【Xinetd】CentOS 7.x 上Xinetd服务的安装与配置

、Linux守护进程与初始化进程


1. 什么是守护进程

Linux服务器的主要任务就是为本地或远程用户提供各种服务。通常Linux系统上提供服务的程序是由运行在后台的守护进程(Daemon)来执行。一个实际运行中的Linux系统一般会有多个这样的程序在运行。这些后台守护进程在系统开机后就运行了,并且在时刻地监听前台客户地服务请求,一旦客户发出了服务请求,守护进程便为它们提供服务。Windows系统中的守护进程被称为“服务”。

守护进程,也就是指daemon和service。

按照服务类型,守护进程可以分为如下两类:

系统守护进程:如crond(周期任务)、rsyslogd(日志服务)、cpus等;

网络守护进程:如sshd、httpd、xinetd(托管)等。

2. 什么是初始化

系统初始化进程是一个特殊的的守护进程,其PID为1,它是所有其他守护进程的父进程或者祖先进程。也就是说,系统上所有的守护进程都是由系统初始化进程进行管理的(如启动、停止等)。


在Linux的发展历史过程中,使用过3种Linux初始化系统。

SysVinit

        为 UNIX System V 系统创建,RHEL/CentOS 5及之前的版本一直使用

Upstart

         由Ubuntu创建,RHEL/CentOS 6 使用Upstart

Systemd

         先进的初始化系统, RHEL/CentOS 7使用Systemd


二、Linux独立启动进程和超级守护

如果用两个比喻来形容两类守护进程的话,一般会用银行的业务处理窗口来类比:

独立启动守护进程:银行里有一种单服务的窗口,像取钱,存钱等窗口,这些窗口边上始终会坐着一个人,如果有人来取钱或存钱,可以直接到相应的窗口去办理,这个处理单一服务的始终存在的人就是独立启动的守护进程。

超级守护进程:银行里还有一种窗口,提供综合服务,像汇款,转账,提款等业务;这种窗口附近也始终坐着一个人(xinet),她可能不提供具体的服务,提供具体服务的人在里面闲着聊天啊,喝茶啊,但是当有人来汇款时他会大声喊一句,小王,有人汇款啦,然后里面管汇款的小王会立马跑过来帮忙办完汇款业务。其他的人继续聊天,喝茶。这些负责具体业务的人我们就称之为超级守护进程。当然可能汇款人会有一些规则,可能不能往北京汇款,他就会提早告诉xinet,所以如果有人来汇款想汇往北京的话,管理员就直接告诉他这个我们这里办不到的,于是就根本不会去喊汇款员了,相当于提供了一层管理机制。

针对这种窗口还存在多线程和单线程的区别:

多线程:将所有用户的要求都提上来,里面的人都别闲着了,都一起干活

单线程:大家都排好队了,一个一个来,里面的人同一时间只有一个人在工作


三、Linux守护进程运行方式

1. 独立运行(stand-alone)的守护进程

独立运行的守护进程由服务脚本负责管理,系统服务都是独立运行的守护进程,包括syslogd和crond等。

独立运行的守护进程的工作方式称做stand-alone,它是UNIX传统的C/S模式的访问模式。

工作在stand-alone模式下的网络服务有xinetd、sshd,另外还有Web服务器Apache和邮件服务器sendmail、域名服务器namd。


2.xinetd模式运行独立的守护进程

从守护进程的概念可以看出,对于系统所要通过的每一种服务,都必须运行一个监听某个端口连接所发生的守护进程,这通常意味着资源浪费。为了解决这个问题,Linux引进了"网络守护进程服务程序"的概念。Red Hat Linux 9.0使用的网络守护进程是xinted(eXtended InterNET daemon)。

xinetd能够同时监听多个指定的端口,在接受用户请求时,它能够根据用户请求的端口的不同,启动不同的网络服务进程来处理这些用户请求。可以把xinetd看做一个管理启动服务的管理服务器,它决定把一个客户请求交给哪个程序处理,然后启动相应的守护进程。xinetd无时不在运行并监听它所管理的所有端口上的服务。当某个要连接它管理的某项服务的请求到达时,xinetd就会为该服务启动合适的服务器。


xinetd和stand-alone工作模式相比,系统不想要每一个网络服务进程都监听其服务端口,运行单个xinetd就可以同时监听所有服务端口,这样就降低了系统开销,保护系统资源。但是对于访问量大、经常出现并发访问的情况,xinetd则要频繁启动相应的网络服务进程,反而会导致系统性能下降。查看系统为Linux服务提供哪种工作模式,可以在Linux命令行中使用pstree命令,就能看到两种不同模式启动的网络服务。一般来说系统中一些负载高的服务,Sendmail、Apache服务是单独启动的,而其他服务类型都可以使用xinetd超级服务器管理。


