xinetd使用指南(一)(转)
redhat7.0以后inetd都已换成xinetd了--好用了很多。先看一下/etc/xinetd.conf--instances最大实例数- -如果你用的是wu-ftpd-最大人数60那就改这个了。注意最后一句includedir其实是把telnet,wu-ftpd等脚本包含到此文件中的--直接写在这也行。 defaults { instances = 60 log_type = SYSLOG authpriv log_on_success = HOST PID log_on_failure = HOST cps = 25 30 } includedir /etc/xinetd.d 这篇xinetd完全指南已非常全了--看了它你对xinetd就会很熟了:) 许多人在装了redhat 7.x后开始找不到北!!!(我就是其中一个) 因为redhat 7.x开始注重系统安全,最大的特征就是用xinetd.conf代替原来的inetd.conf 并且7.1中默认安装没有开ftp,telnet等熟悉的服务,而是更安全的ssh! 7.1还加入firewall等服务 (感谢paradise提供下载地点给我安装redhat7.1) 大家对被称作超级服务器的Inetd一定很熟悉,其实现控制对主机网络连接。当一个请求到达由Inetd管理的服务端口,Inetd将该请求转发给名为 tcpd的程序。Tcpd根据配置文件hosts.{allow, deny}来判断是否允许服务该请求。如果请求被允许则相应的服务器程序(如: ftpd、telnetd)将被启动。这个机制也被称作tcp_wrapper. xinetd(eXtended InterNET services daemon)提供类似于inetd+tcp_wrapper的功能,但是更加强大和安全。它能提供以下特色: * 支持对tcp、ucp、RPC服务(但是当前对RPC的支持不够稳定) * 基于时间段的访问控制 * 功能完备的log功能,即可以记录连接成功也可以记录连接失败的行为 * 能有效的防止DoS攻击(Denial of Services) * 能限制同时运行的同意类型的服务器数目 * 能限制启动的所有服务器数目 * 能限制log文件大小 * 将某个服务绑定在特定的系统接口上,从而能实现只允许私有网络访问某项服务 * 能实现作为其他系统的代理。如果和ip伪装结合可以实现对内部私有网络的访问 它最大的缺点是对RPC支持的不稳定性,但是可以启动protmap,与xinetd共存来解决这个问题 编译安装 可以从www.xinetd.org下载xinetd,当前最新的版本是xinetd 2.1.8.8p3。默认编译和安装xinetd是非常简单的,按照如下的步骤进行: #./configure; make; make install 即可完成。 在进行configure时,可以支持如下几个有用处的选项: --with-libwrap : 如果使用该选项xinetd将会察看tcpd配置文件(/etc/hosts.{allow, deny})来进行访问控制,但是如果要利用该功能,系统上必须安装有tcp_wrapper和相关库。 --with-loadavg : 使用该选项,xinetd将而已处理max-load配置选项。从而在系统负载过重时关闭某些服务进程,来实现某些DoS攻击。 --with-inet6 : 使用该选项xinetd将支持IPv6。 如果是是用redhat7.0,则其默认将安装xinetd,而不需要自行安装。 配置 xinetd 的默认配置文件是/etc/xinetd.conf。其语法和/etc/inetd.conf完全不同且不兼容。它本质上是 /etc/inetd.conf和/etc/hosts.allow,/etc/hosts.deny功能的组合。/etc/xinetd.conf中的每一项具有下列形式 service service-name { ……。 } 其中service是必需的关键字,且属性表必须用大括号括起来。每一项都定义了由service-name定义的服务。 Service-name是任意的,但通常是标准网络服务名,也可增加其他非标准的服务,只要它们能通过网络请求激活,包括localhost自身发出的网络请求。有很多可以使用的attribute,在下表中进行了详细的说明。稍后将描述必需的属性和属性的使用规则。 操作符可以是=,+=,或-=。所有属性可以使用=,其作用是分配一个或多个值,某些属性可以使用+=或-=的形式,其作用分别是将其值增加到某个现存的值表中,或将其值从现存值表中删除。表10.10中说明了可以用后一种形式的属性。 Value是为给定属性设置的参数。 表1 扩展的lnernet服务进程属性 属 性 描述和允许值 Socket_type 使用的TCP/IP socket类型,值可能为stream(TCP), dgram(UDP), raw和seqpacket(可靠的有序数据报) protocol 指定该服务使用的协议,其值必须是在/etc/protocols中定义的。如果不指定,使用该项服务的缺省协议。 Server 要激活的进程,必须指定完整路径 Server_args 指定传送给该进程的参数,但是不包括服务程序名 Port 定义该项服务相关的端口号。如果该服务在/etc/services中列出,它们必须匹配 Wait 这个属性有两个可能的值。如果是yes,那么xinetd会启动请的进程并停止处理该项服务的请求直到该进程终止。这是个单线程服务。如果是no,那xinetd会为每个请求启动的一个进程,而不管先前启动的进程的状态。这是个多线程服务 User 设置服务进程的UID,但是若xinetd的有效UID不是0,该属性无效 Group 设置进程的GID。若xinetd的有效UID不是0,这个属性无效 Nice 指定进程的nice值 Id 该属性被用来唯一地指定一项服务。因为有些服务的区别仅仅在于使用不同的协议,因此需要使用该属性加以区别。默认情况下服务id和服务名相同。如echo同时支持dgram和streama服务。设置id=echo_dgram和id=echo_streams来分别唯一标识两个服务 Type 可以是下列一个或多个值:RPC(对RPC服务),INTERNAL(由由xinetd自身提供的服务,如echo),UNLISTED(没有列在标准系统文件如/etc/rpc或/etc/service中的服务) Access_time 设置服务可用时的时间间隔。格式是hh:mm_hh:mm; 如08:00-18:00意味着从8A.M到6P.M.可使用这项服务 Banner 无论该连接是否被允许,当建立连接时就将该文件显示给客户机 Flags 可以是以下一个或多个选项的任意组合: REUSE:设置TCP/IP socket可重用。也就是在该服务socket中设置SO_REUSEADDR标志。当中断并重新启动xinetd INTERCEPT:截获数据报进行访问检查,以确定它是来自于允许进行连接的位置。不能和INTERNAL服务和多线程服务不可使用该属性值 NORETRY:如果fork失败,不重试 IDONLY: 只有在远程端识别远程用户时才接受该连接(也就是远程系统必须运行ident服务器),该标记只适用于面向连接的服务。若没有使用USERID记录选项则该标记无效log_on_success和/或log_on_failure属性设置USERID值以使该值生效。仅用于多线程的流服务 NAMEINARGS:允许server_args属性中的第一个参数是进程的完全合格路径,以允许使用TCP_Wrappers NODELAY:若服务为tcp服务,并且NODELAY标记被设置,则TCP_NODELAY标记将被设置。若服务不是tcp服务则该标记无效 Rpc_version 指定RPC版本号或服务号。版本号可以是一个单值或者一个范围中如2-3 rpc_number 如果RPC程序号不在/etc/rpc中,就指定它 Env 用空格分开的VAR=VALUE表,其中VAR是一个shell环境变量且VALUE是其设置值。这些值以及xinetd的环境都在激活时传送给服务程序。这个属性支持=和+=操作符 Passenv 用空格分开的xinetd环境中的环境变量表,该表在激活时传递给服务程序。设置no就不传送任何变量。该属性支持所有操作符 Only_from 用空格分开的允许访问服务的客户机表。表2种给出客户机语法。如果不为该属性指定一个值,就拒绝访问这项服务。该属性支持所有操作符。 No_access 用空格分开的拒绝访问服务的客户机表。表2给出客户机语法。该属性支持所有操作符 Instances 接受一个大于或等于1的整数或UNLIMITED。设置可同时运行的最大进程数。UNLIMITED意味着xinetd对该数没有限制。 Log_type 指定服务log记录方式,可以为: SYSLOG facility[level]:设置该工具为daemon,auth,user或loca10-7。设置level是可选的,可以的level值为 emerg,alert,crit,err,warning,notice, info, debug,默认值为info file[soft[hard]]:指定file用于记录log,而不是syslog。限度soft和hard用KB指定(可选)。一旦达到soft限,xinetd就登记一条消息。一旦达到hard限,xinetd停止登记使用该文件的所有服务。如果不指定hard限,它成为soft加1%,但缺省时不超过20MB.缺省soft限是 5MB Redirect 该属性语法为redirect=Ipaddress port。它把TCP服务重定向到另一个系统。如果使用该属性,就忽略server属性 Bind 把一项服务绑定到一个特定端口。语法是bind=Ipaddress。这样有多个接口(物理的或逻辑的)的主机允许某个接口但不是其他接口上的特定服务(或端口) Log_on_success 指定成功时登记的信息。可能值是 PID:进程的PID。如果一个新进程没被分叉,PID设置为0。 