记（^flag^{），即使该服务被设置在}^enabled^{列表中，也不会被启用。参见}^disable^属性和^flags^的^{DISABLE标记}

^disabled ^{只可用于defaults}^{项，指定被关闭的服务列表，是用空格分开的、}^不^{可用的服务列表来表示的。它和在}^{/etc/xinetd.conf}^文件中^{注释掉该服务项有相同的效果}

^include ^{使用 “include /etc/xinetd.d/service_name}^{”这样的格式来引入一个文件。这跟直接将引入文件的内容放到}^xinetd.conf^{中是不同的，因为那里默认已经有了}^include^{指令。需要注意的是，其一，被引入文件的格式应该是跟}^{xined.conf格式相同；其二，不可以在某个服务的声明部分使用此指令，应当放在声明之外的地方}

^includedir ^{使用 “includedir}^{/etc/xinetd.d}^{”这样的格式引入一个目录作为}^xinetd^{配置文件的存放目录。指定目录下除了文件名包括点号（}^.^{）或者以引号（}^{“ ”}^{）结束的文件，都将视作}^xinetd^{的服务配置文件。跟}^{include指令一样，该指令也不可以放在服务的声明部分}

^rlimit_as ^{设置服务的地址资源限制。参数值应该}^{是以字节为单位的正整数或者}^UNLIMITED^{关键字。由于}^libc^malloc^{的实现机制，在}^Linux^{系统上设置该属性比设置}^rlimit_rss^、^rlimit_data^和^rlimit_stack^{属性更有效，这个资源限制的属性只可以在}^{Linux系统上设置}

^rlimit_cpu ^{设置服务最多可占用的CPU}^{秒数。参数}^值应该^{是以秒为单位的正整数或者}^{UNLIMITED关键字}

^rlimit_data ^{设置服务的最大数据量。参数值应该}^{是以字节为单位的正整数或者}^{UNLIMITED关键字}

^rlimit_rss ^{设置服务的最大常驻内存。参数值应该}^{是以字节为单位的正整数或者}^{UNLIMITED关键字}

^rlimit_stack ^{设置服务的最大堆栈大小。参数值应该}^{是以字节为单位的正整数或者}^{UNLIMITED关键字}

^deny_time ^{设置对于所有IP}^{，所有服务的访问被禁用的时间长度。参数}^值可以^{是以分钟为单位的正整数、}^FOREVER^和^NEVER^{。如果你设置为}^FOREVER^，在^xinetd^{重启之前一直有效；}^NEVER^{只对那些非法的}^IP^{地址有效；数字一般设置为}⁶⁰^{，设置为这个数值基本就可以防范}^DoS^{攻击了。需要注意的是，这个标记必须与}^SENSOR^{标记（}^{flags）结合使用}

3．基本属性

上面的列表是xinetd可用的所有属性，然而，针对一个服务并不需要指定上面所有的属性，其实必需的属性只有几个，如表4-4所示。表4-4 xinetd设定服务必需的属性

^xinetd^{设定服务必需的属性}

^属^性 ^适用范围

^socket_type ^所有服务

^user ^{Non_internal service only}^{非内部服务}

^server ^{Non_internal service only}^{非内部服务}

^wait ^所有服务

^protocol ^不在^{/etc/services}^{中的所有}^RPC^{服务和所有其他服务}

^rpc_vision ^所有^RPC^{服务}

^rpc_number ^不列在^/etc/rpc^{中的任何}^RPC^服务

^port ^不在^{/etc/services}^{中的非}^RPC^服务

4．支持多操作符的属性

对于大多数的服务而言，在针对一个服务的设定中操作符只能出现一次，并只支持＝操作符，然而，下面的六个属性可以支持多个操作符，如表4-5所示。表4-5 支持多操作符的属性

^{支持多操作符的属性}

^属^性 ^支持范围

^only_from ^{支持所有操作符}

^no_access

^{log_on_success}

^{log_on_failure}

^passenv

^env ^不支持^-⁼^{操作符}

5．默认属性

defaults项是实现为所有服务指定某些属性的默认值。这些默认值可被每个服务项取消或修改。表4-6列出可在defaults项中指定的属性。这个表也指明了具体服务项中可以修改哪些属性。表4-6 可用的defaults属性

