Xinetd-aluke

Xinetd-aluke


Xinetd on huoltaja, joka hallitsee tietokoneesi käyttöä internetistä. Se on demoni, joka toimii jatkuvasti ja kuuntelee kaikkia portteja yhteys- tai palvelupyyntöjä varten. Jos et aja palvelinta, et tarvitse xinetd-tiedostoa. Vaikka tietokoneesi olisi tarkoitettu vain kotikäyttöön, joudut ehkä myöntämään muille pääsyn tietokoneesi palveluihin jossain vaiheessa tulevaisuudessa. Kun teet, sinun on asennettava xinetd tietokoneesi suojaamiseksi haittaohjelmilta.

Käyttöjärjestelmä

Xinetd-apuohjelma kirjoitettiin Unix- ja Unix-kaltaisille järjestelmille. Joten se asennetaan Linuxiin ja Mac OS: ään, mutta ei Windowsiin. Ohjelmaa voi käyttää vapaasti, ja sitä voi käyttää GitHubista.

Voit hankkia ohjelman tältä päävarastolta, ja koodilla on myös yksi haarukka. Tämä on tunnettu ja luotettava ohjelma, joka on ladattu ja asennettu useita kertoja, joten sinun ei pitäisi huolehtia ohjelman vahingollisen väärennöksen vaaroista.

Ksinetin tarkoitus

Ksinettijärjestelmän on tarkoitus toimia kuten palvelin. Luultavasti tiedät, että tyypillisessä Internet-yhteydessä yksi tietokone ottaa yhteyttä toiseen. Yhteyden käynnistävää tietokonetta kutsutaan “asiakasJa ohjelma, johon otetaan yhteyttä, on ”palvelin.”Yhteyden syy tavallisesti on, että asiakas voi saada palvelun palvelimelta. Yhteydessä olevassa tietokoneessa on kuitenkin oltava käynnissä oleva ohjelma, joka odottaa pyyntöjä. Tämä on xinetd: n funktio.

Perusvaatimus xinetd: lle on, että se vastaanottaa pyynnöt ja välittää ne oikealle sovellukselle, joka ilmaistaan ​​saapuvan yhteyden tai palvelupyynnön otsikkoon kirjoitetulla porttinumerolla. Xinetd-ohjelma ei todellakaan tarjoa pyydettyä palvelua, mutta toimii portinvartijana.

Vaihtoehdot: xinetd vs Inetd

Xinetdin kehittäjät eivät olleet ensimmäisiä, jotka keksivät ajatuksen ohjelmasta, joka kuuntelee verkossa saapuvia pyyntöjä. Itse asiassa xinetd on tarkoitettu parannukseksi alkuperäiseen ohjelmaan, joka suoritti tämän tehtävän, jota kutsutaan inetd.

Nimi “xinetd” on lyhenne sanasta “laajennettu Internet-palvelujen daemon”. ”Internet services daemon” kuvaa alkuperäistä inetd. Inetd: llä saat saman palvelinpyyntövalvonnan, jonka xinetd tarjoaa. Tällä demonilla ei kuitenkaan ole puolustusmekanismeja, joten sitä pidetään nyt epävarmana.

Vanha inetd ei toiminut yksin. Se välitti pyynnöt tcpd, joka tarkisti oikeustiedostot (hosts.allow ja hosts.deny). Kuten nimestä voi päätellä, tcpd käsittelee TCP-yhteyspyyntöjä. Se tutkii kuitenkin myös UDP-portteja, joten se on kuljetuskerroksen käyttöliittymän toteutus. Saatat nähdä myös maininnan TCP-kääreestä - tämä on vain uusi nimi tcpd: lle. Tcpd: n sisällyttäminen lisäsi jonkin verran pääsynhallinnan parannuksia. Lupaprosessia kuitenkin ohjasi kaksi käsin täytettyä tiedostoa, joten se ei ollut kovin kattava tietoturvaratkaisu.

