xinetd的配置和管理

来源：钮旅网

xinetd的配置和管理

x(eXtended InterNET services daemon)

⼀、xinetd的功能介绍：x提供类似于inetd+tcp_wrapper的功能，但是更加强⼤和安全。它能提供以下特⾊：* ⽀持对tcp、udp、服务(但是当前对RPC的⽀持不够稳定)* 基于时间段的* 功能完备的log功能，即可以记录连接成功也可以记录连接失败的⾏为* 能有效的防⽌攻击(Denial of Services)* 能同时运⾏的同⼀类型的服务器数⽬* 能启动的所有服务器数⽬* 能log⽂件⼤⼩* 将某个服务绑定在特定的系统接⼝上，从⽽能实现只允许私有⽹络访问某项服务* 能实现作为其他系统的代理。如果和ip伪装结合可以实现对内部私有⽹络的访问它最⼤的缺点是对RPC⽀持的不稳定性，但是可以启动portmap，与x共存来解决这个问题。

⼆、使⽤xinetd启动守护进程原则上任何系统服务都可以使⽤xinetd，然⽽最适合的应该是那些常⽤的⽹络服务，同时，这个服务的请求数⽬和频繁程度不会太⾼。像DNS和Apache就不适合采⽤这种⽅式，⽽像FTP、 Telnet、SSH等就适合使⽤xinetd模式，系统默认使⽤xinetd的服务可以分为如下⼏类。① 标准Internet服务：telnet、ftp。② 信息服务：finger、netstat、systat。③ 邮件服务：imap、imaps、pop2、pop3、pops。④ RPC服务：rquotad、rstatd、rusersd、sprayd、walld。⑤ BSD服务：comsat、exec、login、ntalk、shell、talk。⑥ 内部服务：chargen、daytime、echo、servers、services、time。⑦ 安全服务：irc。⑧ 其他服务：name、tftp、uucp。具体可以使⽤xinetd的服务在/etc/services⽂件中指出。三、xinetd的主配置⽂件：/etc/xinetd.conf 1.内容格式如下：

注：那个 assign_op 主要有三种形式，分别如下：

= ：表⽰后⾯的设定参数就是这样啦！

+= ：表⽰后⾯的设定为『在原来的设定集合中⾥头加⼊新的参数』-+ ：表⽰后⾯的设定为『在原来的参数集合中舍弃这⾥输⼊的参数！』接下来，再来说⼀说那些 attribute 与 value ！

2.xinetd共有45个属性，你可以通过man xinetd.conf获得英⽂原⽂，属性列表如表4-3所⽰。表4-3 xinetd的属性列表属性选项功能描述

该属性被⽤来唯⼀地指定⼀项服务。因为有些服务的区别仅仅在于使⽤不同的协议，因此需要使⽤该属性加以区别。默认情况下，id和服务名相同。如echo同时⽀持dgram和stream服务。设置id=echo_dgram和id=echo_stream来分别唯⼀标志两个服务

type

可以是下列⼀个或多个值。 RPC：RPC类型的服务。 INTERNAL：由xinetd⾃⾝提供的服务，

如echo。 UNLISTED：没有列在标准系统⽂件如/etc/rpc或/etc/service中的服务

可以是以下⼀个或多个选项的任意组合。

REUSE：设置TCP/IP socket可重⽤。也就是在该服务socket中设置SO_REUSEADDR标

flags 志。当中断时重新启动xinetd。

INTERCEPT：截获数据包进⾏访问检查，以

确定是否来⾃于允许进⾏连接的位置。INTERNAL服务和多线程服务不可使⽤该属性值。

续表

属性选项功能描述

NORETRY：如果fork失败，不重试。 IDONLY：只有在远程端识别远程⽤户时才接受该连接（也就是远程系统必须运⾏ident服务

器），该标记只适⽤于⾯向连接的服务。若没有使⽤USERID记录选项，则该标记⽆

效，log_on_success或log_on_failure属性设置USERID值以使该值⽣效。仅⽤于多线程的流服务。 NAMEINARGS：允许server_args属性中的第⼀个参数是进程的完全合法路径，此时，server属性采⽤inetd的⽅式来指定（此标签的作⽤是表

flags

明该服务采⽤tcpd的⽅式来处理，⽽不是tcp wrapper，参见NOLIBWRAP标记）。

NODELAY：若服务为tcp服务，并且NODELAY标记被设置，

则TCP_NODELAY标记将被设置。若服务不是tcp服务，则该标记⽆效。 DISABLE：具有DISABLE标记的服务表⽰被禁⽤。该标记将覆盖enable的指

定，即如果你指定了“enable=foo”，若foo具有DISABLE标记，那么foo仍将被禁⽤。使⽤了该标记的服务不会被提醒。 KEEPALIVE：如果⼀个tcp服务设置

