xinetd不太詳的詳解

######################################

大蚊子整理、修正

2012.12.4 20:00

######################################

 

xinetd(eXtended InterNET services Daemon)

xinetd提供類似於inetd+tcp wrapper的功能，但更加強大、安全。

 

1. xinetd特色

1．強大的存取控制功能

— 內置對惡意用戶和善意用戶的差別待遇設定。

— 使用libwrap支持，其效能更甚於tcpd。

— 可以限制連接的等級，基於主機的連接數和基於服務的連接數。

— 設置特定的連接時間。

— 將某個服務設置到特定的主機以提供服務。

 

2．有效防止DoS***

— 可以限制連接的等級。

— 可以限制一個主機的最大連接數，從而防止某個主機獨佔某個服務。

— 可以限制日誌文件的大小，防止磁盤空間被填滿。

 

3．強大的日誌功能

— 可以爲每一個服務就syslog設定日誌等級。

— 如果不使用syslog，也可以爲每個服務建立日誌文件。

— 可以記錄請求的起止時間以決定對方的訪問時間。

— 可以記錄試圖非法訪問的請求。

 

4．轉發功能

可以將客戶端的請求轉發到另一臺主機去處理。

 

5．支持IPv6

xinetd自xinetd 2.1.8.8pre*起的版本就支持IPv6，可以通過在./configure腳本中使用with-inet6 capability選項來完成。注意，要使這個生效，核心和網絡必須支持IPv6。當然IPv4仍然被支持。

 

6．與客戶端的交互功能

無論客戶端請求是否成功，xinetd都會有提示告知連接狀態。

 

7．Xinetd的缺點

當前，它最大的缺點是對RPC支持的不穩定性，但是可以啓動protmap，使它與xinetd共存來解決這個問題。

 

2. 使用xinetd啓動守護進程

原則上任何系統服務都可以使用xinetd，然而最適合的應該是那些常用的網絡服務，同時，這個服務的請求數目和頻繁程度不會太高。像DNS和Apache就不適合採用這種方式，而像FTP、 Telnet、SSH等就適合使用xinetd模式，系統默認使用xinetd的服務可以分爲如下幾類。

① 標準Internet服務：telnet、ftp。

② 信息服務：finger、netstat、systat。

③ 郵件服務：imap、imaps、pop2、pop3、pops。

④ RPC服務：rquotad、rstatd、rusersd、sprayd、walld。

⑤ BSD服務：comsat、exec、login、ntalk、shell、talk。

⑥ 內部服務：chargen、daytime、echo、servers、services、time。

⑦ 安全服務：irc。

⑧ 其他服務：name、tftp、uucp。

 

具體可以使用xinetd的服務在/etc/services文件中指出。這個文件的節選內容如下所示：

# /etc/services:
# $Id: services,v 1.40 2004/09/23 05:45:18 notting Exp $
# service-name port/protocol [aliases ...]   [# comment]
tcpmux      1/tcp               # TCP port service multiplexer
tcpmux      1/udp               # TCP port service multiplexer
rje     5/tcp                   # Remote Job Entry
rje     5/udp                   # Remote Job Entry
echo        7/tcp
echo        7/udp
discard     9/tcp       sink null
discard     9/udp       sink null
………
服務名        端口/協議         別名      #註釋

   Internet 網絡服務文件中，記錄網絡服務名和它們對應使用的端口號及協議。

   一般情況下，不要修改該文件的內容，因爲這些設置都是Internet標準的設置。一旦修改，可能會造成系統衝突，使用戶無法正常訪問資源。

 

Linux系統的端口號的範圍爲0~65 535，不同範圍的端口號有不同的意義。

— 0：不使用。

— 1~1023：系統保留，只能由root用戶使用。

— 1024~4999：由客戶端程序自由分配。            已被使用的端口1024~49151

— 5000~65535：由服務器程序自由分配。          動態和私有端口49151~65535

 