HOST:客户机主机IP地址 USERID:通过RFC1413高用捕获客户机用户的UID。只可用于多线程流服务。 EXIT:登记进程终止和状态 DURATION:登记会话持续期 缺省时不登记任何信息。该属性支持所有操作符 Log_on_failure 指定失败时登记的信息。总是登记表明错误性质的消息。可能值是ATTEMPT:记录一次失败的尝试。所有其他值隐含为这个值。 HOST:客户机主机IP地址 USERID:通过RFC1413调用捕获客户机用户的UID。只 可用于多线程流服务。 RECORD:记录附加的客户机信息如本地用户,远程用户 和终端的类型。缺省时不登记任何信息。该属性支持所有操作符。 Disabled 只可用于defaults项(参看本小节后面的defaults项),指定被关闭的服务列表,是用空格分开的不可用服务列表来表示的。它和在/etc/xinetd.conf文件中注释掉该服务项有相同的效果。 我们首先看一个简单的例子。例1是配置文件/etc/xinetd.conf的一个范例。这两种服务的定义看上去像/etc/inetd.conf的原因是因为它们是用itox工具从/etc/inetd.conf转换得来的,只把/etc/inetd.conf项对应转换成适当的xinetd语法。这样,这些属性(在大括号中的=号的左边)意义是非常直接的,其相关值(在大括号中的=号的右边)也是如此。(linux知识宝库) 本文来自:http://www.linuxpk.com/5139.html -->linux电子图书免费下载和技术讨论基地 ·上一篇: Linux网络应用问答 ·下一篇: xinetd使用指南(二)
redhat7.0以后inetd都已换成xinetd了--好用了很多。先看一下/etc/xinetd.conf--instances最大实例数- -如果你用的是wu-ftpd-最大人数60那就改这个了。注意最后一句includedir其实是把telnet,wu-ftpd等脚本包含到此文件中的--直接写在这也行。 defaults { instances = 60 log_type = SYSLOG authpriv log_on_success = HOST PID log_on_failure = HOST cps = 25 30 } includedir /etc/xinetd.d 这篇xinetd完全指南已非常全了--看了它你对xinetd就会很熟了:) 许多人在装了redhat 7.x后开始找不到北!!!(我就是其中一个) 因为redhat 7.x开始注重系统安全,最大的特征就是用xinetd.conf代替原来的inetd.conf 并且7.1中默认安装没有开ftp,telnet等熟悉的服务,而是更安全的ssh! 7.1还加入firewall等服务 (感谢paradise提供下载地点给我安装redhat7.1) 大家对被称作超级服务器的Inetd一定很熟悉,其实现控制对主机网络连接。当一个请求到达由Inetd管理的服务端口,Inetd将该请求转发给名为 tcpd的程序。Tcpd根据配置文件hosts.{allow, deny}来判断是否允许服务该请求。如果请求被允许则相应的服务器程序(如: ftpd、telnetd)将被启动。这个机制也被称作tcp_wrapper. xinetd(eXtended InterNET services daemon)提供类似于inetd+tcp_wrapper的功能,但是更加强大和安全。它能提供以下特色: * 支持对tcp、ucp、RPC服务(但是当前对RPC的支持不够稳定) * 基于时间段的访问控制 * 功能完备的log功能,即可以记录连接成功也可以记录连接失败的行为 * 能有效的防止DoS攻击(Denial of Services) * 能限制同时运行的同意类型的服务器数目 * 能限制启动的所有服务器数目 * 能限制log文件大小 * 将某个服务绑定在特定的系统接口上,从而能实现只允许私有网络访问某项服务 * 能实现作为其他系统的代理。如果和ip伪装结合可以实现对内部私有网络的访问 它最大的缺点是对RPC支持的不稳定性,但是可以启动protmap,与xinetd共存来解决这个问题 编译安装 可以从www.xinetd.org下载xinetd,当前最新的版本是xinetd 2.1.8.8p3。默认编译和安装xinetd是非常简单的,按照如下的步骤进行: #./configure; make; make install 即可完成。 在进行configure时,可以支持如下几个有用处的选项: --with-libwrap : 如果使用该选项xinetd将会察看tcpd配置文件(/etc/hosts.{allow, deny})来进行访问控制,但是如果要利用该功能,系统上必须安装有tcp_wrapper和相关库。 --with-loadavg : 使用该选项,xinetd将而已处理max-load配置选项。从而在系统负载过重时关闭某些服务进程,来实现某些DoS攻击。 --with-inet6 : 使用该选项xinetd将支持IPv6。 