^可用的^defaults^{属性}

^属^性 ^适用范围

^{log_on_success} ^可以用⁼^{操作符改写，或用}⁺⁼^或^-⁼^{操作符修改}

^{log_on_failure}

^only_from

^no_access

^passenv

^instances ^可以用⁼^{操作符改写}

^log_type

^disabled ^{注销掉的服务}

^enabled ^{指定启用的服务}

6．disabled与enabled

前者的参数是禁用的服务列表，后者的参数是启用的服务列表。他们的共同点是格式相同（属性名、服务名列表与服务中间用空格分开，例如disabled = in.tftpd in.rexecd），此外，它们都是作用于全局的。如果在disabled列表中被指定，那么无论包含在列表中的服务是否有配置文件和如何设置，都将被禁用；如果enabled列表被指定，那么只有列表中的服务才可启动，如果enabled没有被指定，那么disabled指定的服务之外的所有服务都可以启动。

7．注意问题

① 在重新配置的时候，下列的属性不能被改变：socket_type、wait、protocol、type；② 如果only_from和no_access属性没有被指定（无论在服务项中直接指定还是通过默认项指定），那么对该服务的访问IP将没有限制；③ 地址校验是针对IP地址而不是针对域名地址。

四、xinetd能有效地防止拒绝服务攻击（Denial of Services）的原因如下：

    1．限制同时运行的进程数
    通过设置instances选项设定同时运行的并发进程数：
    instances＝20
    当服务器被请求连接的进程数达到20个时，xinetd将停止接受多出部分的连接请求。直到请求连接数低于设定值为止。
    2．限制一个IP地址的最大连接数
    通过限制一个主机的最大连接数，从而防止某个主机独占某个服务。
    per_source＝5
    这里每个IP地址的连接数是5个。
    3．限制日志文件大小，防止磁盘空间被填满
    许多攻击者知道大多数服务需要写入日志。入侵者可以构造大量的错误信息并发送出来，服务器记录这些错误，可能就造成日志文件非常庞大，甚至会塞满硬盘。同时会让管理员面对大量的日志，而不能发现入侵者真正的入侵途径。因此，限制日志文件大小是防范拒绝服务攻击的一个方法。
    log_type FILE.1 /var/log/myservice.log 8388608 15728640
    这里设置的日志文件FILE.1临界值为8MB，到达此值时，syslog文件会出现告警，到达15MB，系统会停止所有使用这个日志系统的服务。
    4．限制负载
    xinetd 还可以使用限制负载的方法防范拒绝服务攻击。用一个浮点数作为负载系数，当负载达到这个数目的时候，该服务将暂停处理后续的连接。
    max_load = 2.8
    上面的设定表示当一项系统负载达到2.8时，所有服务将暂时中止，直到系统负载下降到设定值以下。
    说明要使用这个选项，编译时应加入“--with-loadavg”，xinetd将处理max-load配置选项，从而在系统负载过重时关闭某些服务进程，来实现防范某些拒绝服务攻击。
    5．限制所有服务器数目（连接速率）
    xinetd 可以使用cps选项设定连接速率，下面的例子：
    cps = 25 60
    上面的设定表示服务器最多启动25个连接，如果达到这个数目将停止启动新服务60秒。在此期间不接受任何请求。
    6．限制对硬件资源的利用
    通过rlimit_as和rlimit_cpu两个选项可以有效地限制一种服务对内存、中央处理器的资源占用：
    rlimit_as = 8M
    rlimit_cpu=20
    上面的设定表示对服务器硬件资源占用的限制，最多可用内存为8MB，CPU每秒处理20个进程。
    xinetd的一个重要功能是它能够控制从属服务可以利用的资源量，通过它的以上设置可以达到这个目的，有助于防止某个xinetd服务占用大量资源，从而导致“拒绝服务”情况的出现。

当然上面的参数不需要每个都设定啦！只要设定需要的就可以啦！而在 /etc/xinetd.conf 这个文件中，一定会看到『 includedir = /etc/xinetd.d 』这一行！这说明的是，除了 /etc/xinetd.conf 之外，所有在 /etc/xinetd.d 的文件都是可以用来设定的啦！

五、用telnet来举例说明：

/etc/xinetd.d/telnet，内容如下：

上面的表格中，已经说明了每一项参数的意义！如果原本的默认值你并不满意，那么你可以修改成比较安全与多一点机制。假设你这个 Linux 是一部主机，而且他有两块网络接口，分别是对外的 140.116.44.125 与对内的 192.168.0.254 这两个，如果你想要让对内的接口限制较松，而对外的限制较严格，你可以这样的来设定呢：

对内较为松散的限制设定：

对外较为严格的限制设定：

呵呵！如上面的设定，我们可以将 telnet 的启动项目进行更多的限制！如此一来，将有助于我们的安全防护呢！尤其如果可以针对不同的接口来设定，嘿嘿！就更加的棒啰！不过，请注意喔！如果照上面的设定，那么您的主机上面将会开了两个 23 port 的接口，分别是给两个接口来使用的呢！嗯！真好玩?同样的，你也可以针对自己的喜好来设定你的其它 daemon 使他挂在 xinetd 底下呢！