3. Xinet工作方式：

3.1 服務的啓動和管理主要有stand alone和super daemon兩種。

         stand alone由啓動腳本啓動，腳本一般存儲在/etc/init.d/，通過/etc/init.d/[service name] restart 啓動。服務直接加載在內存中，響應迅速，適合訪問量較大的服務。

        super daemon通過超級守護進程—xinetd來控制服務。系統服務託管在xinetd進程下，當有請求訪問端口時，xinetd會啓動該服務處理訪問請求。同時xinetd還提供監控、訪問控制等安全特性，缺點是響應速度較慢。

 

3.2 xinetd提供的服務處理模式分爲兩種，一種是多線程，一種是單線程。

      multi-threaded：爲每一個允許的訪問建立一個daemon提供服務。

      single-threaded：爲所有訪問建立一個daemon提供服務。

 

3.3 Daemon工作狀態：

      signal-control：只要有客戶端請求，就立即執行。如打印機服務(cupsd)

       interval-control：每隔一段時間執行。如atd、crond。

 

4. 數據包訪問服務器資源：

 

1. 數據包->iptables->tcp wrapper->服務->Selinux->權限、ACL->本地資源

2. 數據包->iptables->tcp wrapper->xinetd->

                                       └>服務->SeLinux->權限、ACL->本地資源

 

Iptables：對數據包ip、端口、mac等信息進行過濾。

Tcp wrapper：針對tcp包頭進行ip、端口等信息的過濾。

Xinetd：監控、訪問控制、時間管理、鏈接管理等。

服務：服務本身的權限控制、訪問控制、資源控制。

SeLinux：控制進程對系統資源的訪問，進程上下文匹配文件資源上下文標籤。

權限、ACL：目錄以及文件的權限、訪問控制列表，也可以實現許多資源控制。

本地資源：存儲在本地的一系列需要被外部地址訪問的資源。銀行卡密碼等 ^.^~

# grep -i 'disable' /etc/xinetd.d/* //查看Xinetd服務狀態

 

5. /etc/xinetd.conf主配置文件 — xinetd

defaults
{
# The next two items are intended to be a quick access place to
# temporarily enable or disable services. //啓動、停止服務
#       enabled        =
#       disabled        =

# Define general logging characteristics. //日誌選項
        log_type        = SYSLOG daemon info //日誌的記錄級別（共7級）
        log_on_failure = HOST           //發生錯誤時記錄主機信息
        log_on_success = PID HOST DURATION EXIT       //成功登陸時記錄的信息

# Define access restriction defaults //訪問控制
#       no_access       = //禁止訪問
#       only_from       = //僅允許訪問
#       max_load        = 0 //用一個浮點數作爲負載係數，當1分鐘內負載達到時，該服務將停
止處理後續連接，只有Linux、Solaris、FreeBSD支持。
        cps             = 50 10      //每秒超過50個連接，等待10s。
        instances       = 50              //同一個服務的最大被連接數
        per_source      = 10             //同一客戶端的最大連接數

# Address and networking defaults //網絡設置
#       bind            = //綁定主機ip地址
#       mdns            = yes //支持組播DNS（multicast DNS），目前只有Mac OS X和linux支持。
        v6only          = no             //僅允許IPv6

# setup environmental attributes //環境屬性設置
#       passenv         = //xinetd環境中的環境變量表，該表在激活時傳遞給服務。
        groups          = yes //設定組名
        umask           = 002 //設定文件權限掩碼

# Generally, banners are not used. This sets up their global defaults //設置登錄顯示的信息
#       banner          = //建立連接時就顯示該文件信息。
#       banner_fail     = //連接失敗時，顯示文件內的信息。
#       banner_success = //連接成功時，顯示文件內的信息。
}
includedir /etc/xinetd.d

xinetd守護進程讀取/etc/xinetd.d/之中的配置信息，其他未指定的參數均按/etc/xinetd.conf中的默認配置設置。

 

