http://hi.baidu.com/system_network/blog/item/fc3ab8133c5e1e5bf819b8fb.html
每個 UNIX 管理員都熟悉 inetd,inetd 是一個守護程序,通過一個集中的配置文件(inetd.conf)來管理大多數入網連接。xinetd 守護程序是 inetd 的替代,它提供許多改進的或新的特性,以及更容易的配置。Ted 解釋了 inetd 背後的概念,並且給出了在您自己的站點上設置 xinetd 的示例。
經典的 inetd 守護程序已經存在很久了。有幾種替換 inetd 的功能的方法,但是最靈活、最簡便的方法似乎是 xinetd。inetd 能做的,xinetd 也能做,並且 xinetd 還能做更多的事情。譬如,TCP 封裝、模塊化配置、連接重定向和入站連接的負載限制,而這些只是使得 xinetd 成爲系統管理員良好選擇的部分特性。
本文是爲從初學者到中級系統管理員這樣的讀者而準備的,並且文中的說明和示例並不嘗試假設您已經熟悉 inetd。在本文中,我們將研究 xinetd 的一些簡單用法,從安裝到安全性策略的實現。
開始之前
爲實現本文的目的,您的系統最好安裝了最近的主流(2000 或更新)UNIX(Linux、Solaris、BSD)。這些示例在 Perl 和 UNIX(以及其它操作系統)的早期版本上也可以運行,但是它們功能方面的障礙應該由讀者作爲練習來解決。給定的特定示例是用於 Red Hat Linux 的,但是它們在其它系統上應該也可以運行(除 chkconfig 以外)。
inetd 到底是什麼
對於 UNIX 系統管理員,inetd 和 cp/rm/mv 命令一樣基本。它總是存在,並準備着處理入站連接。但它到底是什麼?它用來做什麼?
首先從 TCP/IP (它也包括 UDP,但我們目前還不考慮)開始回答。當您建立與一臺主機的連接時,實際上是創建了一個 TCP/IP 連接(通常是一個套接字) — 這好象是在您和主機之間打了一個電話。TCP/IP 連接由起始主機和接收主機唯一地定義,但還有其它標識。如果我們都連接到一臺服務器,它如何區分 webserver、telnet、SSH、FTP 和其它連接呢?套接字也通過建立連接所使用的端口來定義。例如,端口 21 是入站 FTP、端口 22 是 SSH、端口 23 是 TELNET(有關其它大多數端口,可以查看 UNIX 系統上的 /etc/services)。
一旦建立了連接,某人就在另一端拿起了電話。這可以是接線員或直線。直線表示您直接連接到了服務器,而接線員是涉及 inetd 的方法。接線員實際上處理一組入站直線(主機上的端口),並親自將它們交給負責的程序(服務器)。
UDP 是另一種連接方法。象 TCP 一樣,UDP 基本上是和某人的對話,但是不保證它是可靠的。UDP(繼續使用電話的比喻)就象將消息扔到傳送帶上,讓接收者站到另一端。您可以從傳送帶得到許多消息,但是如果消息太多(網絡流量高)或者讀取消息費時太久(服務器忙),則接收者可能會丟失一些消息。
如果使用 inetd,在執行一些檢查後,您被重定向到特定服務器。只有一個配置文件 — inetd.conf,管理所有入站連接。因而在系統上添加、刪除、更改或複查服務變得更爲簡單。例如,在 Solaris 系統上使用 TCP 封裝器將 ftp 定義如下:
清單 1,FTP 服務的 inetd.conf 定義 ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd
這些是創建一個 FTP 連接所需的全部參數。簡單地說,我們以面向流(stream)的方式使用 TCP/IP(tcp)時,同時允許多個 FTP 連接(nowait)、作爲 root 運行以及調用 FTP(接下來,TCP 封裝器將調用 FTP 守護程序)。
用一上午的時間解析很困難嗎?絕對困難。有必要這麼複雜嗎?不。xinetd 繼承了 inetd 的設計並將它模塊化,這意味着每個服務都可以存在於它自己的配置文件中。xinetd 還添加了一些象 TCP 封裝器之類的功能部件,使得配置更加簡單。