六、SENSOR + DENY_TIME的使用

使用rlogin和krb5-telnet来进行实验：

1、yum install rsh-server -y

2、yum install krb5-workstation -y

3、对krb5-telnet进行配置：

service telnet

{
disable    = no #将telnet服务设置为启用。如果disable = yes 表示禁用服务。
flags      = SENSOR #设置为SENSOR，拒绝条件触发后，将在全局生效，即所有被xinetd托管的服务都有效
deny_time = 2       #拒绝2分钟
no_access = 192.168.0.3   #拒绝的IP范围
socket_type = stream
wait       = no
user       = root   #指定程序用什么身份来执行
server     = /usr/sbin/in.telnetd   #xinetd服务托管的程序，当被触发时就启动该程序来监听
access_times = 9:00-18:00    #允许访问的时间段为早上9点到下午6点
bind       = 192.168.0.100   #在指定的网络接口上监听（在有多个网卡多个IP时，可以精确控制）
cps        = 25 30    #在同一时刻，有25个连接数，则暂停连接30秒
per_source = 15       #限制每个源IP最大只能有15个并发连接
}
具体讲讲一下三行：
flags      = SENSOR
deny_time = 2
no_access = 192.168.0.3
作用：禁止192.168.0.3的IP来使用telnet连接本机，如果他telnet连接了本机，那么被xinetd所管理的全部服务都禁止192.168.0.3来访问，禁止访问的时间为2分钟。SENSOR模式表示让xientd所管理的全部服务都生效改配置。

4、进行测试：telnet 192.168.0.y；rlogin 192.168.0.y

七、向xinetd添加新服务

例：添加一个TCP服务，开启26端口的服务程序wushank

1、在/etc/services文件中添加服务和端口信息：

wushank 26/tcp #test

2、在/etc/xinetd.d目录下生成服务文件,具体如下：

3、创建/bin/wushank脚本：

#!/bin/bash
date +%F" "%T
echo "welcome to you"

4、重启服务：service xinetd restart

5、测试结果如下：

^属性选项	^功能描述
^id	^{该属性被用来唯一地指定一项服务。因为有些服务的区别仅仅在于使用不同的协议，因此需要使用该属性加以区别。默认情况下，id和服务名相同。如}^echo^同时支持^dgram^和^stream^{服务。设置}^{id=echo_dgram}^{和id=echo_stream来分别唯一标志两个服务}
^type	^{可以是下列一个或多个值。} ^RPC：^{RPC类型的服务。} ^{INTERNAL：由}^xinetd^{自身提供的服务，如}^echo。^{UNLISTED：没有列在标准系统文件如}^/etc/rpc^或^{/etc/service中的服务}
^flags	^{可以是以下一个或多个选项的任意组合。} ^{REUSE：设置}^{TCP/IP socket}^{可重用。也就是在该服务}^socket^中设置^SO_REUSEADDR^{标志。当中断}^时重新^启动^xinetd。^{INTERCEPT：截获数据包进行访问检查，以确定是否来自于允许进行连接的位置。}^{INTERNAL服务和多线程服务不可使用该属性值。}

