在
linux
下,主机常常会收到一些要求,比如来自本机系统要求或者是网络客户端的服务要求,只要有要求来的时候,通常就是各式各样的进程负责去唤起应该要工作的服务来工作!
守护进程目前有两种基本的模式,分别是有独立守护进程与和非独立守护进程两种方式,其中非独立守护进程的各项工作由超级守护进程
xinetd
(一种特殊的独立守护进程)代为管理。
换句话说,可以理解为超级守护进程可以代表全部的非独立守护进程。
独立守护进程(
stand_alone
):
独立守护进程之后,就直接常驻在内存当中!他虽然会一直的占用系统的资源,但最大的优点就是,他会一直启动!所以当有要求来的时候,他就会很快速的响应!常常用在这一种
进程的网络服务如常见的
httpd
、
vsftpd
等。
超级守护进程(
super daemon
):
相对于独立守护进程的执行方式,这一种服务的启动方式则是由统一的一个进程来负责唤起该服务!这一个统一负责的进程就是
xinetd
!常用非独立守护进程的网络服务有
telnet
、
tftp
等。
下面说说超级守护守护进程的相关信息。
超级守护进程的配置文件位于
/etc/xinetd.conf
中,这个文件相当于那些非独立守护进程的配置文件的模板。在设置非独立守护进程的配置文件时可以参考这个文件。
defaults
# The next two items are intended to be a quick access place to
# temporarily enable or disable services.
# enabled =
# disabled =
确定是否开启本服务,如果
enabled=yes
,或者
disabled=no
就打开该项服务,反之
enabled=no
或者
disabled=yes
就是关闭该项服务喽!在非独立守护进程的配置文见中默认是
disable = yes
# Define general logging characteristics.
log_type = SYSLOG daemon info
log_on_failure = HOST
log_on_success = PID HOST DURATION EXIT
定义登陆特征的选项,
log_type
选项设置显示登陆类型,如果登录失败,显示主机名,如果登陆成功,则显示登陆用户的
PID
,主机名,在线时间,出口。在非独立守护进程的配置文见中默认是
log_on_failure += USERID
“
+=
”的意思是在
xinetd.conf
的基础上再加上
USERID
# Define access restriction defaults
# no_access =
# only_from =
# max_load = 0
cps = 50 10
instances = 50
per_source = 10
定义用户登陆时的限制选项,“
no_access =
”后跟不允许登录的主机,“
only_from=
”后跟允许登陆的主机。表示主机的方法有四种。分别是:
1、
以网段形式
例如:
192.168.1.0
2、
以网络名形式
这些网络名来自
/etc/networks
的配置文件或者
NIS
域
例如:
@mynetwork
3、
以主机名形式(必须以
.
开头,切记)
例如:
.domain.com
4、
以
IP
地址加上子网掩码
例如:
192.168.0.0/255.255.255.0
或者
192.168.0.0/24
【注】当在配置文件中同时存在
no_access
和
only_from
时系统取最佳匹配。也就是说以指定范围小的那个选项为准。若两个都不存在,则允许访问。
max_load
最大登陆的客户端数
cps
限制进入的数率。这一项有两个值,前一个值代表每秒钟处理的最大并发链接数,但是如果超过最大链接时,后面一个值就有用途了。在超过最大链接数的情况下,当有新的链接进来时需要等待一段时间后重新进行链接,后一个值就是来定义这个等待时间的。
per_source
允许一个
IP
发起的最大并发链接数。
# Address and networking defaults
# bind =
# mdns = yes
v6only = no
bind
的作用是绑定监听地址
v6only
定义是否支持
IP v6
地址协议
# setup environmental attributes
# passenv =
groups = yes
umask = 002
这是设置环境变量的一些参数,一般用默认值就行了,在非独立守护进程中一般不会出现。
# Generally, banners are not used. This sets up their global defaults
# banner =
# banner_fail =
# banner_success =
一般来说,
banners
的用途不大。其作用是:当客户端链接时反馈给客户端的欢迎信息或者登录失败信息。
下面就以
telnet
服务为例来具体说明:
telnet
服务的配置文件在
/etc/xinetd.d/telnet
中,打开其配置文件可以看到:
service telnet{
disable = no
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.telnetd
only_from =192.168.0.0/24
log_on_failure += USERID
access_times =8:00-18:00
}
其中:
flags
表示服务运行标志
socket_type
表示套接字类型,他有两个选项。
stream
表示使用的是
TCP
协议,
dgram
表示使用的是
UDP
协议。
server
表示客户端使用
telnet
登录服务器时,服务器要调用的系统进程。
wait
有
yes
和
no
两个选项,
yes
表示单线程,由非独立守护进程自己来管理用户的登录情况,
no
表示多线程,由
xinetd
代为管理用户登录情况。
user
以某个用户的身份来运行该程序。
access_times
设定用户可以访问的时间段。
下面说一下
tcp_warpper
的一些设置:
事实上,除了使用
xinetd
来设定安全机制之外,
我们还可以利用额外的机制来抵挡某些不受欢迎的主机!