四、关于Xinetd服务


1.什么是xinetd

xinetd即extended internet daemon,xinetd是新一代的网络守护进程服务程序,又叫超级Internet服务器,经常用来管理多种轻量级Internet服务。xinetd提供类似于inetd+tcp_wrapper的功能,但是更加强大和安全。


2.  xinetd的特色

1) 强大的存取控制功能

— 内置对恶意用户和善意用户的差别待遇设定。

— 使用libwrap支持,其效能更甚于tcpd。

— 可以限制连接的等级,基于主机的连接数和基于服务的连接数。

— 设置特定的连接时间。

— 将某个服务设置到特定的主机以提供服务。

2) 有效防止DoS攻击

— 可以限制连接的等级。

— 可以限制一个主机的最大连接数,从而防止某个主机独占某个服务。

— 可以限制日志文件的大小,防止磁盘空间被填满。

3) 强大的日志功能

— 可以为每一个服务就syslog设定日志等级。

— 如果不使用syslog,也可以为每个服务建立日志文件。

— 可以记录请求的起止时间以决定对方的访问时间。

— 可以记录试图非法访问的请求。

4) 转向功能

可以将客户端的请求转发到另一台主机去处理。

5) 支持IPv6

xinetd自xinetd 2.1.8.8pre*起的版本就支持IPv6,可以通过在./configure脚本中使用with-inet6 capability选项来完成。

注意,要使这个生效,核心和网络必须支持IPv6。当然IPv4仍然被支持。

6) 与客户端的交互功能

无论客户端请求是否成功,xinetd都会有提示告知连接状态。


3.  Xinetd的缺点

当前,它最大的缺点是对RPC支持的不稳定性,但是可以启动protmap,使它与xinetd共存来解决这个问题。


4 使用xinetd启动守护进程

原则上任何系统服务都可以使用xinetd,然而最适合的应该是那些常用的网络服务,同时,这个服务的请求数目和频繁程度不会太高。像DNS和Apache就不适合采用这种方式,而像FTP、Telnet、SSH等就适合使用xinetd模式。

系统默认使用xinetd的服务可以分为如下几类:

① 标准Internet服务:telnet、ftp

② 信息服务:finger、netstat、systat

③ 邮件服务:imap、imaps、pop2、pop3、pops

④ RPC服务:rquotad、rstatd、rusersd、sprayd、walld

⑤ BSD服务:comsat、exec、login、ntalk、shell、talk

⑥ 内部服务:chargen、daytime、echo、servers、services、time

⑦ 安全服务:irc

⑧ 其他服务:name、tftp、uucp


五、Xinetd 服务的搭建与配置


# yum -y install xinetd

# rpm  -ql   xinetd

# cat /usr/lib/systemd/system/xinetd.service


# cat /etc/xinetd.conf


# ll /etc/xinetd.d/



配置文件语法

/etc/xinetd.conf中的每一项具有下列形式:

service service-name

{

……

}

其中service是必需的关键字,且属性表必须用大括号括起来,每一项都定义了由service-name定义的服务。

service-name是任意的,但通常是标准网络服务名,也可增加其他非标准的服务,只要它们能通过网络请求激活,包括localhost自身发出的网络请求。有很多可以使用的属性,稍后将描述必需的属性和属性的使用规则。

操作符可以是=、+=或-=。所有属性可以使用=,其作用是分配一个或多个值,某些属性可以使用+=或-=,其作用分别是将其值增加到某个现存的值表中,或将其值从现存值表中删除。



1) /etc/xinetd.conf

xinetd的配置文件是/etc/xinetd.conf,但是它只包括几个默认值及/etc/xinetd.d目录中的配置文件。

如果要启用或禁用某项xinetd服务,编辑位于/etc/xinetd.d目录中的配置文件。例如,disable属性被设为yes,表示该项服务已禁用;disable属性被设为no,表示该项服务已启用。

