一、概念:
1、独立启动的守护进程:stand-alone,每个特定服务都有单独的守护进程,这个处理单一服务的始终存在的进程就是独立启动的守护进程。
2、超级守护进程:多个服务统一由一个进程管理,该进程可以管理多个服务。
3、Xinetd:即extended internet daemon,是新一代的网络守护进程服务程序,又叫超级Internet服务器,常用来管理多种轻量级Internet服务。Xinetd提供类似于inetd+tcp_wrapper的功能,但是更加强大和安全。
二、特点:
1、强大的存取控制功能
1>内置对恶意用户和善意用户的差别待遇设定;
2>使用libwrap支持,其效能更甚于tcpd;
3>可以限制连接的等级,基于主机的连接数和基于服务的连接数;
4>设置特定的连接时间;
5>将某个服务设置到特定的主机以提供服务。
2、有效防止DoS攻击
1>可以限制连接的等级。
2>可以限制一个主机的最大连接数,从而防止某个主机独占某个服务。
3>可以限制日志文件的大小,防止磁盘空间被填满。
3、强大的日志功能
1>可以为每一个服务syslog设定日志等级。
2>如果不使用syslog,也可以为每个服务建立日志文件。
3>可以记录请求的起止时间以决定对方的访问时间。
4>可以记录试图非法访问的请求。
4、转向功能
可以将客户端的请求转发到另一台主机去处理。
5、支持IPv6
Xinetd自xinetd 2.1.8.8pre*起的版本就支持IPv6,可以通过在./configure脚本中使用with-inet6 capability选项来完成。
注意,要使这个生效,核心和网络必须支持IPv6。IPv4仍然被支持。
6、与客户端的交互功能
无论客户端请求是否成功,xinetd都会有提示告知连接状态。
三、缺点
当前最大的缺点是对RPC支持的不稳定,但是可以启动protmap,使它与xinetd共存来解决这个问题。
四、使用
原则上任何系统服务都可以使用xinetd,然而最适合的应该是那些常用的网络服务,并且这个服务的请求数目和频繁程度不会太高。像DNS和Apache就不适合采用这种方式,而像FTP、Telnet、SSH等就适合使用xinetd模式。
系统默认使用xinetd的服务可以分为如下几类:
① 标准Internet服务:telnet、ftp。
② 信息服务:finger、netstat、systat。
③ 邮件服务:imap、imaps、pop2、pop3、pops。
④ RPC服务:rquotad、rstatd、rusersd、sprayd、walld。
⑤ BSD服务:comsat、exec、login、ntalk、shell、talk。
⑥ 内部服务:chargen、daytime、echo、servers、services、time。
⑦ 安全服务:irc。
⑧ 其他服务:name、tftp、uucp。
具体可以使用xinetd的服务在/etc/services文件中指出。该文件中记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用Tab键或空格键分隔,分别表示 “服务名称”、“使用端口”、“协议名称”及“别名”。在一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。Linux系统的端口号的范围为0~65535,不同范围的端口号有不同的意义:
0:不使用。
1~1023:系统保留,只能由root用户使用。
1024~4999:由客户端程序自由分配。
5000~65535:由服务器程序自由分配。
五、安装及启停
1、安装:
rpm -ivh xinetd*
或者
yum -y install xinetd
2、启停:
#启动
service xinetd start
#停止
service xinetd stop
#重启
service xinetd restart
六、配置
Xinetd的配置文件是/etc/xinetd.conf,但是它只包括默认值,并包含/etc/xinetd.d目录中的配置文件。如果要启用或禁用某项 xinetd服务,编辑位于/etc/xinetd.d目录中的配置文件。例如,disable属性被设为yes,表示该项服务已禁用;disable属性被设为no,表示该项服务已启用。参数和值之间的操作符可以是=、+=或-=。所有属性可以使用=,其作用是分配一个或多个值。某些属性可以使用+=或-=,其作用分别是将其值增加到某个现存的值表中,或将其值从现存值表中删除。xinetd.conf配置参数如下:
配置项 说明
enabled 是否启用该服务或服务列表
disabled 是否停用该服务或服务列表
server 启动脚本的位置
server_args
socket_type 服务的数据包类型
log_type 包括:日志类型、路径、报警最大容量、停止服务的最大容量
log_on_success 成功后要将哪些值记录到日志中
log_on_failure 失败后要将哪些值记录到日志中
only_from 只有指定IP可以访问
no_access 指定IP不可以访问
access_times 允许连接的时间
user 运行此服务进程的用户
wait 服务将以多线程的方式运行
max_load 系统最大负载系数
cps m n 限制每秒m个入站连接,如果超过m,则等待n秒,主要用于对付服务攻击
port 连接的端口
nice
protocol 连接使用的协议
instances 最大连接进程数
per_source 限制每个主机的最大连接数
bind
mdns
v6only
passenv
groups
umask
banner
banner_fail
banner_success
rlimit_as 最多可用内存
rlimit_cpu CPU每秒最多处理的进程数
---------------------
作者:鹤啸九天1988
来源:CSDN
原文:https://blog.csdn.net/lzghxjt/article/details/83018710
版权声明:本文为博主原创文章,转载请附上博文链接!
原文地址:https://www.cnblogs.com/zhoading/p/10799599.html