该标记的服务不会被提醒。 KEEPALIVE：如果⼀个tcp服务设置

了KEEPALIVE标记，那么该服务的socket将被设置SO_KEEPALIVE标记，对⾮TCP类型的服务设置该标记⽆任何作⽤。

NOLIBWRAP：禁⽤tcpwrap 库来决定⼀个服务的请求访问控

制。像xinetd，需要长时间的运⾏（系统启动后⼀直运⾏），⼀直调⽤libwrap函数库是不可取的，这种类型的服务就需要设置该标记，它们可以直接调⽤⽽⽆须调⽤libwrap函数库来控制访问请求（参见NAMEINARGS标记）。 SENSOR：该标记的作⽤是使⽤

flags ⼀个传感器（SENSOR）来代替当前的服务。使⽤该标记需要注意⼏个问题：其⼀，你应当

确认该服务是你不需要的或者是你不想提供该服务；其⼆，它不能觉察秘密的扫描动作；其三，它将觉察该服务指定端⼝的请求，并记录到作⽤于全局的no_access列表中，这就使得请求过该服务的IP在deny_time指定的时间过期之前⼀直都拒绝访问；其四，它还使得xinetd认为该服务的server属性是INTERNAL；其五，如果使⽤了该标记的socket_type为stream的服务设置，你需要设置wait为no disable

wait

可以设置为yes或no，设置为yes将禁⽤⼀个服务，详见flags的disable标签

socket_type 使⽤的TCP/IP socket类型，值可

能为stream（TCP），dgram（UDP），raw和seqpacket（可靠的有序数据包） protocol 指定该服务使⽤的协议，其值必须是在/etc/protocols中定义的。如果不指定，使⽤该项服务

的默认协议

这个属性有两个可能的值。如果是yes，那么xinetd会启动对⽅请求的进程，并停⽌处理该项服务的其他请求直到该进程终⽌，适合于单线程服务；如果是no，那xinetd会为每个请求启动的⼀个进程，⽽不管先前启动的进程的状态，适合于多线程服务

user 设置服务进程的UID。若xinetd的有效UID不是0，该属性⽆效 group

设置进程的GID。若xinetd的有效UID不是0，该属性⽆效

instances 接受⼀个⼤于或等于1的整数或UNLIMITED。设置可同时运⾏的最⼤进程数。UNLIMITED意

味着xinetd对该数没有

nice 指定进程的nice值。它决定了服务的优先级，参数值是某个数字，可以为负数 server

要激活的进程，必须指定完整的路径

server_args

指定传送给该进程的参数，但是不包括服务程序名

⽤空格分开的允许访问服务的客户机列表。如果不为该属性指定⼀个值，就

拒绝任何⼈访问这项服务。该属性⽀持所有操作符。访问控制表的语法如下：

a）⽤数字表⽰的IP地址，格式为%d. %d. %d. %d。如果最右边的⼀位

only_from 是0，将被看作通配符。举例来说，10.35.1.0表⽰10.35.1段内的任何地址都满⾜条件；如果

地址是0.0.0.0，则匹配所有的IP地址。 b）分解列出

的IP地址，格式为%d. %d. %d.{ %d. %d…}。当然，并不是⼀定要四个部分都列出，例如，%d. %d.{ %d. %d…}，这样的格式也是可以的，然⽽，被分解列出的部分必须在最后⾯，例如，%d.{ %d. %d…}.%d.%d，这样的格式是不允许的。 c）⽹络名。/etc/networks中的⽹络名。