Xinetd-ominaisuudet

Kineettinen toimintatapa on samanlainen kuin inetd ja tcpd. Xinetd-ratkaisulla on kuitenkin paljon parempia suojausominaisuuksia kuin inetd / tcpd-yhdistelmässä. Daemonin ominaisuuksiin kuuluvat:

  • pääsynhallinta TCP: lle ja UDP: lle
  • tapahtumaloki, joka tallentaa yhteyden onnistumisen ja epäonnistumisen
  • kulunvalvonta aikasegmenttien perusteella
  • samanaikainen palvelinraja - palvelunestohyökkäysten torjunta (DoS)
  • lokitiedoston kokorajoitus
  • palveluiden allokointi eri rajapinnoille mahdollistaen tiettyjen palveluiden rajoittamisen yksityiseen verkkoon
  • välityspalvelin, mukaan lukien verkkoosoitteen käännös

Xinetd pystyy toimimaan välittäjänä RPC-palvelut. Tätä toimintoa ei kuitenkaan ole kovin hyvin toteutettu. Turvallisuusominaisuuden puute RPC: ssä on vähentänyt pääsyä kyseiseen palveluun, joten on epävarmaa, että xinetdin kehittäjät käyttävät aikaa RPC-rajapinnan parantamiseen.

Kulunvalvontamenetelmät

Kuten inetd, xinetd antaa sinun sallia tai estää yhteyksiä pyynnön esittäjän IP-osoitteen mukaan. Inetd: n avulla voit myös tunnistaa sallitut ja estetyt yhteyslähteet isäntänimen tai verkkotunnuksen perusteella. Jokainen näistä vaihtoehdoista vaatii hakumenettelyn. Isäntänimet-vaihtoehdon tapauksessa tarvitset, että nämä nimet on määritetty oman verkon DNS-järjestelmässä. Verkkotunnusten osalta luultavasti parempi luottaa julkiseen DNS-järjestelmään.

Sinun on valittava, tunnistaako hakijat IP-osoitteen, isäntänimen tai verkkotunnuksen nimen perusteella. kuitenkin, IP-osoitteella pysyminen luo yhteyksiä nopeammin koska se eliminoi hakuvaiheen tarpeen.

Järjestelmän kokoonpano

Jotta voit käyttää xinetd: tä, sinun on ensin asennettava se ja sitten päivitä kokoonpanotiedosto. Pohjimmiltaan asetustiedosto on xinetd-koneesi komentokeskus. Koska tämä ohjelma on demoni, kun olet käynnistänyt sen, se jatkuu ikuisesti. Se ei ole interaktiivinen apuohjelma, jota voit säätää komentorivillä. Kaikki viestintäsi ohjelman kanssa tapahtuu asetustiedoston kautta.

Demoni jatkaa konfigurointitiedoston tarkistamista aina, kun se vastaanottaa pyynnön ulkomaailmasta. Se ei lataa kokoonpanoa muistiin, kun se käynnistyy. Se tarkoittaa voit säätää daemonin suorituskykyä sen ollessa käynnissä muuttamalla konfiguraatiotiedostossa olevia ohjeita.

Xinetin asetustiedosto on paljon tärkeämpi kuin muiden apuohjelmien konfigurointijärjestelmät. Tämä johtuu siitä, että voit muuttaa daemonin ohjeita kokoonpanon avulla tarvitsematta pysäyttää xinetd-ohjelmaa ja käynnistää sen uudelleen.

Asetustiedoston asettaminen

Etsi tiedosto /etc/xinetd.conf. Tämä on ohjelman päämääritystiedosto, ja se toimii hakutaulukkona, jota sovellus lukee, jotta voidaan selvittää, mitkä yhteydet sallitaan ja mitkä palvelut soittaa.

