xinetd完全指南

lining310

inetd (Internet 超级服务器 )
摘要：inetd是监视一些网络请求的守护进程，其根据网络请求来调用相应的服务进程来处理连接请求。它可以为多种服务管理连接,当 inetd 接到连接时，它能够确定连接所需的程序，启动相应的进程，并把
socket
交给它 (服务 socket 会作为程序的标准输入、 输出和错误输出描述符)。 使用 inetd 来运行那些负载不重的服务有助于降低系统负载，因为它不需要为每个服务都启动独立的服务程序。
一般说来， inetd 主要用于启动其它服务程序，但它也有能力直接处理某些简单的服务， 例如 chargen、 auth， 以及 daytime。
inetd 是通过rc系统启动的。 inetd_enable 选项默认设为 NO，但可以在安装系统时， 由用户根据需要通过 sysinstall 来打开。
inetd.conf则是inetd的配置文件。 inetd.conf文件告诉inetd监听哪些网络端口，为每个端口启动哪个服务。在任何的网络环境中使用
Linux
系统，第一件要做的事就是了解一下服务器到底要提供哪些服务。不需要的那些服务应该被禁止掉，最好卸载掉，这样黑客就少了一些攻击系统的机会。查看“/etc/inetd.conf”文件，了解一下inetd提供哪些服务。用加上注释的方法（在一行的开头加上#号），禁止任何不需要的服务，再给inetd进程发一个SIGHUP信号。  
许多人在装了redhat 7.x后开始找不到北!!!(我就是其中一个)。因为redhat 7.x开始注重系统安全,最大的特征就是用xinetd.conf代替原来的inetd.conf 并且7.1中默认安装没有开ftp,telnet等熟悉的服务,而是更安全
的ssh! 7.1还加入firewall等服务 。
大家对被称作超级服务器的Inetd一定很熟悉，其实现控制对主机网络连接。当一个请求到达由Inetd管理的服
务端口，Inetd将该请求转发给名为tcpd的程序。Tcpd根据配置文件hosts.{allow， deny}来判断是否允许服务
该请求。如果请求被允许则相应的服务器程序(如：ftpd、telnetd)将被启动。这个机制也被称作tcp_wrapper.
xinetd(eXtended InterNET services daemon)提供类似于inetd+tcp_wrapper的功能，但是更加强大和安全。
它能提供以下特色：
* 支持对tcp、ucp、RPC服务(但是当前对RPC的支持不够稳定)
* 基于时间段的访问控制
* 功能完备的log功能，即可以记录连接成功也可以记录连接失败的行为
* 能有效的防止DoS攻击(Denial of Services)
* 能限制同时运行的同意类型的服务器数目
* 能限制启动的所有服务器数目
* 能限制log文件大小
* 将某个服务绑定在特定的系统接口上，从而能实现只允许私有网络访问某项服务
* 能实现作为其他系统的代理。如果和ip伪装结合可以实现对内部私有网络的访问
它最大的缺点是对RPC支持的不稳定性，但是可以启动protmap，与xinetd共存来解决这个问题
编译安装
可以从www.xinetd.org下载xinetd，当前最新的版本是xinetd 2.1.8.8p3。默认编译和安装xinetd是非常简单
的，按照如下的步骤进行：
#./configure; make; make install
即可完成。
在进行configure时，可以支持如下几个有用处的选项：
--with-libwrap : 如果使用该选项xinetd将会察看tcpd配置文件(/etc/hosts.{allow， deny})来进行访问
控制，但是如果要利用该功能，系统上必须安装有tcp_wrapper和相关库。
--with-loadavg : 使用该选项，xinetd将而已处理max-load配置选项。从而在系统负载过重时关闭某些服务
进程，来实现某些DoS攻击。
--with-inet6 : 使用该选项xinetd将支持IPv6。
如果是是用redhat7.0，则其默认将安装xinetd，而不需