如果是是用redhat7.0,则其默认将安装xinetd,而不需要自行安装。 配置 xinetd 的默认配置文件是/etc/xinetd.conf。其语法和/etc/inetd.conf完全不同且不兼容。它本质上是 /etc/inetd.conf和/etc/hosts.allow,/etc/hosts.deny功能的组合。/etc/xinetd.conf中的每一项具有下列形式 service service-name { ……。 } 其中service是必需的关键字,且属性表必须用大括号括起来。每一项都定义了由service-name定义的服务。 Service-name是任意的,但通常是标准网络服务名,也可增加其他非标准的服务,只要它们能通过网络请求激活,包括localhost自身发出的网络请求。有很多可以使用的attribute,在下表中进行了详细的说明。稍后将描述必需的属性和属性的使用规则。 操作符可以是=,+=,或-=。所有属性可以使用=,其作用是分配一个或多个值,某些属性可以使用+=或-=的形式,其作用分别是将其值增加到某个现存的值表中,或将其值从现存值表中删除。表10.10中说明了可以用后一种形式的属性。 Value是为给定属性设置的参数。 表1 扩展的lnernet服务进程属性 属 性 描述和允许值 Socket_type 使用的TCP/IP socket类型,值可能为stream(TCP), dgram(UDP), raw和seqpacket(可靠的有序数据报) protocol 指定该服务使用的协议,其值必须是在/etc/protocols中定义的。如果不指定,使用该项服务的缺省协议。 Server 要激活的进程,必须指定完整路径 Server_args 指定传送给该进程的参数,但是不包括服务程序名 Port 定义该项服务相关的端口号。如果该服务在/etc/services中列出,它们必须匹配 Wait 这个属性有两个可能的值。如果是yes,那么xinetd会启动请的进程并停止处理该项服务的请求直到该进程终止。这是个单线程服务。如果是no,那xinetd会为每个请求启动的一个进程,而不管先前启动的进程的状态。这是个多线程服务 User 设置服务进程的UID,但是若xinetd的有效UID不是0,该属性无效 Group 设置进程的GID。若xinetd的有效UID不是0,这个属性无效 Nice 指定进程的nice值 Id 该属性被用来唯一地指定一项服务。因为有些服务的区别仅仅在于使用不同的协议,因此需要使用该属性加以区别。默认情况下服务id和服务名相同。如echo同时支持dgram和streama服务。设置id=echo_dgram和id=echo_streams来分别唯一标识两个服务 Type 可以是下列一个或多个值:RPC(对RPC服务),INTERNAL(由由xinetd自身提供的服务,如echo),UNLISTED(没有列在标准系统文件如/etc/rpc或/etc/service中的服务) Access_time 设置服务可用时的时间间隔。格式是hh:mm_hh:mm; 如08:00-18:00意味着从8A.M到6P.M.可使用这项服务 Banner 无论该连接是否被允许,当建立连接时就将该文件显示给客户机 Flags 可以是以下一个或多个选项的任意组合: REUSE:设置TCP/IP socket可重用。也就是在该服务socket中设置SO_REUSEADDR标志。当中断并重新启动xinetd INTERCEPT:截获数据报进行访问检查,以确定它是来自于允许进行连接的位置。不能和INTERNAL服务和多线程服务不可使用该属性值 NORETRY:如果fork失败,不重试 IDONLY: 只有在远程端识别远程用户时才接受该连接(也就是远程系统必须运行ident服务器),该标记只适用于面向连接的服务。若没有使用USERID记录选项则该标记无效log_on_success和/或log_on_failure属性设置USERID值以使该值生效。仅用于多线程的流服务 NAMEINARGS:允许server_args属性中的第一个参数是进程的完全合格路径,以允许使用TCP_Wrappers NODELAY:若服务为tcp服务,并且NODELAY标记被设置,则TCP_NODELAY标记将被设置。若服务不是tcp服务则该标记无效 Rpc_version 指定RPC版本号或服务号。版本号可以是一个单值或者一个范围中如2-3 rpc_number 如果RPC程序号不在/etc/rpc中,就指定它 Env 用空格分开的VAR=VALUE表,其中VAR是一个shell环境变量且VALUE是其设置值。这些值以及xinetd的环境都在激活时传送给服务程序。这个属性支持=和+=操作符 Passenv 用空格分开的xinetd环境中的环境变量表,该表在激活时传递给服务程序。设置no就不传送任何变量。该属性支持所有操作符 Only_from 用空格分开的允许访问服务的客户机表。表2种给出客户机语法。如果不为该属性指定一个值,就拒绝访问这项服务。该属性支持所有操作符。 