xinetd 保持了中央配置(接線員)方法,將所有配置文件存儲到單一位置,通常是 /etc/xinetd.conf 和 /etc/xinetd.d/*,使系統管理員可以更容易地獲得。模塊化配置意味着,您可以通過將服務複製到 xinetd.d 目錄來向多臺機器上分發該服務,也可以用同類的手段除去它。甚至可以指定額外的包含目錄。
最後,xinetd FAQ(請參閱本文後面的參考資料)聲明瞭 RPC 程序在 xinetd 下運行得不太好。不過沒問題,對 RPC 使用 inetd,並對其它所有服務使用 xinetd。這就象僱了兩個接線員,一個說西班牙語,另一個說所有其它語言。
xinetd 簡介
那麼 xinetd 是什麼?一句話,它就是個程序。處理入站網絡連接沒什麼神奇。可以使用 Perl、Python 或 Java 來處理。Xinetd 是用 C 編寫的,而且它和它的前輩 inetd 一樣快,如果不是更快的話(例如,TCP 封裝器不必爲每個入站連接而執行;它們在啓動時裝入內存)。
xinetd 正在開發中。(您的版本可能過時了,所以請務必到主頁上查找最新的版本;請參閱參考資料。)因爲它正在開發中,所以 xinetd 的安全漏洞得以迅速彌補,而不象 inetd 那樣薄弱,通常要很長時間才能彌補。當然,xinetd 是隨源代碼一起交付的,所以您可以複查源代碼並自己找到可能存在弱點的地方。
如何使用 xinetd 定義服務呢?編寫一個服務文件,它除了指定 /etc/xinetd.conf 中所指定的一般參數之外,還指定特定配置。所以,如果 /etc/xinetd.conf 是這樣的:
清單 2,樣本 xinetd.conf(標準的 Red Hat 7.1) defaults
{
instances = 60
log_type = SYSLOG authpriv
log_on_success = HOST PID
log_on_failure = HOST
cps = 25 30
}
service telnet
{
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.telnetd
log_on_failure += USERID
disable = yes
}
includedir /etc/xinetd.d
您放到 /etc/xinetd.d 中的每個服務文件都會繼承這些缺省值,並指定它自己的參數。這裏,telnet 服務在頂級定義,而不是在子目錄中定義。這太棒了,這種模塊性允許複雜的配置。
要使 xinetd 重新讀取配置文件,不必重新啓動它。只要向它發送 USR2 信號即可。
那些參數表示什麼意思?讓我們通讀整個清單。您也可以在命令行下使用 man xinetd.conf 來查看列表(如果那個幫助頁面正確安裝的話),但這個概述試圖用更簡單的術語來解釋參數,並不假定您已經知道關於套接字和服務的所有信息。一些參數(rpc_version、rpc_number)被跳過。
常規參數
id
該服務的唯一名稱。服務名稱在花括號之前指定,但是 ID 使邏輯上相同的服務可能擁有多個協議。這是對於臨時用戶的受限使用。例如,NFS 服務可以在 UDP 或 TCP 傳輸協議上運行。在 Red Hat Linux 7.1 上,TCP 版本(在 /etc/xinetd.d/time 中)和 UDP 版本(在 /etc/xinetd.d/time-udp中)中提供了對於 xinetd 來說內部的時間服務。
type
這實際上應該稱爲“特殊類型”,因爲它只適用於特殊服務。它可以是以下幾種類型的組合:“RPC”,用於 RPC 服務(由 SUN 引入的遠程過程調用,導致了很多安全性問題,最好避免使用);“INTERNAL”,用於構建到 xinetd 內部的服務,譬如時間服務;“UNLISTED”,用於在系統列表(/etc/services 或用於 RPC 服務的 /etc/rpc)中找不到的非標準服務。
flags