Voit luoda xinetd.conf-tiedoston olemassa olevasta inetd.conf arkistoi xconv.pl ohjelma, joka muodostaa osan paketista, jonka voit ladata GitHub-arkistosta xinetd-sovellukselle. Suorita muuntamisohjelma seuraavalla komennolla:

/usr/local/sbin/xconv.pl < /etc/inetd.conf > /etc/xinetd.conf

Uusi asetustiedosto ei ole täydellinen, ja sitä on muutettava edelleen, ennen kuin voit käynnistää xinetd.

Konfigurointitiedoston oletusosa

Kun etsit äskettäin luotavaa xinetd.conf-tiedostoa, sinun on keskityttävä kahteen avainten kokoonpano-osaan. Ensimmäinen näistä on oletukset osa ja toinen on palvelut jakso.

Kuten todennäköisesti jo arvasit, oletusosasto kertoo xinetd: lle, mitä tehdä, jos se ei löydä tarkempia ohjeita nykyiselle tehtävälleen palveluosiossa.

Jotkut avaintoiminnot, jotka voit asettaa oletusosioon, ovat:

  • only_from
  • ei pääsyä
  • log_type
  • log_on_success
  • log_on_failure
  • tapauksissa
  • per_source

Seuraavissa osissa selitetään näitä vaihtoehtoja yksityiskohtaisemmin.

Pääsyehdot

Only_from ja ei pääsyä suorittaa tosiasiallisesti sama tehtävä, joka on estää (ei pääsyä) tai sallia (vain_sivulta) tietty osoite tai osoitealueet. On suositeltavaa käyttää yhtä näistä vaihtoehdoista estämään kaikki oletusarvoisesti ja muodostamaan sitten palvelulista alempana määritystiedostoon. Tällä strategialla peität itsesi, jos tapahtuu tapahtuma, jota et ole ilmoittanut.

Nämä kaksi vaihtoehtoa ovat myös kelvollisia komentoja sisällytettäväksi palveluosaan. Niin voit aloita kaiken kieltäminen oletuksena ja lisää palveluita. Jos on palveluosa, joka liittyy yhteyspyyntityyppiin, jonka xinetd vastaanottaa, se ei katso konfiguroinnin oletusosaa.

Palvelun kuvauksessa only_from- ja no_access -ohjeet ohittavat oletusosion lauseet only_from and no_access..

Näiden kahden vaihtoehdon muoto on

=

Muista, että osoitteet voidaan ilmaista IP-osoitteina, isäntäniminä tai verkkotunnusten niminä. On kuitenkin parempi pysyä IP-osoitteissa. Voit määrittää alueen CIDR-merkinnällä. Tässä on kaksi esimerkkiä siitä, kuinka voit käyttää näitä vaihtoehtoja:

no_access = 0.0.0.0/0

Tämä on luultavasti yleisin rivi oletusasetuksissa, koska se estää kaikkia. Oletusosa on vain siellä konfiguraatiotiedostossa, joka kertoo xinetd: lle, mitä tehdä, jos palvelupyyntö ei kuulu palvelu-osioon. Sinun tulisi työskennellä olettamalla, että pystyt tarjoamaan erityisiä ohjeita jokaiselle palvelutyypille, joita tietokoneesi voi tarjota, joten on kohtuullista todeta, että kaikki muut pyynnöt estetään. Kuten eksklusiivisen VIP-juhlan ovimies sanoo: "Jos et ole luettelossa, et pääse sisään".

Vaihtoehto tälle strategialle on päästää kaikki sisään. Voit toteuttaa tämän:

vain_alkaen = 0.0.0.0/0

Tällä käytännöllä ei ole todella merkitystä oletusosassa. Oletusosaan viitataan vain, jos et ole laatinut palvelun ohjeita, joten kun xinetd turvautuu oletuksiin, siinä on tapaus, jossa ei ole mitään ohjeita siitä. Joten pääsyn salliminen näissä olosuhteissa johtaisi virheeseen, koska et ole kertonut xinetd: lle mitä tehdä pyynnölle. On loogista käyttää tätä vain "kaikki vain" -valintaa palvelun kuvauksessa, joten tämä viesti ilmoittaa xinetd: lle sallivan pyynnöt kaikilta mahdollisilta lähteiltä käyttää tätä palvelua..

