网络守护进程服务程序--xinetd的详解

发表于   |   分类于

网络守护进程服务程序–xinetd的详解

xinetd的概念

Xinetd是新一代的网络守护进程服务程序,又叫超级internet服务器,常用来管理多种轻量级internet服务。

Xinted提供类似于inetd+tcp_wrapper的功能,但是更加强大和安全。

xinetd的特色

1)强大的存取控制功能

  • 使用libwrap支持,其效能更甚于tcpd
  • 可以限制连接的等级,基于主机的连接数和基于服务的连接数
  • 设置特定的连接时间
  • 将某个服务设置到特定的主机以提供服务

2) 有效防止DOS攻击

  • 可以限制连接的等级
  • 可以限制一个主机的最大连接数,从而防止某个主机独占某个服务
  • 可以限制日志文件的大小,防止磁盘空间被填满

3) 强大的日志功能

  • 可以为每一个服务就syslog设定日志等级。
  • 如果不使用syslog,也可以为每个服务建立日志文件。
  • 可以记录请求的起止时间以决定对方的访问时间。
  • 可以记录试图非法访问的请求。

4) 转向功能

  • 可以将客户端的请求转发到另一台主机去处理。

5) 支持IPv6

  • xinetd自xinetd 2.1.8.8pre*起的版本就支持IPv6,可以通过在./configure脚本中使用with-inet6 capability选项来完成。

【注意】要使这个生效,核心和网络必须支持IPv6。IPv4仍然被支持。

6) 与客户端的交互功能

  • 无论客户端请求是否成功,xinetd都会有提示告知连接状态。

xinetd的缺点

当前最大的缺点是对RPC支持的不稳定,但是可以启动protmap,使它与xinetd共存来解决这个问题。

使用xinetd启动守护进程

原则上任何系统服务都可以使用xinetd,然后最合适的应该是那些常用的网络服务,同时,这个服务的请求数目和频繁程度不会太高。

像DNS和Apache就不适合采用这种方式,而像FTP,Telnet,SSH等就适合使用xinetd模式。

系统默认使用xinetd的服务可以分为如下几类:

  • 标准internet服务:telnet,ftp
  • 信息服务:finger, netstat, systat
  • 邮件服务:imap, imaps, pop2, pop3, pops
  • RPC服务:requotad, rstatd, rusersd, sprayd, walld
  • BSD服务:comsat, exec, login, ntalk, shell, talk
  • 内部服务:chargen, daytime, echo, servers, services, time
  • 安全服务:irc
  • 其他服务:name, tftp, uucp

具体可以使用xinetd的服务在/etc/services文件中指出。
这个文件的节选内容:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
4 # Network services, Internet style
   5 # IANA services version: last updated 2013-04-10
   6 #
   7 # Note that it is presently the policy of IANA to assign a single well-known
   8 # port number for both TCP and UDP; hence, most entries here have two entries
   9 # even if the protocol doesn't support UDP operations.
  10 # Updated from RFC 1700, ``Assigned Numbers'' (October 1994).  Not all ports
  11 # are included, only the more common ones.
  12 #
  13 # The latest IANA port assignments can be gotten from
  14 #       http://www.iana.org/assignments/port-numbers
  15 # The Well Known Ports are those from 0 through 1023.
  16 # The Registered Ports are those from 1024 through 49151
  17 # The Dynamic and/or Private Ports are those from 49152 through 65535
  18 #
  19 # Each line describes one service, and is of the form:
  20 #
  21 # service-name  port/protocol  [aliases ...]   [# comment]
  22 
  23 tcpmux          1/tcp                           # TCP port service multiplexer
  24 tcpmux          1/udp                           # TCP port service multiplexer
  25 rje             5/tcp                           # Remote Job Entry
  26 rje             5/udp                           # Remote Job Entry

Internet 网络服务文件中,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用Tab键或空格键分隔,分别表示 “服务名称”、“使用端口”、“协议名称”及“别名”。在一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。Linux系统的端口号的范围为0~65 535,不同范围的端口号有不同的意义。

1
2
3
4
0:不使用。
1~1 023:系统保留,只能由root用户使用。
1 024~4 999:由客户端程序自由分配。
5 000~65 535:由服务器程序自由分配。

解读/etc/xinetd.conf和/etc/xinetd.d/*(启动关闭)

  • /etc/xinetd.conf

xinetd 的配置文件是/etc/xinetd.conf,但是它只包括几个默认值及/etc/xinetd.d目录中的配置文件。如果要启用或禁用某项 xinetd服务,编辑位于/etc/xinetd.d目录中的配置文件。例如,disable属性被设为yes,表示该项服务已禁用;disable属性被设为no,表示该项服务已启用。/etc/xinetd.conf有许多选项,下面是rhel7.0的/etc/xinetd.conf

1
2
3
4
5
6
7
8
9
10
 defaults
  {
     log_type    = SYSLOG daemon info		#表示使用syslog进行服务登记
     log_on_failure  = HOST		#表示设置失败后记录客户机的IP地址
     log_on_success  = PID HOST DURATION EXIT	##表示设置成功后记录客户机的IP地址的进程ID,DURATION记录一个服务持续的时间,EXIT记录一个服务推出的信息。

     cps     = 50 10	#表示每秒50个入站连接,如果超过限制,则等待10秒。主要用于对付拒绝服务攻击
     instances   = 50				#表示最大连接进程数为50
 }
includedir /etc/xinetd.d	#表示告诉xinetd要包含的文件或目录是/etc/xinetd.d
  • /etc/xinetd.d/*