這裏放置着所有額外標誌。列表很長並且技術性很強;我們感興趣的標誌包括 REUSE(用於套接字重用,譬如 telnet)、NAMEINARGS/NOLIBWRAP(如果您希望手工調用 TCP 封裝器或者完全地避免使用封裝器)、NODELAY/KEEPALIVE(用於調整 TCP 套接字)、DISABLE(覆蓋頂級“disable”參數)以及 SENSOR(用於檢測和防止某些類型的“拒絕服務(denial-of-service)”網絡攻擊)。
disable
除非您希望禁用某項服務,否則總是把它設成“no”。Red Hat Linux 的 chkconfig 程序將爲您打開或關閉“disable”參數;在 Red Hat 上,用 chkconfig 啓用和禁用特定服務可能比手工方式簡單些。請注意,chkconfig 預期在 /etc/xinetd.d/SERVICE 中找到服務文件。所以對於上面清單 2 中的示例,chkconfig 將不會在請求時打開或關閉 telnet。可以將它認爲是一個錯誤或特性,取決於您的觀點。
socket_type
通常您希望這個參數設置成“stream”,除非使用 UDP 服務,此時設置成“dgram”。該參數也可以設置成“raw”和“seqpacket”,但極少見。
protocol
這是連接所用的協議,通常是“tcp”或“udp”,但是在理論上您可以使用來自 /etc/protocols 的任何值。
wait
如果設置成“no”,xinetd 將爲每個連接上的服務啓動一個新的處理程序。如果是“yes”,xinetd 預期該處理程序處理所有後續連接直到它死亡。在大多數情況下,這個參數是“no”。
server, server_args
處理程序的程序名,以及它應當獲得的參數。處理程序名不應該象在 inetd 環境下那樣,出現在參數中。
port
服務的端口。通常不需要,因爲端口通過 /etc/services 文件來映射到服務。
redirect
允許 xinetd 將所有服務的流量發送給另一臺主機。因此,受防火牆保護的主機可以通過中央 xinetd 轉發器接受安全流量,而不必建立與外部網絡的連接。在某些工作中,可以採用這個特徵來在兩臺主機間執行故障轉移服務。
banner, banner_success, banner_fail
一個將要在“任意/一個成功/一個不成功”連接上打印的來自文件的定製文本塊。
enabled
在全局級別上補充“disabled”參數和 DISABLE 標誌。
include, includedir
告訴 xinetd 要包含文件或目錄。
環境參數
user, group, umask, groups
當啓動服務處理程序時,xinetd 應該扮演的 UNIX 屬性。這主要用於非安全服務。
nice
確定該服務對於系統有多重要的 UNIX 優先級級別。可以針對您的系統調整它,請查看“nice”的 man 頁面。
env
用於服務處理程序的環境變量。
passenv
應該向下傳遞到服務處理程序的 xinetd 中的環境變量。
資源管理參數
instances
可以同時啓動的處理程序數。可以調整這個參數以防止拒絕服務攻擊。如果您希望缺省(無限制)行爲,將它設置成“UNLIMITED”。
max_load
I: ) 如果系統過載,停止接受連接。負載數取決於系統,僅當您確實知道自己在做什麼時才能調整它。
rlimit_as, rlmist_cpu, rlimit_data, rlimit_rss, rlimit_stack
rlimit 參數指定用於服務處理程序的資源限制(內存、CPU 以及特定內存區域)。
特定於安全性的參數
only_from, no_access
對 TCP 封裝器的補充,這是阻擋主機建立與我們的連接的方法之一。請注意,缺省值是允許對任何人的訪問,除非 TCP 封裝器(其規則通常在 /etc/hosts.allow 中)另有規定。
access_times
一天中服務可用的時間。例如,“6:00-23:00”意味着服務從上午 6 點到晚上 11:01 可用。
log_type, log_on_success, log_on_failure
各種日誌記錄選項。USERID 標誌可能特別麻煩,因爲它向連接的主機詢問關於與我們連接的用戶,這使得處理變慢。儘可能避免使用 USERID。