No_access 用空格分开的拒绝访问服务的客户机表。表2给出客户机语法。该属性支持所有操作符 Instances 接受一个大于或等于1的整数或UNLIMITED。设置可同时运行的最大进程数。UNLIMITED意味着xinetd对该数没有限制。 Log_type 指定服务log记录方式,可以为: SYSLOG facility[level]:设置该工具为daemon,auth,user或loca10-7。设置level是可选的,可以的level值为 emerg,alert,crit,err,warning,notice, info, debug,默认值为info file[soft[hard]]:指定file用于记录log,而不是syslog。限度soft和hard用KB指定(可选)。一旦达到soft限,xinetd就登记一条消息。一旦达到hard限,xinetd停止登记使用该文件的所有服务。如果不指定hard限,它成为soft加1%,但缺省时不超过20MB.缺省soft限是 5MB Redirect 该属性语法为redirect=Ipaddress port。它把TCP服务重定向到另一个系统。如果使用该属性,就忽略server属性 Bind 把一项服务绑定到一个特定端口。语法是bind=Ipaddress。这样有多个接口(物理的或逻辑的)的主机允许某个接口但不是其他接口上的特定服务(或端口) Log_on_success 指定成功时登记的信息。可能值是 PID:进程的PID。如果一个新进程没被分叉,PID设置为0。 HOST:客户机主机IP地址 USERID:通过RFC1413高用捕获客户机用户的UID。只可用于多线程流服务。 EXIT:登记进程终止和状态 DURATION:登记会话持续期 缺省时不登记任何信息。该属性支持所有操作符 Log_on_failure 指定失败时登记的信息。总是登记表明错误性质的消息。可能值是ATTEMPT:记录一次失败的尝试。所有其他值隐含为这个值。 HOST:客户机主机IP地址 USERID:通过RFC1413调用捕获客户机用户的UID。只 可用于多线程流服务。 RECORD:记录附加的客户机信息如本地用户,远程用户 和终端的类型。缺省时不登记任何信息。该属性支持所有操作符。 Disabled 只可用于defaults项(参看本小节后面的defaults项),指定被关闭的服务列表,是用空格分开的不可用服务列表来表示的。它和在/etc/xinetd.conf文件中注释掉该服务项有相同的效果。 我们首先看一个简单的例子。例1是配置文件/etc/xinetd.conf的一个范例。这两种服务的定义看上去像/etc/inetd.conf的原因是因为它们是用itox工具从/etc/inetd.conf转换得来的,只把/etc/inetd.conf项对应转换成适当的xinetd语法。这样,这些属性(在大括号中的=号的左边)意义是非常直接的,其相关值(在大括号中的=号的右边)也是如此。(linux知识宝库) 本文来自:http://www.linuxpk.com/5139.html -->linux电子图书免费下载和技术讨论基地 ·上一篇: Linux网络应用问答 ·下一篇: xinetd使用指南(二)
|
| ||
| 关于我们 | 联系方式 | 广告合作 | 诚聘英才 | 网站地图 | 网址大全 | 友情链接 | 免费注册 | ||
|
| ||
| Copyright © 2004 - 2007 All Rights Reserved 来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/14102/viewspace-117203/,如需转载,请注明出处,否则将追究法律责任。
上一篇:
tar包压缩时相对路径问题(转)
请登录后发表评论
登录
全部评论
<%=items[i].createtime%>
<%=items[i].content%> <%if(items[i].items.items.length) { %>
<%for(var j=0;j
<%}%> <%}%>
<%=items[i].items.items[j].createtime%>
回复
<%=items[i].items.items[j].username%> 回复 <%=items[i].items.items[j].tousername%>: <%=items[i].items.items[j].content%>
还有<%=items[i].items.total-5%>条评论
) data-count=1 data-flag=true>点击查看
<%}%>
北京盛拓优讯信息技术有限公司. 版权所有 京ICP备09055130号-4 北京市公安局海淀分局网监中心备案编号:11010802021510 广播电视节目制作经营许可证(京) 字第1234号 中国互联网协会会员 | ||
转载于:http://blog.itpub.net/14102/viewspace-117203/
扫一扫
1222
到【灌水乐园】发言