6. /etc/xinetd.d/ — xinetd子配置文件

/etc/xinetd.d/ — xinetd子配置文件，大概都是形如以下格式。

service <service_name>
{
<attribute> <assign_op> <value> <value> ...
}

解釋：

1.      Service_name與/etc/services有關，xinetd會啓動與名字對應的端口。

2.      Attribute是一些xinetd管理參數

3.      assign_op參數設定方法

                               =：設定參數

                             +=：在默認配置中加入這些參數

                              -=：在默認配置中去掉這些參數

 

Attribute參數：（待補充）

Attribute屬性	explain說明
一般選項：服務啓動、啓動參數
Disable	設定值：[yes|no]   預設：disable = yes 要啓動服務，將此參數設置爲disable = no
Id	設定值：[服務名稱] 對於多個同名的服務，可用id來取代服務名。如/etc/xinetd.d/time-stream
Server	設定值：[program] 啓動服務的進程。如server = /usr/bin/rsync
server_args	設定值：[服務啓動參數] 設置服務啓動時需要的參數。如rsync：server_args = --daemon 最終服務啓動方式：/usr/bin/rsync --daemon
user	設定值：[使用者賬號] 如果xinetd以 root身份管理，這個選項可以指定其他用戶。daemon會以指定的用戶啓動服務。
mdns	設定值：[yes/no]   預設：yes 支持組播DNS（multicast DNS），目前只有Mac OS X和linux支持。查詢主機發送一個組播DNS查詢數據包，局域網內被查詢的主機響應。（與ARP類似）
group	和user意思相同！
banner	設定值：[文件路徑] 建立連接時，顯示該文件中預設信息。
banner_success	設定值：[文件路徑] 建立連接成功時，顯示該文件中預設信息。
banner_fail	設定值：[文件路徑] 建立連接失敗時，顯示該文件中預設信息。
一般選項：封包處理方式
socket_type	設定值：[stream|dgram|raw] 與封包有關 Stream — TCP數據包 dgram — UDP數據包 raw — 服務需要直接訪問IP
protocol	設定值：[tcp|udp] 一般使用socket_type取代這個選項 參考/etc/protocols中的通訊協議，一般使用tcp、udp。
wait	設定值：[yes(single)|no(multi)] 預設值：wait = no 設定服務的Multi-threaded或single-threaded運行方式。 一般設定爲wait = no，允許爲每個連接創建一個daemon。 Udp — yes       Tcp — no
instances	設定值：[數字或UNLIMITED] 服務可接受的最大連接數。
per_source	設定值：[數字或NULIMITED] 每個IP的最大連接數。
cps	設定值：[數字1 數字2] 避免短時間內大量的訪問請求導致系統過於繁忙，可以設置這個選項。 數字1：一秒內能夠接受的最多新連接 數字2：若超過數字1，暫時關閉該服務的秒數。
max_load	設定值：浮點數[0 2.5 4.5等] 用一個浮點數作爲負載係數，當1分鐘內負載達到時，該服務將停止處理後續連接，只有Linux、Solaris、FreeBSD支持。Xinetd編譯需要-with-loadavg參數
Flags	設定值： [INTERCEPT,NORETRY,IDONLY,NAMEINARGS,NODELAY,KEEPALIVE, NOLIBWRAP,SENSOR,IPv4,IPv6,LABELED,REUSE] 可以使用多個參數   SENSOR:作用是使用一個SENSOR代替當前服務。 需要注意的幾個問題： 1． 該服務是管理員不想提供的服務； 2． 服務不能檢查的掃描動作； 3． 記錄向該服務訪問的客戶地址，並記錄到作用於全局的no_access列表中，使得請求過該服務的IP在deny_time過期之前一直都拒絕訪問； 4． xinetd認爲該服務server屬性是INTERNAL； 5． 使用該標記的socket_type爲stream，需要設置wait爲no。
一般選項：日誌記錄選項
log_type	設定值：[日誌進程 日誌等級] 運行服務時，記錄的日誌信息。默認日誌記錄等級是info。
Log_on_success log_on_failure	設定值：[PID,HOST,USERID,EXIT,DURATION] 『成功登錄』或『失敗登錄』後記錄的內容： PID：服務進程號； HOST：遠程主機IP USERID：客戶登錄的賬號 EXIT：斷開連接時記錄的項目 DURATION：用戶使用服務的時間
高級選項：網絡端口、聯機機制等
Env	設定值：[變量名稱=變量內容] 設定一個環境變量，在服務被激活時追加到服務環境變量中。
Passenv	設定值：[變量1=值1 變量2=值2 變量3=值3] 用空格分開的xinetd環境中的環境變量表，該表在激活時傳遞給服務程序。
Port	設定值：[端口號] 設置服務監聽的端口，注意port與/etc/services內的記錄要相同。
Redirect	設定值：[遠程主機IP port] 將客戶端對服務的請求轉發到另外一臺服務器上去。
Includedir	設定值：[目錄名稱] 將外部配置導入當前的配置文件。
Nice	設定值：[-20至19] 設定服務運行的優先級。
安全控制
bind	設定值：[IP] 綁定主機的一個ip地址，只爲它提供服務。多ip地址時有用。
interface	設定值：[IP] 同上
only_from	設定值：[0.0.0.0, 192.168.1.0/24, hostname, domainname] 只允許某些ip訪問服務。
no_access	設定值：[0.0.0.0, 192.168.1.0/24, hostname, domainname] 拒絕某些主機訪問服務。
access_times	設定值：[00:00-12:00, HH:MM-HH:MM] 設置服務可訪問的時間段。
umask	設定值：[000, 777, 022] 設定文件權限掩碼