续表

属性选项功能描述

d）主机名或域名。当⼀个IP地址连接到xinetd上的时候，它会对这

only_from

个IP进⾏反向解析，得出相应的主机名，然后与指定的主机名进⾏⽐较，查看是否匹配。当然也可以使⽤域名，道理是⼀样的。 e）⽹络/⼦⽹。格式为IPAddress/netmask，例如，1.2.3.4/32

no_access 程连接能否访问某个服务。如果这两个属性都没有设置，那么任何⼈都可以请求该服务；

⽤空格分开的拒绝访问服务的客户机列表。该属性⽀持所有操作符，访问控制表的语法参见only_from。 Only_from和no_access决定了⼀个远

如果都设置了，那么，最匹配的那个记录优先。例如，你在only_from中设定了10.35.1.0可以访问，然后⼜在no_access中设定10.35.1.10禁⽌访问，那么，10.35.1段内除了10.35.1.10外的IP地址都可以访问

是hh:mm_hh:mm; 如08：00-18：00，意味着从8AM到6PM可使⽤这项服务

access_time 设置服务的可⽤时段，也就是说，在哪⼀段时间⾥可以使⽤本服务。格式

指定服务log的记录⽅式。 SYSLOG

facility[level]：设置facility为daemon，auth，user或local0-7；level是可选的，可⽤的level值为emerg，alert，crit，err，warning，notice，info，debug，默认值为info。

log_type

file[soft[hard]]：指定⽤file记录log，⽽不是syslog。限度soft和hard⽤KB指

定（可选）。⼀旦达到soft限，xinetd就登记⼀条消息。⼀旦达到hard限，xinetd就停⽌登记使⽤该⽂件的所有服务。如果不指定hard限，它为soft加1%，但默认时不超过20MB，默认soft限是5MB

指定成功时登记的信息，默认时不登记任何信息。该属性⽀持所有操作符。可能的值有以下⼏种。 PID：进程的PID。如果⼀

log_on_success 个新进程没被分叉，PID设置为0。 HOST：客户机IP

地址。 USERID：通过RFC1413调⽤捕获客户机⽤户的UID。只可⽤于多线程的流服务。 EXIT：登记进程终⽌的状态。 DURATION：登记会话持续期

指定失败时登记的信息。总是登记表明错误性质的消息，默认时不登记

任何信息。该属性⽀持所有操作符。可能的值是有以下⼏种。

log_on_failure

ATTEMPT：记录⼀次失败的尝试，所有其他值隐含为这个值。 HOST：客户机IP地址。 USERID：通过RFC1413调⽤捕获客户机⽤户的UID。只可⽤于多线程的流服务。 RECORD：记录附加的客户机信息，如本地⽤户、远程⽤户和终端的类型

指定RPC版本号或服务号。版本号可以是⼀个单值或者⼀个范围，如2~3 如果RPC程序号不在/etc/rpc中，就指定它

⽤空格分开的VAR=VALUE表，其中VAR是⼀个shell环境变量，VALUE是其设置值。这些设置在服务被激活时被追加到服务的环境变量中。这个属性⽀持＝和＋＝操作符

rpc_version

rpc_number

env passenv port redirect bind

⽤空格分开的xinetd环境中的环境变量表，该表在激活时传递给服务程序。如果设置的值为空就不传送任何变量（除了在env中指定的变量）。该属性⽀持所有操作符定义该项服务相关的端⼝号。如果该服务在/etc/services中列出，它们必须匹配该属性语法为redirect=Ipaddress port。它把tcp服务重定向到另⼀个系统。如果使⽤该属性，就忽略server属性

把⼀项服务绑定到⼀个特定界⾯。语法是bind=ipaddress/interface。这意味着你的telnet服务可以监听⼀个本地的安全的端⼝，⽽不是⼀个外部的界⾯。或者，同⼀个端⼝在某个⽹络界⾯上可以做某件事情，同时，在另⼀个界⾯上可以做完全不同的事情⽆论该连接是否被允许，当建⽴连接时就将该⽂件显⽰给客户机

interface 等同于bind banner

banner_success

当连接授权通过时显⽰banner_success指定的⽂件中包含的信息

续表

属性选项功能描述

banner_fail 当客户端的请求违反控制规则时显⽰banner_fail指定的⽂件中包含的信息，以告知⽤户他们

正在试图请求不被允许的服务

per_source 参数值可以为整数或者UNLIMITED关键字。它表⽰每⼀个IP地址上最多可以建⽴的实例数

⽬。本属性也可以定义在defaults部分 cps

⽤来设定连接速率。它需要两个参数，第⼀个参数表⽰每秒可以处理的连接数，如果超过了这个连接数时，之后进⼊的连接将被暂时停⽌处理；第⼆个参数表⽰停⽌处理多少秒后，继续处理先前暂停处理的连接