Valitettavasti erikseen vaihtoehtoista only_from ja no_access voitaisiin luoda ristiriita, jos toteuttaisit yllä kuvatun käytännön. Tuo on, Sekä no_access että only_from ovat maailmanlaajuisia ja xinetd tarkistaa molemmat joka kerta, kun sen on suoritettava tehtävä. Joten jos olet asettanut molemmat, demoni vahvistaa saapuvan pyynnön no_access-käskyn perusteella oletusosiossa, vaikka palvelun määritykset olisivat voimassa.

Tämä maailmanlaajuisen no_access- ja only_profiilin ongelma voidaan ratkaista päättämällä politiikasta vain koskaan käyttäessäsi yhtä tai toista xinetd.conf-tiedostossasi. Yleinen käytäntö on pitää kiinni vain_stä ja ohittaa no_access-vaihtoehto. Voit luoda vain kaiken kattava -käsky jättämällä osoitelista tyhjäksi oletusosioon, ts.only_from = ”Ja se antaa xinetd-ohjelmalle käyttää only_from-asetusta palvelukuvauksissa. Tämä tapahtuu ilman ristiriidan nostamista, koska palvelun ainoa_arvoasetuksesta korvataan oletusosa-osa vain_arvosta.

ärsyttävän, Jos et lisää vain_sivua tai no_access-käskyä oletusosaan, xinetd sallii kaikki yhteydet jota et ole katettu palveluosassa, mikä todennäköisesti aiheuttaa virheen.

Useiden osoitteiden luettelomuoto näiden molempien asetusten parametreina on jättää välilyönti kunkin osoitteen väliin (ei pilkkuja). Voit myös lisätä CIDR-alueita luetteloon.

Lokitiedostokomennot

log_type, log_on_success, ja log_on_failure vaihtoehdot kaikki toimivat yhdessä. Jokaisella on sarja vakioita, jotka sinun on syötettävä optioon parametreina.

Käytä attribuuttia log_type anna lokitiedoston polku ja nimi ja määritä log_on_success ja log_on_failure -määritteellä, mitkä kentät kirjoitetaan kunkin tapahtuman lokitiedostotietueeseen.

Voit esimerkiksi kirjoittaa lokitiedoston osoitteen:

log_type = TIEDOSTO / usr / loki / Internetlog

Toinen vaihtoehto, joka on käytettävissä attribuutilla log_type, on SYSLOG, joka asettaa viestitason näille tapahtumille, jotka syslogd raportoi. Mahdolliset arvot ovat:

  • demoni
  • auth
  • käyttäjä
  • local0-7

Esimerkki olisi:

log_type = SYSLOG local1

SYLOG ominaisuus ei ole välttämätön, ja se on paljon vähemmän tärkeä kuin KUVA vaihtoehto. Sinun on todella annettava xinetd-tiedostollesi lokitiedoston nimi, johon kirjoittaa; sinun ei tarvitse määrittää Syslog-tasoa tapahtumaviesteille.