 

6.1 基本屬性

上面的列表是xinetd可用的所有屬性，針對一個服務只需要指定幾個屬性。

xinetd設定服務必需的屬性：

屬性	適用範圍
socket_type	所有服務
user	Non_internal service only 非內部服務
server	Non_internal service only 非內部服務
wait	所有服務
protocol	不在/etc/services中的所有RPC服務和所有其他服務
rpc_vision	所有RPC服務
rpc_number	不在/etc/rpc中的任何RPC服務
port	不在/etc/services中的非RPC服務

 

6.2 支持多操作符的屬性

       對於大多數的服務而言，在針對一個服務的設定中操作符只能出現一次，並只支持=操作符，下面六個屬性可以支持多個操作符。

 

支持多操作符的屬性：

屬性	適用範圍
only_from	支持所有操作符
no_access
log_on_success
log_on_failure
passenv
env	不支持-=操作符

 

6.3 默認屬性

defaults項是實現爲所有服務指定某些屬性的默認值。默認值可被每個服務項取消或修改。

 

可用的defaults屬性：

屬性	適用範圍
log_on_success	可以用=操作符改寫，或用+=或-=操作符修改
log_on_failure
only_from
no_access
passenv
instances	可以用=操作符改寫
log_type
disabled	註銷的服務
enabled	指定啓用的服務

 

6.4 disabled與enabled

        前者的參數是禁用的服務列表，後者的參數是啓用的服務列表。共同點是格式相同（屬性名、服務名列表與服務中間用空格分開，例如disabled = in.tftpd in.rexecd），此外，它們都是作用於全局的。如果在disabled列表中被指定，那麼無論包含在列表中的服務是否有配置文件和如何設置，都將被禁用；如果enabled列表被指定，那麼只有列表中的服務纔可啓動，如果enabled沒有被指定，那麼disabled指定的服務之外的所有服務都可以啓動。

 

6.5 注意問題

① 在重新配置的時候，下列的屬性不能被改變：socket_type、wait、protocol、type；

② 如果only_from和no_access屬性沒有被指定（無論在服務項中直接指定還是通過默認項指定），那麼對該服務的訪問IP將沒有限制；

③ 地址校驗是針對IP地址而不是針對域名地址。

 