max_load ⽤⼀个浮点数作为负载系数，当负载达到这个数⽬的时，该服务将停⽌处理后续的连接

groups

可以设置为yes或no。如果设置为yes，将允许对该服务起作⽤的组中包含的⽤户来访问，如果设置为no，将设置服务进程的GID。如果xinetd的有效GID不是0，则该属性⽆效。

在BSD类的系统上，很多服务需要设置该属性为yes，这个属性也可以设置在defaults部分

umask

设置服务所继承的umask。参数值应该是⼀个⼋进制数字，该属性也可以设置到defaults项中。xinetd⾃⼰的umask默认是022，如果你没有设置umask属性，那么所有xinetd的⼦进程的umask将都是022

其参数值是⼀个服务名称的列表，表⽰该列表中的服务将被启⽤，其余的则不被启⽤。然

enabled ⽽，如果某个服务设置使⽤了disable或者DISABLE 标记（flag），即使该服务被设置

在enabled列表中，也不会被启⽤。参见disable属性和flags的DISABLE标记

disabled 只可⽤于defaults项，指定被关闭的服务列表，是⽤空格分开的、不可⽤的服务列表来表⽰的。它和在/etc/xinetd.conf⽂件中注释掉该服务项有相同的效果

使⽤ “include /etc/xinetd.d/service_name”这样的格式来引⼊⼀个⽂件。这跟直接将引⼊⽂件

include 的内容放到xinetd.conf中是不同的，因为那⾥默认已经有了include指令。需要注意的是，其

⼀，被引⼊⽂件的格式应该是跟xined.conf格式相同；其⼆，不可以在某个服务的声明部分使

⽤此指令，应当放在声明之外的地⽅ includedir

使⽤ “includedir /etc/xinetd.d”这样的格式引⼊⼀个⽬录作为xinetd配置⽂件的存放⽬录。指定⽬录下除了⽂件名包括点号（.）或者以引号（“ ”）结束的⽂件，都将视作xinetd的服务配置⽂件。跟include指令⼀样，该指令也不可以放在服务的声明部分

设置服务的地址资源。参数值应该是以字节为单位的正整数或者UNLIMITED关键字。由

rlimit_as 于libc malloc的实现机制，在Linux系统上设置该属性⽐设

置rlimit_rss、rlimit_data和rlimit_stack属性更有效，这个资源的属性只可以在Linux系统

上设置 rlimit_cpu 设置服务最多可占⽤的CPU秒数。参数值应该是以秒为单位的正整数或者UNLIMITED关键

字

rlimit_data 设置服务的最⼤数据量。参数值应该是以字节为单位的正整数或者UNLIMITED关键字

rlimit_rss 设置服务的最⼤常驻内存。参数值应该是以字节为单位的正整数或者UNLIMITED关键字

rlimit_stack 设置服务的最⼤堆栈⼤⼩。参数值应该是以字节为单位的正整数或者UNLIMITED关键字

设置对于所有IP，所有服务的访问被禁⽤的时间长度。参数值可以是以分钟为单位的正整deny_time 数、FOREVER和NEVER。如果你设置为FOREVER，在xinetd重启之前⼀直有

效；NEVER只对那些⾮法的IP地址有效；数字⼀般设置为60，设置为这个数值基本就可以防

范DoS攻击了。需要注意的是，这个标记必须与SENSOR标记（flags）结合使⽤

3．基本属性

上⾯的列表是xinetd可⽤的所有属性，然⽽，针对⼀个服务并不需要指定上⾯所有的属性，其实必需的属性只有⼏个，如表4-4所⽰。表4-4 xinetd设定服务必需的属性xinetd设定服务必需的属性属性适⽤范围 socket_type 所有服务