下面以/etc/xinetd.d/中的一个文件(time.stream)为例。

1
2
3
4
5
6
7
8
9
10
11
service time
{
    disable     = yes
id         = time-stream
    type       = INTERNAL
    wait       = no
    socket_type = stream
	  #   user   =
    #   group  =
    #   server  =
    #   port    =

下面说明每一行选项的含义:
— disable = yes:表示禁用这个服务。
— socket_type = stream:表示服务的数据包类型为stream。
— wait = no:表示不需等待,即服务将以多线程的方式运行。(yes则为单线程)
— user =:表示执行此服务进程的用户。
— server = :启动脚本的位置。

配置xinetd

格式

/etc/xinetd.conf中的每一项具有下列形式:

1
2
3
4
service service-name
{
……
}

其中service是必需的关键字,且属性表必须用大括号括起来。每一项都定义了由service-name定义的服务。

service-name是任意的,但通常是标准网络服务名,也可增加其他非标准的服务,只要它们能通过网络请求激活,包括localhost自身发出的网络请求。有很多可以使用的属性,稍后将描述必需的属性和属性的使用规则。

操作符可以是=、+=或-=。所有属性可以使用=,其作用是分配一个或多个值,某些属性可以使用+=或-=,其作用分别是将其值增加到某个现存的值表中,或将其值从现存值表中删除。

配置文件

相关的配置文件如下:
/etc/xinetd.conf
/etc/xinetd.d/* //该目录下的所有文件
/etc/hosts.allow
/etc/hosts.deny

disabled与enabled

前者的参数是禁用的服务列表,后者的参数是启用的服务列表。他们的共同点是格式相同(属性名、服务名列表与服务中间用空格分开,例如disabled = in.tftpd in.rexecd),此外,它们都是作用于全局的。如果在disabled列表中被指定,那么无论包含在列表中的服务是否有配置文件和如何设置,都将被禁用;如果enabled列表被指定,那么只有列表中的服务才可启动,如果enabled没有被指定,那么disabled指定的服务之外的所有服务都可以启动。

注意问题

① 在重新配置的时候,下列的属性不能被改变:socket_type、wait、protocol、type;
② 如果only_from和no_access属性没有被指定(无论在服务项中直接指定还是通过默认项指定),那么对该服务的访问IP将没有限制;
③ 地址校验是针对IP地址而不是针对域名地址。

xinetd防止拒绝服务攻击(Denial of Services)的原因

xinetd能有效地防止拒绝服务攻击(Denial of Services)的原因如下:

  • 限制同时运行的进程数
    通过设置instances选项设定同时运行的并发进程数:

instances=20

当服务器被请求连接的进程数达到20个时,xinetd将停止接受多出部分的连接请求。直到请求连接数低于设定值为止。

  • 限制一个IP地址的最大连接数

通过限制一个主机的最大连接数,从而防止某个主机独占某个服务。

per_source=5

这里每个IP地址的连接数是5个。

  • 限制日志文件大小,防止磁盘空间被填满

许多攻击者知道大多数服务需要写入日志。入侵者可以构造大量的错误信息并发送出来,服务器记录这些错误,可能就造成日志文件非常庞大,甚至会塞满硬盘。同时会让管理员面对大量的日志,而不能发现入侵者真正的入侵途径。因此,限制日志文件大小是防范拒绝服务攻击的一个方法。
log_type FILE.1 /var/log/myservice.log 8388608 15728640

这里设置的日志文件FILE.1临界值为8MB,到达此值时,syslog文件会出现告警,到达15MB,系统会停止所有使用这个日志系统的服务。

  • 限制负载

xinetd还可以使用限制负载的方法防范拒绝服务攻击。用一个浮点数作为负载系数,当负载达到这个数目的时候,该服务将暂停处理后续的连接。

max_load = 2.8

上面的设定表示当一项系统负载达到2.8时,所有服务将暂时中止,直到系统负载下降到设定值以下。

【说明】 要使用这个选项,编译时应加入“–with-loadavg”,xinetd将处理max-load配置选项,从而在系统负载过重时关闭某些服务进程,来实现防范某些拒绝服务攻击。

  • 限制所有服务器数目(连接速率)

xinetd可以使用cps选项设定连接速率,下面的例子:

cps = 25 60

上面的设定表示服务器最多启动25个连接,如果达到这个数目将停止启动新服务60秒。在此期间不接受任何请求。

  • 限制对硬件资源的利用

通过rlimit_asrlimit_cpu两个选项可以有效地限制一种服务对内存、中央处理器的资源占用:

1
2
rlimit_as = 8M
rlimit_cpu=20

上面的设定表示对服务器硬件资源占用的限制,最多可用内存为8MB,CPU每秒处理20个进程。

xinetd的一个重要功能是它能够控制从属服务可以利用的资源量,通过它的以上设置可以达到这个目的,有助于防止某个xinetd服务占用大量资源,从而导致“拒绝服务”情况的出现.