7. 對內外網分別應用不同設置—telnet爲例

7.1 要求：

  內網：

         o 綁定內網；

         o 對127.0.0.0/8 開放登陸權限；

         o 沒有連接限制；

         o 127.0.0.100和127.0.0.200不允許使用telnet登陸。

  外網：

         o 綁定外網

         o 僅開放192.168.0.0/24網絡和.edu.cn域可以登陸；

         o 開放的時間爲早上1-9 點，晚上20-24點；

         o 服務最大允許10個連接。

 

7.2 配置：

service telnet
{
#——————————增加———
disable = yes    #啓動
bind = 127.0.0.1       #綁定服務在127.0.0.1這個ip上
only_from = 127.0.0.0/8           #允許登陸
no_access = 127.0.0.{100,200}        #限制登陸
instances = UNLIMITED                     #不限制服務最大連接數
#——————————增加———
        flags           = REUSE
        socket_type     = stream
        wait            = no
        user            = root
        server          = /usr/sbin/in.telnetd
        log_on_failure += USERID
        disable         = yes
}
service telnet
{
#——————————增加———
disable = yes    #啓動
bind = 192.168.0.250       #綁定服務在192.168.1.100這個ip上
only_from = 192.168.0.0/24    #允許訪問
only_from += .edu.cn                #允許訪問
access_times = 01:00-9:00 20:00-23:59 #提供telnet服務的時間
instances = 10          #服務僅提供10個鏈接
#——————————增加———
        flags           = REUSE
        socket_type     = stream
        wait            = no
        user            = root
        server          = /usr/sbin/in.telnetd
        log_on_failure += USERID
        disable         = yes
}

7.3 測試：

xinetd監聽了2個ip地址。

 

Xinetd爲不同的網段提供了不同的訪問控制。

7.4 總結：

不同的ip地址相同的服務可以使用相同的端口。一個主機有2塊網卡對應不同的網絡，xinetd可提供不同的配置。

 

8. 利用xinetd設置sensor陷阱，隔離惡意訪問

       許多暴露在公網的服務器都承擔了巨大的安全風險，時時可可都可能被掃描、被***。當有人連接管理員不希望被訪問的端口時，xinetd可以記錄這個端口，並拒絕這個傢伙對服務器中xinetd所託管服務端口的訪問請求，這樣他就跟你的服務器無緣了。

 

Xinetd.conf參數中有一項deny_time是用來設置拒絕時間的，flags選項用來爲服務添加標誌，不同的標誌有不同的功能，具體如下：

 

Deny_time = <forever | never | minutes>
            直到xinetd重啓 | 僅記錄日誌 | 拒絕X分鐘

Flags=SENSOR //記錄訪問服務的IP地址，添加到作用於全局的no_access列表中，
使得請求過該服務的IP在deny_time過期之前一直都拒絕訪問。

 

8.1 實驗：

#yum install rsh-server //服務端
#yum install rsh                 //客戶端，提供rsh、rlogin、rcp命令
#yum install telnet-server //telnet用於測試
#yum install telnet
#chkconfig rlogin on
#chkconfig rsh on
#chkconfig telnet on

#vim /etc/xinetd.d/rlogin
service login
{
        disable = no
        socket_type             = stream
        wait                    = no
        user                    = root
        log_on_success          += USERID
        log_on_failure          += USERID
        server = /usr/sbin/in.rlogind
        flags = SENSOR
        deny_time = forever
}

 

8.2 客戶機測試

#yum install telnet rsh

      Xinetd服務實際上監聽了rlogin-server的端口，由於帶有flags=SENSOR標記，sensor會記錄客戶ip並將其添加到真對全局的no_access列表裏面去。所以，惡意的訪問都不能訪問xinetd託管的服務了。

              注：重啓xinetd服務，禁用ip會失效。

 