Log_on_success -raportointivaihtoehdot ovat seuraavat:

  • PID - 0, jos kyseessä on sisäinen xinetd-palvelu
  • HOST - asiakkaan osoite
  • USERID - etäkäyttäjän henkilöllisyys
  • EXIT - prosessin poistotila
  • KESTO - istunnon kesto

Log_on_failure -raportointivaihtoehdot ovat:

  • HOST - asiakkaan osoite
  • USERID - etäkäyttäjän henkilöllisyys
  • ATTEMPT - kirjaa epäonnistuneen pääsyyrityksen
  • RECORD - kaikki saatavilla olevat tiedot asiakkaasta

Voit sisällyttää useita vaihtoehtoja jokaiselle log_on_success ja log_on_failure -riville ja ne tulisi erottaa välilyönneillä ilman minkäänlaisia ​​välimerkkejä. Esimerkiksi:

log_type = TIEDOSTO / usr / loki / Internetlog
log_on_success = HOST PID USERID DURATION EXIT
log_on_failure = HOST USERID ATTEMPT RECORD

On yleinen käytäntö pitää log_type-, log_in_success- ja log_on_failure -lauseet peräkkäisillä riveillä tiedostossa.

Kapasiteetin hallinta

Kaksi muuta vaihtoehtoa, jotka sinun täytyy laittaa xinetd.conf-tiedostoon, rajoittavat palvelimen hyväksymien samanaikaisten yhteyksien määrää. Tämä on tärkeä tekijä ja se on yksinkertainen, mutta tehokas tapa estää palvelunestohyökkäykset. Kaksi vaihtoehtoa, joilla tämä strategia toteutetaan, ovat tapauksissa ja per_source.

Oletusosion esiintymät -vaihtoehto määrittelee yhteyksien lukumäärän, jonka xinetd sallii samanaikaisesti suorittaa, ja per_source-asetus määrittelee niiden yhteyspyyntöjen määrän, joihin daemon vastaa samasta lähdeosoitteesta. Hajautetut palvelunestohyökkäykset (DDoS) kiertää per_source-rajan, mutta ei esiintymävaihtoehtoa. Valitettavasti tämän palvelurajoituksen toteuttaminen estää aitoja käyttäjiä hyökkäyksen ajaksi.

Näiden kahden vaihtoehdon muoto on hyvin suoraviivainen:

= numero.

Per_source-arvon tulisi olla pienempi kuin esiintymien arvo.

Oletusosa-esimerkki

Kun kootaan kaikki tässä osassa selitetyt yksityiskohdat, xinetd.conf-oletuslausekkeen pitäisi näyttää tältä:

oletukset
{
esiintymät = 20
per_source = 5
log_type = TIEDOSTO / usr / loki / Internetlog
log_on_success = HOST PID USERID DURATION EXIT
log_on_failure = HOST USERID ATTEMPT RECORD
only_from =
}

Jokaisella xinetd.conf-tiedostolla tulisi olla oletuslauseke. Sinulla ei tarvitse olla palvelulausekkeita.

Palvelun määritysosat

Jokaiselle palvelulle, jonka haluat palvelimesi toimittavan, sinun tulee kirjoittaa palveluohje-osa xinetd.conf-tiedostoon. Jos et kirjoita palveluita kokoonpanotiedostoon, xinetd käyttää oletusosion ohjeita. Voit myös korvata oletusosioissa määritetyt asetukset tekemällä uudelleen attribuutit, joilla on eri arvot palvelun määrittelemiseen tarkoitetussa osassa.

Palvelun tyypit

Palveluosion käytettävissä olevat määritteet ovat erilaisia ​​kullakin kolmella palveluluokalla. Nämä ovat:

  • SISÄINEN
  • NOTEERAAMATTOMAT
  • RPC

Palveluluokka (INTERNAL / UNLISTED / RPC) voidaan määrittää määritteellä tyyppi. Tämä ominaisuus ei kuitenkaan ole pakollinen ja jätetään usein pois.

Palveluominaisuuksien määritelmät

Kun kirjoitat ominaisuusmäärittelyä, kaikki kentät on erotettu välilyönneillä tai kuljetuspalautuksilla - et käytä määritelmässä mitään muotoa erottimia tai välimerkkejä.