那就是
/etc/hosts.allow
以及
/etc/hosts.deny
这两个档案的功能啦!
tcp_warpper
的工作原理图为:
当有外界访问请求时,
tcp_warpper
就去
/etc/hosts.allow
文件中寻找对应条目,如果在该文件中寻找到就允许访问,如果寻找不到就接着去
/etc/hosts.deny
文件中寻找,如果找到,就拒绝访问,如果寻找不到,则允许访问。
这两个文件内容基本的语法是:
<service(program_name)> : <IP, name
,
netmask
,
network name> : <action>
第一项
<service(program_name)>
服务进程名:即可执行二进制程序名,不是服务名。
如是独立守护进程,则直接写进程名,例如
vsftpd
如果是非独立守护进程,要在进程名前加
”in.”
,例如
in.tenletd
另外,如果服务器端有两块以上的网卡,还可以对网卡进行绑定,即设置客户端是基于那块网卡来进行访问的。例如:
in.telnetd@192.168.0.254 : 192.168.0.
第二项
<IP, host name
,
netmask
,
network name>
IP
即单个具体的
IP
地址,例如
:
192.168.0.82
还有一个特殊之处是
IP
地址可以写成
192.168.0.
意思是
192.168.0.
网段内的所有主机。
host name
即某个域名,必须以“
.
”开头,例如
.example.com
意思是包括
example.com
域中所有主机。
netmask
即包括某个网段,
例如:
192.168.0.0/255.255.255.0
【注:】与非独立守护进程配置文件不同,该文件不支持无类域间路由,所以不能写成
192.168.0.0/24
必须写成子网掩码形式
192.168.0.0/255.255.255.0
network name
即这些网络名来自
/etc/networks
的配置文件或者
NIS
域
例如:
@mynetwork
此外,我们还可以使用一些特殊参数(即宏定义)在第二项!内容有:
* ALL
:代表全部的
program_name
或者是
IP
都接受的意思,
例如
ALL: ALL: deny
* LOCAL
:匹配来自本地主机;例如:
ALL: LOCAL: allow
* UNKNOWN
:表示不可被解析的
IP
,
domain
等主机;
* KNOWN
:表示为可解析的
IP, domain
等主机;
* PARANOID
:表示正反向解析不匹配的地址;
* EXCEPT
:表示不包含后面的主机;
例如:
in.telnetd:192.168.0. EXCEPT 192.168.0.82
【注:】这些特殊参数必须要大些。
第三项
<action>
主要的内容有:
*spawn
可以利用后续接的
shell
来进行额外的工作,且具有变数功能,主要的变数内容为:
%h, %a, %d
等等;
%a
表示客户端地址
%A
表示服务器端地址
%h
表示客户端主机名(如果名字不存在,则用
IP
来表示)
%H
表示服务器端主机名
%d
表示该项服务的可执行文件名
%c
表示客户端信息(以
user@host
格式来表示)
%s
表示服务器短信息(以
server@host
格式来表示)
%p
表示
PID
%%
表示转义字符
%
* twist
立刻执行后面的指令,且执行完后终止该次连线的要求
(DENY)
*banners
读取
/var/banners/servicename
下的的文件,将文件内的欢迎信息显示给登陆用户
切记
servicename
必须要与第一项
service
名字相同。否则就读取不到这些信息。有关具体实验步骤,请参阅实验部分。
本文转自 linuxtro 51CTO博客,原文链接:http://blog.51cto.com/linuxtro/278641,如需转载请自行联系原作者