/etc/xinetd.conf有许多选项,下面是RHEL 4.0的/etc/xinetd.conf。

# cat  /etc/xinetd.conf 

###################################################

# Simple configuration file for xinetd

# Some defaults, and include /etc/xinetd.d/

defaults

{

instances                  = 60

log_type                    = SYSLOG authpriv

log_on_success       = HOST PID

log_on_failure           = HOST

cps                            = 25 30

}

includedir /etc/xinetd.d

######################################################

每一行选项的含义说明:

— instances = 60:表示最大连接进程数为60个。

— log_type = SYSLOG authpriv:表示使用syslog进行服务登记。

— log_on_success= HOST PID:表示设置成功后记录客户机的IP地址的进程ID。

— log_on_failure = HOST:表示设置失败后记录客户机的IP地址。

— cps = 25 30:表示每秒25个入站连接,如果超过限制,则等待30秒,主要用于对付拒绝服务攻击。

— includedir /etc/xinetd.d:表示告诉xinetd要包含的文件或目录是/etc/xinetd.d。


2) /etc/xinetd.d/*

下面以/etc/xinetd.d/中的一个文件(rsync)为例。

# cat   /etc/xinetd.d/rsync

##########################################

service rsync

{

disable               = yes

socket_type      = stream

wait                   = no

user                   = root

server               = /usr/bin/rsync

log_on_failure  += USERID

}

############################################

每一行选项的含义说明:

— disable = yes:表示禁用这个服务。

— socket_type = stream:表示服务的数据包类型为stream。

— wait = no:表示不需等待,即服务将以多线程的方式运行。

— user = root:表示执行此服务进程的用户是root。

— server = /usr/bin/rsync:启动脚本的位置。

— log_on_failure += USERID:表示设置失败时,UID添加到系统登记表。


相关的配置文件如下:

/etc/xinetd.conf

/etc/xinetd.d/*                                    

/etc/hosts.allow

/etc/hosts.deny


3)/etc/xinetd.conf中的disabled与enabled

前者的参数是禁用的服务列表,后者的参数是启用的服务列表。他们的共同点是格式相同(属性名、服务名列表与服务中间用空格分开,例如disabled = in.tftpd in.rexecd),此外,它们都是作用于全局的。如果在disabled列表中被指定,那么无论包含在列表中的服务是否有配置文件和如何设置,都将被禁用;如果enabled列表被指定,那么只有列表中的服务才可启动,如果enabled没有被指定,那么disabled指定的服务之外的所有服务都可以启动。

4) 注意问题

① 在重新配置的时候,下列的属性不能被改变:socket_type、wait、protocol、type;

② 如果only_from和no_access属性没有被指定(无论在服务项中直接指定还是通过默认项指定),那么对该服务的访问IP将没有限制;

③ 地址校验是针对IP地址而不是针对域名地址。


六、 xinetd防止拒绝服务攻击(Denial of Services)的原因

xinetd能有效地防止拒绝服务攻击(Denial of Services)的原因如下:

1) 限制同时运行的进程数

通过设置instances选项设定同时运行的并发进程数:

instances=20

当服务器被请求连接的进程数达到20个时,xinetd将停止接受多出部分的连接请求。直到请求连接数低于设定值为止。

2) 限制一个IP地址的最大连接数

通过限制一个主机的最大连接数,从而防止某个主机独占某个服务。

per_source=5

这里每个IP地址的连接数是5个。

3) 限制日志文件大小,防止磁盘空间被填满

许多攻击者知道大多数服务需要写入日志。入侵者可以构造大量的错误信息并发送出来,服务器记录这些错误,可能就造成日志文件非常庞大,甚至会塞满硬盘。同时会让管理员面对大量的日志,而不能发现入侵者真正的入侵途径。因此,限制日志文件大小是防范拒绝服务攻击的一个方法。

log_type FILE.1 /var/log/myservice.log 8388608 15728640

这里设置的日志文件FILE.1临界值为8MB,到达此值时,syslog文件会出现告警,到达15MB,系统会停止所有使用这个日志系统的服务。

4) 限制负载

xinetd还可以使用限制负载的方法防范拒绝服务攻击。用一个浮点数作为负载系数,当负载达到这个数目的时候,该服务将暂停处理后续的连接。

max_load = 2.8

上面的设定表示当一项系统负载达到2.8时,所有服务将暂时中止,直到系统负载下降到设定值以下。

说明  要使用这个选项,编译时应加入“--with-loadavg”,xinetd将处理max-load配置选项,从而在系统负载过重时关闭某些服务进程,来实现防范某些拒绝服务攻击。