Palvelulausekkeen asettelu on sama oletusosaan:

palvelu
{
  määritteen operaattorin arvo
}

Ominaisuuslausekkeisiin käytetty operaattori on yleensä sama (“=”). Hyvin harvat ominaisuudet sallivat arvojen lisäämisen olemassa olevaan luetteloon merkinnällä “+=Tai poistettu luettelosta, jossa on ”-=”- molemmissa tapauksissa kirjoitat operaattorin ilman tässä esitettyjä lainausmerkkejä.

Tässä ovat ominaisuudet, jotka ovat käytettävissä SISÄINEN palvelutyyppi:

  • socket_type
  • liput
  • kiva
  • odota
  • protokolla (jos ei ole luettelossa / etc / services)
  • portti (jos ei ole luettelossa / etc / services)
  • CPS
  • access_times

Ansiolle käytettävissä olevat määritteet RPC palvelu ovat:

  • socket_type
  • liput
  • käyttäjä
  • palvelin
  • server_args
  • kiva
  • odota
  • protokolla
  • rpc_version
  • rpc_number
  • CPS
  • access_times

NOTEERAAMATTOMAT palvelutyypeillä voi olla jokin seuraavista määritteistä:

  • socket_type
  • liput
  • käyttäjä
  • palvelin
  • server_args
  • max_load
  • kiva
  • odota
  • protokolla (jos ei ole luettelossa / etc / services)
  • portti (jos ei ole luettelossa / etc / services)
  • access_times
  • CPS

Palveluominaisuustarkoitukset

Näiden ominaisuuksien merkitykset on esitetty alla olevassa taulukossa:

AttributeDescription
tyyppi SISÄINEN, RPC, LUETTELON tai SISÄINEN LUETTELO
socket_type stream (TCP), dgram (UDP), raw (IP direct access) tai seqpacket ().
id luo yksilöllinen nimi tälle palvelulle
liput selitetty alla olevassa taulukossa
käyttäjä määrittää palvelimen prioriteetin
palvelin Palvelun polku ja ohjelma
palvelimen args argumentit, jotka välitetään palvelupuhelun kanssa
max_load palvelun samanaikaisten prosessien lukumäärä
kiva lisää palvelun prioriteettia
odota kyllä ​​| ei estä tai salli uusien pyyntöjen samanaikaisen käsittelyn
protokolla voidaan jättää pois, jos protokolla on luettelossa / etc / protokollit
portti porttinumeron on oltava myös hakemistossa / etc / services ja oltava sama numero
rpc_version RPC-version
rpc_number RPC-numero
CPS yhteysraja, toinen argumentti on valinnainen ja antaa sekunti- määrän odottaa rajan saavuttamista
access_times tuntia vuorokaudessa, jolloin palvelu voidaan suorittaa
sitoa vastata yhteyksiin tiettyyn IP-osoitteeseen
uudelleenohjaus välittää palvelupyynnöt toiselle tietokoneelle

liput määritteellä voi olla seuraavat arvot:

IDONLY: hyväksy vain yhteydet asiakkailta, joilla on tunnistuspalvelin

NORETRY: estää uuden prosessin luomista yhteysvirheiden varalta

NAMEINARGS: ensimmäinen argumentti vuonna 2006 server_args on palvelin arvo. Käytetään soitettaessa tcpd

Yllä olevien ominaisuuksien lisäksi oletusasetuksessa käytettävissä olevat vaihtoehdot voidaan myös kirjoittaa palvelun määritelmään. Nämä ovat:

  • only_from
  • ei pääsyä
  • log_type
  • log_on_success
  • log_on_failure
  • tapauksissa
  • per_source

Näiden määritteiden uudelleenkäyttö korvaa kaikki oletusarvoihin määritetyt arvot. Muista kuitenkin, että only_from ja ei pääsyä määritteet ovat globaaleja, joten sinun on järjestettävä näiden asetusten käyttö ristiriitaisten parametrien välttämiseksi.