^属性选项	^功能描述
^only_from	^{d）主机名或域名。当一个}^IP^{地址连接到}^xinetd^{上的时候，它会对这个}^{IP进行反向解析，得出相应的主机名，然后与指定的主机名进行比较，查看是否匹配。当然也可以使用域名，道理是一样的。}^{e）网络}^/^{子网。格式为}^{IP Address/netmask}^{，例如，1.2.3.4/32}
^no_access	^{用空格分开的拒绝访问服务的客户机列表}^{。该属性支持所有操作符，访问控制表的语法参见}^only_from。^Only_from和^no_access^{决定了一个远程连接能否访问某个服务。如果这两个属性都没有设置，那么任何人都可以请求该服务；如果都设置了，那么，最匹配的那个记录优先。例如，你在}^only_from^{中设定了}^10.35.1.0^{可以访问，然后又在}^no_access^{中设定}^10.35.1.10^{禁止访问，那么，}^10.35.1^{段内除了}^10.35.1.10^外的^{IP地址都可以访问}
^access_time	^{设置服务的可用时段，也就是说，在哪一段时间里可以使用本服务}^。格式是^hh:mm_hh:mm^;^如⁰⁸^：^00-18^：⁰⁰^{，意味着从}^8AM^到^{6PM可使用这项服务}
^log_type	^{指定服务log的记录方式。} ^{SYSLOG facility[level]：设置}^facility^为^daemon^，^auth^，^user^或^local0-7^；^level^{是可选的，可用的}^level^值为^emerg^，^alert^，^crit^，^err^，^warning^，^notice^，^info^，^debug^{，默认值为}^info。^{file[soft[hard]]：指定用}^file^记录^log^，而不是^syslog^{。限度}^soft^和^hard^用^KB^{指定（可选）。一旦达到}^soft^限，^xinetd^{就登记一条消息。一旦达到}^hard^限，^xinetd^就^{停止登记使用该文件的所有服务。如果不指定}^hard^限，它为^soft^加¹^%^{，但默认时不超过}^20MB^，默认^soft^限是5MB
^{log_on_success}	^{指定成功时登记的信息，默认时不登记任何信息。该属性支持所有操作符。可能的值有以下几种。} ^{PID：进程的}^PID^{。如果一个新进程没被分叉，}^PID^设置为^0。 ^{HOST：客户机}^IP地址。 ^{USERID：通过}^RFC1413^{调用捕获客户机用户的}^{UID。只可用于多线程的流服务。} ^{EXIT：登记进程终止的状态。}^{DURATION：登记会话持续期}
^{log_on_failure}	^{指定失败时登记的信息。总是登记表明错误性质的消息，默认时不登记任何信息。该属性支持所有操作符。可能的值是有以下几种。} ^{ATTEMPT：记录一次失败的尝试，所有其他值隐含为这个值。} ^{HOST：客户机}^IP地址。 ^{USERID：通过}^RFC1413^{调用捕获客户机用户的}^{UID。只可用于多线程的流服务。}^{RECORD：记录附加的客户机信息，如本地用户、远程用户和终端的类型}
^rpc_version	^指定RPC^{版本号或服务号。版本号可以是一个单}^值或者^{一个范围，如2~3}
^rpc_number	^如果RPC^{程序号不在}^{/etc/rpc中，就指定它}
^env	^{用空格分开的VAR=VALUE}^表，其中^VAR^是一个^shell^{环境变量，}^{VALUE是其设置值。这些设置在服务被激活时被追加到服务的环境变量中。这个属性支持＝和＋＝操作符}
^passenv	^{用空格分开的xinetd}^{环境中的环境变量表，该表在激活时传递给服务程序。如果设置的值为空就不传送任何变量（除了在}^{env中指定的变量）。该属性支持所有操作符}
^port	^{定义该项服务相关的端口号。如果该服务在/etc/services中列出，它们必须匹配}
^redirect	^{该属性语法为redirect=Ipaddress port}^。它把^tcp^{服务重定向到另一个系统。如果使用该属性，就忽略}^{server属性}
^bind	^{把一项服务绑定到一个特定界面。语法是bind=ipaddress/interface}^{。这意味着你的}^{telnet服务可以监听一个本地的安全的端口，而不是一个外部的界面。或者，同一个端口在某个网络界面上可以做某件事情，同时，在另一个界面上可以做完全不同的事情}
^interface	^{等同于bind}
^banner	^{无论该连接是否被允许，当建立连接时就将该文件显示给客户机}
^{banner_success}	^{当连接授权通过时显示}^{banner_success指定的文件中包含的信息}