另外一個高級用法是，利用sensor爲任意端口做陷阱。

       1.修改/etc/services下對應服務的端口

2.在/etc/xinetd.d/telnet配置文件中添加port=80

這樣外部訪問80端口的請求都會被禁止，可以將apache修改爲其他非常規端口。

 

9. 建立自定義xinetd託管服務

 

1.編寫一個test.c程序並編譯

#cat /tmp/test.c
#include <stdio.h>
main()
{
printf ("hello world\n");
return 0;
}
#gcc /tmp/test.c -o /tmp/test

2.在/etc/xinetd.d/中增加配置文件

#cp telnet test
#vim test
service test_server
{
        disable = no
        flags           = REUSE
        socket_type     = stream
        wait            = no
        user            = root
        server          = /tmp/test
        log_on_failure += USERID
        port            =9015
}

3.在/etc/services裏添加一行

test_server        9015/tcp

 

4.重啓xinetd服務

#service xinetd restart

5.測試

另一臺計算機上運行

#telnet 192.168.0.250 9015

      自定義xinetd服務，需要一定的linux C開發技能，要求熟悉linux C語言的網絡開發。這對我來說還是很有難度的。

 

10. xinetd防止拒絕服務***（Denial of Services）的原因

 

xinetd能有效地防止拒絕服務***（Denial of Services）的原因如下。

1．限制同時運行的進程數

       通過設置instances選項設定同時運行的併發進程數：

Instances=20

       當服務器被請求連接的進程數達到20個時，xinetd將停止接受多出部分的連接請求。直到請求連接數低於設定值爲止。

 

2．限制一個IP地址的最大連接數

       通過限制一個主機的最大連接數，從而防止某個主機獨佔某個服務。

per_source=5

     這裏每個 IP地址的連接數是5個。

 

3．限制日誌文件大小，防止磁盤空間被填滿

       許多***者知道大多數服務需要寫入日誌。***者可以構造大量的錯誤信息併發送出來，服務器記錄這些錯誤，可能就造成日誌文件非常龐大，甚至會塞滿硬盤。同時會讓管理員面對大量的日誌，而不能發現***者真正的***途徑。因此，限制日誌文件大小是防範拒絕服務***的一個方法。

log_type FILE.1 /var/log/myservice.log 8388608 15728640

      這裏設置的日誌文件FILE.1臨界值爲8MB，到達此值時，syslog文件會出現告警，到達15MB，系統會停止所有使用這個日誌系統的服務。

 

4．限制負載

          xinetd 還可以使用限制負載的方法防範拒絕服務***。用一個浮點數作爲負載係數，當負載達到這個數目的時候，該服務將暫停處理後續的連接。

max_load = 2.8

        上面的設定表示當一項系統負載達到2.8時，所有服務將暫時中止，直到系統負載下降到設定值以下。

 注意：

        要使用這個選項，編譯時應加入“--with-loadavg”，xinetd將處理max-load配置選項，從而在系統負載過重時關閉某些服務進程，來實現防範某些拒絕服務***。

 

5．限制所有服務器數目（連接速率）

    xinetd 可以使用cps選項設定連接速率，下面的例子：

cps = 25 60

      上面的設定表示服務器每秒最多啓動25個連接，如果達到這個數目將停止啓動新服務60秒。在此期間不接受任何請求。

 

6．限制對硬件資源的利用

  通過rlimit_as和rlimit_cpu兩個選項可以有效地限制一種服務對內存、中央處理器的資源佔用：

rlimit_as = 8M

rlimit_cpu=20

     上面的設定表示對服務器硬件資源佔用的限制，最多可用內存爲8MB，CPU每秒處理20個進程。

 

        xinetd的一個重要功能是它能夠控制從屬服務可以利用的資源量，通過設置可以達到這個目的，有助於防止某個xinetd服務佔用大量資源，從而導致“拒絕服務”情況的出現。