Palveluilmoitus esimerkkejä

Tässä on kaksi esimerkkiä palvelun määritelmästä.

palvelu ntalk
{
socket_type = dgram
odota = kyllä
käyttäjä = kukaan
palvelin = /usr/sbin/in.ntalkd
access_times = 7: 00-12: 30 13: 30-21: 00
only_from = 192.168.1.0/24
}

palvelu ftp
{
socket_type = stream
odota = ei
käyttäjä = juuri
palvelin = /usr/sbin/in.ftpd
palvelimen merkinnät = -l
esiintymät = 4
kiva = 10
}

Huomaa käyttö access_times että ntalk määritelmä. Tämä käyttää kahta aikaväliä välillä, ja välillä ja välillä on erotettu viivalla (“-”) ilman välilyöntejä. Kaksi ajanjaksoa erotetaan välilyönnillä. Aikamääritelmät käyttävät 24 tunnin kelloformaattia.

only_from attribuutti ntalk määritelmä rajoittaa pääsyä tähän palveluun siten, että vain paikallisen verkon osoitteet voivat käyttää sitä.

ntalk palvelu on socket_type of dgram, mikä tarkoittaa, että se on UDP-palvelu. socket_type että ftp määritelmä on virta, mikä tarkoittaa, että tämä on TCP-palvelu.

Luo useita palvelun esiintymiä

Palvelumääritelmä käyttää palvelunimeä tunnuksena oletuksena. Voit kuitenkin luoda useita kopioita palvelusta ja antaa jokaiselle eri määritteet. Koska palvelun nimen on vastattava / Etc / palvelut tiedosto, useiden palveluversioiden hankkiminen olisi mahdotonta. ID-ominaisuus kuitenkin mahdollistaa tämän toimintastrategian.

Yksi yleinen käyttö tässä skenaariossa olisi, kun haluat luoda erilaisia ​​FTP-palvelimia sisäiseen ja ulkoiseen pääsyyn. Tällä menetelmällä voit pitää toimistosi tiedostovarasto täysin erillään ladattavista tiedostoista, jotka olet asettanut suuren yleisön saataville..

Tässä käyttötavassa määrität ”Service ftp” kahdesti. Antaisit sitten yhdelle instanssille määritteen id = ftp-sisäinen ja se toinen id = ftp-ulkoinen. Siitä lähtien xinetd voi erottaa nämä kaksi. Jotta jokainen ilmentymä saataisiin eri yleisöille, käyttäisit only_from attribuutti, joka rajoittaa pääsyn ftp-sisäiseen palveluun vain verkon osoitteisiin ja pääsyn ftp-ulkoiseen palveluun kaikkiin muihin kuin verkko-osoitteisiin.

Sido osoite palveluun

Bind-ominaisuus voi auttaa suuresti tilannetta, jossa luodaan erilaisia ​​palveluja sisäisille ja ulkoisille käyttäjille. Termi "sitoa"Käytetään usein TCP-ohjelmoinnissa. Se tarkoittaa yleensä yhteyden yhdistämistä porttiin, jolloin luodaan tunnus istunnolle. Tässä tapauksessa "sitominen" tarkoittaa kuitenkin jotain erilaista. Esimerkissä FTP-palvelimen sisäisestä ja ulkoisesta käytöstä, voit sitoa tietokoneen verkkoosoitteen ftp-sisäiseen ilmentymään ja kyseisen tietokoneen julkisen IP-osoitteen ftp-ulkoiseen ilmentymään..