^属性选项	^功能描述
^banner_fail	^{当客户端的请求违反控制规则时显示}^{banner_fail指定的文件中包含的信息，以告知用户他们正在试图请求不被允许的服务}
^per_source	^{参数值可以}^{为整数或者}^UNLIMITED^{关键字。它表示每一个}^IP^{地址上最多可以建立的实例数目。本属性也可以定义在}^{defaults部分}
^cps	^{用来设定连接速率。它需要两个参数，第一个参数表示每秒可以处理的连接数，如果超过了这个连接数时，之后}^{进入的连接将被暂时停止处理；第二个参数表示停止处理}^{多少秒后，继续处理先前暂停处理的连接}
^max_load	^{用一个浮点数作为负载系数，当负载达到这个数目的时，该服务将停止处理后续的连接}
^groups	^{可以设置为yes}^或^no^{。如果设置为}^yes^{，将允许对该服务起作用的组中包含的用户来访问，如果设置为}^no^{，将设置服务进程的}^GID^{。如果}^xinetd^的有效^GID^不是⁰^{，则该属性无效。在}^BSD^{类的系统上，很多服务需要设置该属性为}^yes^{，这个属性也可以设置在}^{defaults部分}
^umask	^{设置服务所继承的umask}^。参数^值应该^{是一个八进制数字，该属性也可以设置到}^defaults^项中。^xinetd^自己的^umask^{默认是}⁰²²^{，如果你没有设置}^umask^{属性，那么所有}^xinetd^的^{子进程}^的^umask^将都是022
^enabled	^{其参数值是一个服务名称的列表，表示该列表中的服务将被启用，其余的则不被启用。然而，如果某个服务设置使用了disable}^{或者}^DISABLE^标记（^flag^{），即使该服务被设置在}^enabled^{列表中，也不会被启用。参见}^disable^属性和^flags^的^{DISABLE标记}
^disabled	^{只可用于defaults}^{项，指定被关闭的服务列表，是用空格分开的、}^不^{可用的服务列表来表示的。它和在}^{/etc/xinetd.conf}^文件中^{注释掉该服务项有相同的效果}
^include	^{使用 “include /etc/xinetd.d/service_name}^{”这样的格式来引入一个文件。这跟直接将引入文件的内容放到}^xinetd.conf^{中是不同的，因为那里默认已经有了}^include^{指令。需要注意的是，其一，被引入文件的格式应该是跟}^{xined.conf格式相同；其二，不可以在某个服务的声明部分使用此指令，应当放在声明之外的地方}
^includedir	^{使用 “includedir}^{/etc/xinetd.d}^{”这样的格式引入一个目录作为}^xinetd^{配置文件的存放目录。指定目录下除了文件名包括点号（}^.^{）或者以引号（}^{“ ”}^{）结束的文件，都将视作}^xinetd^{的服务配置文件。跟}^{include指令一样，该指令也不可以放在服务的声明部分}
^rlimit_as	^{设置服务的地址资源限制。参数值应该}^{是以字节为单位的正整数或者}^UNLIMITED^{关键字。由于}^libc^malloc^{的实现机制，在}^Linux^{系统上设置该属性比设置}^rlimit_rss^、^rlimit_data^和^rlimit_stack^{属性更有效，这个资源限制的属性只可以在}^{Linux系统上设置}
^rlimit_cpu	^{设置服务最多可占用的CPU}^{秒数。参数}^值应该^{是以秒为单位的正整数或者}^{UNLIMITED关键字}
^rlimit_data	^{设置服务的最大数据量。参数值应该}^{是以字节为单位的正整数或者}^{UNLIMITED关键字}
^rlimit_rss	^{设置服务的最大常驻内存。参数值应该}^{是以字节为单位的正整数或者}^{UNLIMITED关键字}
^rlimit_stack	^{设置服务的最大堆栈大小。参数值应该}^{是以字节为单位的正整数或者}^{UNLIMITED关键字}
^deny_time	^{设置对于所有IP}^{，所有服务的访问被禁用的时间长度。参数}^值可以^{是以分钟为单位的正整数、}^FOREVER^和^NEVER^{。如果你设置为}^FOREVER^，在^xinetd^{重启之前一直有效；}^NEVER^{只对那些非法的}^IP^{地址有效；数字一般设置为}⁶⁰^{，设置为这个数值基本就可以防范}^DoS^{攻击了。需要注意的是，这个标记必须与}^SENSOR^{标记（}^{flags）结合使用}

^xinetd^{设定服务必需的属性}
^属^性	^适用范围
^socket_type	^所有服务
^user	^{Non_internal service only}^{非内部服务}
^server	^{Non_internal service only}^{非内部服务}
^wait	^所有服务
^protocol	^不在^{/etc/services}^{中的所有}^RPC^{服务和所有其他服务}
^rpc_vision	^所有^RPC^{服务}
^rpc_number	^不列在^/etc/rpc^{中的任何}^RPC^服务
^port	^不在^{/etc/services}^{中的非}^RPC^服务

^{支持多操作符的属性}
^属^性	^支持范围
^only_from	^{支持所有操作符}
^no_access
^{log_on_success}
^{log_on_failure}
^passenv
^env	^不支持^-⁼^{操作符}

^可用的^defaults^{属性}
^属^性	^适用范围
^{log_on_success}	^可以用⁼^{操作符改写，或用}⁺⁼^或^-⁼^{操作符修改}
^{log_on_failure}
^only_from
^no_access
^passenv
^instances	^可以用⁼^{操作符改写}
^log_type	^可以用⁼^{操作符改写}
^disabled	^{注销掉的服务}
^enabled	^{指定启用的服务}

3．基本属性

4．支持多操作符的属性

5．默认属性

6．disabled与enabled

7．注意问题

发表回复 取消回复

发表回复取消回复