bind
允許服務特定於接口,通常是出於安全性考慮。例如,在網絡內部的 FTP 服務只是 FTP,而外部 FTP 連接將生成入侵者警報。“id”參數在這裏很有用。
per_source
指定來自源 IP 的服務的最大實例數。對於處理“單源拒絕服務(single-source denial-of-service)”攻擊或出錯程序建立的過多連接非常有用。
cps
每秒允許的最大連接數,以及服務再度啓用之前的秒數。“30 45”表示“每秒 30 個入站連接,如果超過限制,則等待 45 秒”。主要用於對付拒絕服務攻擊。
deny_time
對引發 SENSOR 標誌的人拒絕服務的時間。
替換 TCP 封裝器
經典的 TCP 封裝器軟件包是個非常有用的工具。通過一個集中式的文件(通常是 /etc/hosts.allow 和 /etc/hosts.deny),針對每個服務,根據需要來允許或拒絕對任何主機的訪問。不幸的是,TCP 封裝器庫不太瞭解系統負載、資源限制、多重攻擊之類的情況。xinetd 合併了 TCP 封裝器功能性(通過 libwrap 庫),所以您可以順利地遷移到 xinted,並繼續使用和以前相同的配置文件。
這差不多就是遷移所要做的全部工作了。保持舊的 hosts.deny 和 hosts.allow 文件,xinetd 將樂意遵循它們。但是,請牢記,xinetd 有許多在 TCP 封裝器基礎上改進的連接控制選項。例如,限制每秒連接數或過載時的連接數,可以成爲對服務器管理極有價值的幫助。
確保您是使用 libwrap 選項編譯 xinetd 的,否則,它將不知道 TCP 封裝器。如果 xinetd 來自於 Red Hat Linux 上的 RPM,確保您在開放機器“之前”,測試 TCP 封裝器文件是否正常運行。
高級用途:故障轉移
儘管可以有多種方法使用 xinetd,redirect 參數爲我們提供了最有趣的使用方法。衆所周知,故障轉移很難實現,並且硬件故障轉移很昂貴。這裏所描述的方法(通過簡單的軟件)既便宜又有效。它具有單故障點 — 重定向點,所以您應該考慮該方式是否可接受。如果不能接受,那麼,硬件故障轉移就貴得有道理了。
首先,確定一種方法從兩臺或者更多的機器中選出一臺“活動的”機器。假設您通過一個腳本 set_active.pl 來完成(我們將爲 telnet 服務完成該步,但是它對任何其他服務也有效,只要能保持服務切換到其他服務器而不帶來不良影響)。腳本將採用我們用來設置新故障轉移的機器名,以及給我們適當的用於編輯的 /etc/xinetd.d/SERVICE 文件的服務名。請隨意定製腳本以編輯不同文件,或使用不同參數。可以用一行“perl -p -i -e”腳本執行這個作業,但您可以在將來對這種方法作許多擴展,並可以對參數執行錯誤檢查。
這太簡單了。現在只要決定調用這個腳本的過程即可 — 可以是手工、通過一個 cron 作業、或者由另一個程序觸發。此時,它成爲體系結構決策。別忘了在這時向 xinetd 發送 USR2 信號,如果願意,也可以重新啓動它。在 Red Hat Linux 上可以用“pkill -USR2 xinetd”完成信號的自動化,而重新啓動 xinetd 只要使用“/etc/rc.d/init.d/xinetd restart”(在 Linux 上)或者其它類似命令(在大多數 UNIX 系統上)。
這種故障轉移將“不會”對數據庫連通性生效,除非在數據庫端做許多額外工作。建議您最好將它用於諸如 rsync、ssh、ftp 和 telnet 之類的協議,其中,故障轉移機器彼此沒有相互依賴性。
結束語
很清楚,xinetd 所提供的衆多特性是選擇它的一個好理由。但是,請不要忘記 xinetd 的其它好處:錯誤一經報告就得到修正、源代碼免費可用以及從現有的 inetd 配置進行遷移(當您使用隨 xinetd 一起交付的 itox 助手程序時)非常容易。
爲什麼不使用 xinetd?向後兼容性將成爲您最好的理由,還有與您的特定平臺的非兼容性。xinetd 軟件在 Solaris 和 Linux 服務器上最流行,所以在您的特定平臺上可能會有尚未解決的問題。