user server wait protocol rpc_vision rpc_number port

Non_internal service only ⾮内部服务 Non_internal service only ⾮内部服务所有服务

不在/etc/services中的所有RPC服务和所有其他服务所有RPC服务

不列在/etc/rpc中的任何RPC服务不在/etc/services中的⾮RPC服务

4．⽀持多操作符的属性

对于⼤多数的服务⽽⾔，在针对⼀个服务的设定中操作符只能出现⼀次，并只⽀持＝操作符，然⽽，下⾯的六个属性可以⽀持多个操作符，如表4-5所⽰。表4-5 ⽀持多操作符的属性⽀持多操作符的属性属性⽀持范围 only_from ⽀持所有操作符

no_access log_on_success log_on_failure passenv env

不⽀持-=操作符

5．默认属性

defaults项是实现为所有服务指定某些属性的默认值。这些默认值可被每个服务项取消或修改。表4-6列出可在defaults项中指定的属性。这个表也指明了具体服务项中可以修改哪些属性。表4-6 可⽤的defaults属性可⽤的defaults属性属性适⽤范围

log_on_success 可以⽤=操作符改写，或⽤+=或-=操作符修改 log_on_failure only_from no_access passenv instances log_type disabled enabled

注销掉的服务指定启⽤的服务可以⽤=操作符改写

6．disabled与enabled

前者的参数是禁⽤的服务列表，后者的参数是启⽤的服务列表。他们的共同点是格式相同（属性名、服务名列表与服务中间⽤空格分开，例如disabled = in.tftpd in.rexecd），此外，它们都是作⽤于全局的。如果在disabled列表中被指定，那么⽆论包含在列表中的服务是否有配置⽂件和如何设置，都将被禁⽤；如果enabled列表被指定，那么只有列表中的服务才可启动，如果enabled没有被指定，那么disabled指定的服务之外的所有服务都可以启动。7．注意问题

① 在重新配置的时候，下列的属性不能被改变：socket_type、wait、protocol、type；② 如果only_from和no_access属性没有被指定（⽆论在服务项中直接指定还是通过默认项指定），那么对该服务的访问IP将没有；③ 地址校验是针对IP地址⽽不是针对域名地址。

四、xinetd能有效地防⽌拒绝服务攻击（Denial of Services）的原因如下：

1．同时运⾏的进程数

通过设置instances选项设定同时运⾏的并发进程数： instances＝20

当服务器被请求连接的进程数达到20个时，xinetd将停⽌接受多出部分的连接请求。直到请求连接数低于设定值为⽌。 2．⼀个IP地址的最⼤连接数

通过⼀个主机的最⼤连接数，从⽽防⽌某个主机独占某个服务。 per_source＝5

这⾥每个IP地址的连接数是5个。

3．⽇志⽂件⼤⼩，防⽌磁盘空间被填满

许多攻击者知道⼤多数服务需要写⼊⽇志。⼊侵者可以构造⼤量的错误信息并发送出来，服务器记录这些错误，可能就造成⽇志⽂件⾮常庞⼤，甚⾄会塞满硬盘。同时会让管理员⾯对⼤量的⽇志，⽽不能发现⼊侵者真正的⼊侵途径。因此，⽇志⽂件⼤⼩是防范拒绝服务攻击的⼀个⽅法。

log_type FILE.1 /var/log/myservice.log 8388608 157280

这⾥设置的⽇志⽂件FILE.1临界值为8MB，到达此值时，syslog⽂件会出现告警，到达15MB，系统会停⽌所有使⽤这个⽇志系统的服务。

4．负载

xinetd 还可以使⽤负载的⽅法防范拒绝服务攻击。⽤⼀个浮点数作为负载系数，当负载达到这个数⽬的时候，该服务将暂停处理后续的连接。

max_load = 2.8

上⾯的设定表⽰当⼀项系统负载达到2.8时，所有服务将暂时中⽌，直到系统负载下降到设定值以下。

说明要使⽤这个选项，编译时应加⼊“--with-loadavg”，xinetd将处理max-load配置选项，从⽽在系统负载过重时关闭某些服务进程，来实现防范某些拒绝服务攻击。