Tässä esimerkissä voi olla mahdollista jättää attribuutti only_fr palvelun määritelmään. On kuitenkin turvallisempaa jättää nämä rajoitukset sisälle. Joten sisäisten ja ulkoisten FTP-palvelimiesi täydellinen määritelmä olisi:

palvelu ftp
{
id = ftp-ulkoinen
palvelin = /usr/sbin/in.ftpd
palvelimen merkinnät = -l
esiintymät = 4
vain_alkaen = 0.0.0.0/0
bind = 202,19,244,130
}

palvelu ftp
{
id = ftp-sisäinen
socket_type = stream
palvelin = /usr/sbin/in.ftpd
palvelimen merkinnät = -l
only_from = 192.168.1.0/24
bind = 192.168.1.5
}

Tämä strategia edellyttää, että FTP-palvelimellasi on osoitettu staattinen IP-osoite sille julkista käyttöä varten. Sinun on myös määritettävä DHCP-palvelin varaamaan sama osoite sisäiselle FTP-palvelimellesi. Vaikka yllä oleva skenaario toimii, kun yhtä tietokonetta käytetään sekä sisäiseen että ulkoiseen pääsyyn, voit myös allokoida erillisten tietokoneiden osoitteet jokaiselle FTP-esiintymälle.

Poista inetd-kohtaiset palvelut

On kolme xinetd palvelua jotka antavat tietoa järjestelmästä.

  • palvelimet: raportti käytetyistä palvelimista
  • palvelut: raportti käytettävissä olevista palveluista, niiden protokollista ja porteista
  • xadmin: yhdistää kaksi edellä mainittua komentoa

Nämä palvelut ovat turvallisuuden heikkous koska hakkerit voivat käyttää niitä saadaksesi tietoja verkostasi ja palvelimestasi. Siksi on parempi poistaa ne käytöstä. Voit tehdä tämän käytöstä poistettuun määritteeseen, joka menee omaasi oletukset määritelmä. Lisää vain seuraava rivi oletusosaan poistaaksesi nämä palvelut:

poistettu käytöstä = palvelinpalvelut xadmin

Kun konfigurointitiedosto muuttuu yllä yksityiskohtaisesti, voit nyt alkaa käyttää xinetd: tä.

Juokseva xinetd

Aloitat xinetd komentorivillä. Komento voidaan suorittaa myös eräajotiedostosta, joten voit lisätä sen tietokoneesi käynnistysmenettelyihin. Ohjelmaa voidaan suorittaa seuraavilla vaihtoehdoilla:

SwitchOptionDescription
-d Debug-tilassa
-syslog               syslog_facility Sama kuin log_type SYSLOG conf-tiedoston oletusasetuksissa
-filelog loki tiedosto Sama kuin log_type FILE conf-tiedoston oletusasetuksessa
-f  config_file Määrittää kokoonpanotiedoston - oletus on /etc/xinetd.conf
-pidfile pid_file Kirjoita prosessitunnus pid_file
-pysy elossa Älä koskaan lopeta
-raja proc_limit Maksimimäärä prosessia, joka voidaan suorittaa samanaikaisesti
-logprocs raja Maksimimäärä palvelimia, jotka voivat toimia samanaikaisesti
-versio Tulosta xinetd-versio
-inetd_compat Lue /etc/inetd.conf sekä xinetd-asetustiedosto
-cc aikaväli Suorita johdonmukaisuustarkistukset sekunnin välein

On myös mahdollista käynnistää xinetd ilman vaihtoehtoja.

Käytä xinetd

Jos sinulla on Linux-tietokone, xinetd on ehkä asennettu jo. Voit tarkistaa suorittamalla xinetd -versio. Jos tietokoneesi toimii sen sijaan inetd, on todennäköistä, että et käytä Linuxia. Korvaa ohjelma xinetd: llä ja muunna konfiguraatiotiedosto inetd-yhteensopivuudesta xinetd-käyttöön kuten yllä on selitetty.

Käytätkö tällä hetkellä xinetd: tä? Jätä viesti Kommentit alla olevassa osiossa jakaa kokemuksiasi yhteisön kanssa.

Katso myös: 15 parasta ilmaista Syslog-palvelinta

Kuva: Pixabayn verkko-Internet-yhteys. Lisensoitu CC0 Creative Commons -sivustolla

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

62 − = 58