5) 限制所有服务器数目(连接速率)

xinetd可以使用cps选项设定连接速率,下面的例子:

cps = 25 60

上面的设定表示服务器最多启动25个连接,如果达到这个数目将停止启动新服务60秒。在此期间不接受任何请求。

6) 限制对硬件资源的利用

通过rlimit_as和rlimit_cpu两个选项可以有效地限制一种服务对内存、中央处理器的资源占用:

rlimit_as = 8M

rlimit_cpu=20

上面的设定表示对服务器硬件资源占用的限制,最多可用内存为8MB,CPU每秒处理20个进程。

xinetd的一个重要功能是它能够控制从属服务可以利用的资源量,通过它的以上设置可以达到这个目的,有助于防止某个xinetd服务占用大量资源,从而导致“拒绝服务”情况的出现。 


七、配置实例


# cat /etc/services | grep ssh

例1: 以sshd为例,将sshd用xinetd托管

sshd服务有配置文件为/etc/ssh/sshd_config,但此配置文件功能有限,可以选择拖管sshd服务,来实现额外的功能。


1.托管前先关闭ssh本身提供的服务

#  systemctl  stop  sshd.service

# systemctl  disable  sshd.service

注:如果你关闭xinetd之后,需要把ssh服务重新启动,不然你不能通过ssh远程连接


2.配置ssh被xinetd托管

#  vim  /etc/xinetd.d/ssh

###################################################################################

service sshd

{

        disable = no                   

        log_on_failure += USERID       

        socket_type = stream            

        server_args = --daemon        

        cps = 25 30                     

        protocol = tcp                

        wait = no                     

        user = root                     

        server = /usr/sbin/sshd

        server_args = -i               

}

######################################################################################



3.启动xinetd服务

#  systemctl  restart  xinetd.service     

#  systemctl  status xinetd.service   

#  ss -tan  | grep  22


例2:在例1 的基础上加上对IP或网段的访问控制功能

上面的例子并没有看出拖管与不拖管的区别,下面在例1 的基础上加上对IP或网段的访问控制功能,这个是ssh服务本身不具备的功能,除非写iptables策略。

# vim  /etc/xinetd.d/ssh

###################################################################

service ssh

{

        disable = no

        log_on_failure += USERID

        socket_type = stream

        server_args = --daemon

        cps = 25 30

        protocol = tcp

        wait = no

        user = root

        server = /usr/sbin/sshd

        server_args = -i

        only_from = 192.168.1.0/24                         # 表示允许1网段访问

        no_access = 192.168.1.20 192.168.1.200  # 1网段里的20和200这两IP不能访问

}

###################################################################


#  systemctl  restart  xinetd.service  

# systemctl  status xinetd.service


例3:在例2 的基础再加一些功能(man xinetd.conf)

   1、控制这个服务最多只能3个连接,每个源IP只能1个连接

    2、控制只能9:00到18:00才能ssh连接

    3、指定日志记录到/var/log/xinetd_ssh.log里


#  man xinetd.conf

#  vim  /etc/xinetd.d/ssh

##########################################################

service ssh

{

        disable = no

        log_on_failure += USERID

        socket_type = stream

        server_args = --daemon

        cps = 25 30

        protocol = tcp

        wait = no

        user = root

        server = /usr/sbin/sshd

        server_args = -i

        only_from = 192.168.1.0/24

        no_access = 192.168.1.20 192.168.1.200

        instances = 3                                              # 最大连接数为3

        per_source = 1                                           # 每个源IP只能有1个连接

        access_times = 9:00-18:00                       # 只能9:00到18:00才能ssh连接

        log_type = file/var/log/xinetd_ssh.log         # 指定日志记录到/var/log/xinetd_ssh.log

}

###########################################################

# systemctl  restart  xinetd.service  

# systemctl  status  xinetd.service  

八、参考


CentOS 7.3 Xinetd服务的安装与配置

https://blog.csdn.net/u011124985/article/details/81501510


Linux守护进程详解(init.d和xinetd)

https://www.cnblogs.com/alantu2018/p/8462557.html


Linux下udev详解

https://www.cnblogs.com/alantu2018/p/9059761.html

你可能感兴趣的:(【Xinetd】CentOS 7.x 上Xinetd服务的安装与配置)