5．所有服务器数⽬（连接速率）

xinetd 可以使⽤cps选项设定连接速率，下⾯的例⼦： cps = 25 60

上⾯的设定表⽰服务器最多启动25个连接，如果达到这个数⽬将停⽌启动新服务60秒。在此期间不接受任何请求。 6．对硬件资源的利⽤

通过rlimit_as和rlimit_cpu两个选项可以有效地⼀种服务对内存、处理器的资源占⽤： rlimit_as = 8M rlimit_cpu=20

上⾯的设定表⽰对服务器硬件资源占⽤的，最多可⽤内存为8MB，CPU每秒处理20个进程。

xinetd的⼀个重要功能是它能够控制从属服务可以利⽤的资源量，通过它的以上设置可以达到这个⽬的，有助于防⽌某个xinetd服务占⽤⼤量资源，从⽽导致“拒绝服务”情况的出现。

当然上⾯的参数不需要每个都设定啦！只要设定需要的就可以啦！⽽在 /etc/xinetd.conf 这个⽂件中，⼀定会看到『 includedir = /etc/xinetd.d 』这⼀⾏！这说明的是，除了 /etc/xinetd.conf 之外，所有在 /etc/xinetd.d 的⽂件都是可以⽤来设定的啦！五、⽤telnet来举例说明： /etc/xinetd.d/telnet，内容如下：

上⾯的表格中，已经说明了每⼀项参数的意义！如果原本的默认值你并不满意，那么你可以修改成⽐较安全与多⼀点机制。假设你这个Linux 是⼀部主机，⽽且他有两块⽹络接⼝，分别是对外的 140.116.44.125 与对内的 192.168.0.2 这两个，如果你想要让对内的接⼝较松，⽽对外的较严格，你可以这样的来设定呢：对内较为松散的设定：

对外较为严格的设定：

呵呵！如上⾯的设定，我们可以将 telnet 的启动项⽬进⾏更多的！如此⼀来，将有助于我们的安全防护呢！尤其如果可以针对不同的接⼝来设定，嘿嘿！就更加的棒啰！不过，请注意喔！如果照上⾯的设定，那么您的主机上⾯将会开了两个 23 port 的接⼝，分别是给两个接⼝来使⽤的呢！嗯！真好玩?同样的，你也可以针对⾃⼰的喜好来设定你的其它 daemon 使他挂在 xinetd 底下呢！

六、SENSOR + DENY_TIME的使⽤使⽤rlogin和krb5-telnet来进⾏实验： 1、yum install rsh-server -y 2、yum install krb5-workstation -y 3、对krb5-telnet进⾏配置：service telnet

{

disable = no #将telnet服务设置为启⽤。如果disable = yes 表⽰禁⽤服务。

flags = SENSOR #设置为SENSOR，拒绝条件触发后，将在全局⽣效，即所有被xinetd托管的服务都有效deny_time = 2 #拒绝2分钟

no_access = 192.168.0.3 #拒绝的IP范围socket_type = streamwait = no

user = root #指定程序⽤什么⾝份来执⾏

server = /usr/sbin/in.telnetd #xinetd服务托管的程序，当被触发时就启动该程序来监听access_times = 9:00-18:00 #允许访问的时间段为早上9点到下午6点

bind = 192.168.0.100 #在指定的⽹络接⼝上监听（在有多个⽹卡多个IP时，可以精确控制）cps = 25 30 #在同⼀时刻，有25个连接数，则暂停连接30秒per_source = 15 #每个源IP最⼤只能有15个并发连接}

具体讲讲⼀下三⾏：flags = SENSORdeny_time = 2

no_access = 192.168.0.3

作⽤：禁⽌192.168.0.3的IP来使⽤telnet连接本机，如果他telnet连接了本机，那么被xinetd所管理的全部服务都禁⽌192.168.0.3来访问，禁⽌访问的时间为2分钟。SENSOR模式表⽰让xientd所管理的全部服务都⽣效改配置。 4、进⾏测试：telnet 192.168.0.y；rlogin 192.168.0.y七、向xinetd添加新服务

例：添加⼀个TCP服务，开启26端⼝的服务程序wushank 1、在/etc/services⽂件中添加服务和端⼝信息： wushank 26/tcp #test

2、在/etc/xinetd.d⽬录下⽣成服务⽂件,具体如下：

3、创建/bin/wushank脚本： #!/bin/bash date +%F\" \"%T

echo \"welcome to you\" 4、重启服务：service xinetd restart 5、测试结果如下：

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文