Управління мережевими службами опис демона xinetd

Управління мережевими службами опис демона xinetd

Досить часто в постах я згадував демони inetd і xinetd, настав час про них поговорити. Не без участі останніх були написані такі статті:

В операційній системі Linux передбачена можливість підтримки багатьох інтернет-служб, включаючи HTTP, SMTP, telnet і FTP. Управління та запуск більшості з них осу-ється за допомогою демона inetd (Internet Daemon) або xinetd (Extended Internet Daemon). Демон inetd використовується вже протягом тривалого часу і доданий в більшість версій UNIX для підтримки управління інтернет-службами, але має обмежені можливості. Бо-леї нова програма, демон xinetd, володіє широким набором різних можливостей. Про нього і поговоримо.

Уже за назвою демона можна здогадатися, що це розширений або поліпшений вари-ант inetd. Він володіє декількома корисними можливостями, недоступними для inetd.

Конфігураціяxinetd

Одним з недоліків xinetd є те, що синтаксис, який використовується у файлі конфі-гураціі цього демона, повністю відрізняється від синтаксису для inetd. Для кожної служби використовується власний файл в каталозі /etc/xinetd.d (або будь-якому іншому місці, ко-торий вказано в директиві icludedir файлу xinetd.conf). Наприклад, файл /etc/xinetd.d/ftp може мати наступний вигляд:

Крім того, можна встановити значення за замовчуванням для всіх служб, додавши розділ de-faults в файл /etc/xinetd.conf. Ці значення будуть використовуватися за замовчуванням в тому випадку, коли вони не заміщаються інформацією файлу для конкретної служби:

Розглянемо призначення полів в розділі defaults:

Значення цих полів в розділах, що описують конкретні служби, не вимагає докладного пояснення. Ці поля дозволяють вибрати тип сокета, який використовується протокол, користувача, від імені якого запускається служба, і параметри, які передаються службі при запуску.

Установка небажаних з'єднань

Якщо на комп'ютері запущені будь-які служби, і він підключений до мережі, значить, рано чи пізно хакер перевірить захист запущених служб. Деякі з служб вимагають аутенті-ції користувачів. Але існують і вразливі версії служб, успішна атака на які можлива взагалі без процедури аутентифікації.

Контроль доступу з помощьюxinetd

Одним з найбільш важливих поліпшень в xinetd є відсутність необхідності використання TCP Wrappers, так як контроль доступу вже вбудований в сам демон xinetd. Для каж-дой служби контроль доступу може бути реалізований наступними методами:

При використанні xinetd для повної заборони доступу необхідно використовувати ат-рібут no_access в розділі defaults файлу /etc/xinetd.conf: