在linux下,主机常常会收到一些要求,比如来自本机系统要求或者是网络客户端的服务要求,只要有要求来的时候,通常就是各式各样的进程负责去唤起应该要工作的服务来工作!
守护进程目前有两种基本的模式,分别是有独立守护进程与和非独立守护进程两种方式,其中非独立守护进程的各项工作由超级守护进程xinetd(一种特殊的独立守护进程)代为管理。 换句话说,可以理解为超级守护进程可以代表全部的非独立守护进程。
独立守护进程(stand_alone):
独立守护进程之后,就直接常驻在内存当中!他虽然会一直的占用系统的资源,但最大的优点就是,他会一直启动!所以当有要求来的时候,他就会很快速的响应!常常用在这一种 进程的网络服务如常见的 httpd、vsftpd 等。
超级守护进程(super daemon):
相对于独立守护进程的执行方式,这一种服务的启动方式则是由统一的一个进程来负责唤起该服务!这一个统一负责的进程就是 xinetd!常用非独立守护进程的网络服务有telnet、tftp等。
下面说说超级守护守护进程的相关信息。
超级守护进程的配置文件位于/etc/xinetd.conf中,这个文件相当于那些非独立守护进程的配置文件的模板。在设置非独立守护进程的配置文件时可以参考这个文件。
defaults
# The next two items are intended to be a quick access place to
# temporarily enable or disable services.
# enabled =
# disabled =
确定是否开启本服务,如果enabled=yes,或者disabled=no就打开该项服务,反之enabled=no 或者disabled=yes就是关闭该项服务喽!在非独立守护进程的配置文见中默认是 disable = yes
# Define general logging characteristics.
log_type = SYSLOG daemon info
log_on_failure = HOST
log_on_success = PID HOST DURATION EXIT
定义登陆特征的选项,log_type选项设置显示登陆类型,如果登录失败,显示主机名,如果登陆成功,则显示登陆用户的PID,主机名,在线时间,出口。在非独立守护进程的配置文见中默认是 log_on_failure += USERID “+=”的意思是在xinetd.conf的基础上再加上 USERID
# Define access restriction defaults
# no_access =
# only_from =
# max_load = 0
cps = 50 10
instances = 50
per_source = 10
定义用户登陆时的限制选项,“no_access = ”后跟不允许登录的主机,“only_from= ”后跟允许登陆的主机。表示主机的方法有四种。分别是:
1、以网段形式 例如:192.168.1.0
2、以网络名形式 这些网络名来自/etc/networks的配置文件或者NIS域 例如:@mynetwork
3、以主机名形式(必须以.开头,切记) 例如:.domain.com
4、以IP地址加上子网掩码 例如:192.168.0.0/255.255.255.0 或者192.168.0.0/24
【注】当在配置文件中同时存在no_access 和 only_from时系统取最佳匹配。也就是说以指定范围小的那个选项为准。若两个都不存在,则允许访问。
max_load 最大登陆的客户端数
cps限制进入的数率。这一项有两个值,前一个值代表每秒钟处理的最大并发链接数,但是如果超过最大链接时,后面一个值就有用途了。在超过最大链接数的情况下,当有新的链接进来时需要等待一段时间后重新进行链接,后一个值就是来定义这个等待时间的。
per_source 允许一个IP发起的最大并发链接数。
# Address and networking defaults
# bind =
# mdns = yes
v6only = no
bind的作用是绑定监听地址
v6only 定义是否支持IP v6地址协议
# setup environmental attributes
# passenv =
groups = yes
umask = 002
这是设置环境变量的一些参数,一般用默认值就行了,在非独立守护进程中一般不会出现。
# Generally, banners are not used. This sets up their global defaults
# banner =
# banner_fail =
# banner_success =
一般来说,banners的用途不大。其作用是:当客户端链接时反馈给客户端的欢迎信息或者登录失败信息。
下面就以telnet服务为例来具体说明:
telnet服务的配置文件在/etc/xinetd.d/telnet中,打开其配置文件可以看到:
service telnet{
disable = no
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.telnetd
only_from =192.168.0.0/24
log_on_failure += USERID
access_times =8:00-18:00
}
其中:
flags 表示服务运行标志
socket_type 表示套接字类型,他有两个选项。 stream 表示使用的是TCP协议,dgram 表示使用的是UDP协议。
server 表示客户端使用telnet登录服务器时,服务器要调用的系统进程。
wait 有yes 和no 两个选项,yes 表示单线程,由非独立守护进程自己来管理用户的登录情况,no 表示多线程,由xinetd代为管理用户登录情况。
user 以某个用户的身份来运行该程序。
access_times 设定用户可以访问的时间段。
下面说一下tcp_warpper的一些设置:
事实上,除了使用 xinetd来设定安全机制之外, 我们还可以利用额外的机制来抵挡某些不受欢迎的主机! 那就是/etc/hosts.allow 以及 /etc/hosts.deny 这两个档案的功能啦!
tcp_warpper的工作原理图为:
当有外界访问请求时,tcp_warpper就去/etc/hosts.allow文件中寻找对应条目,如果在该文件中寻找到就允许访问,如果寻找不到就接着去/etc/hosts.deny文件中寻找,如果找到,就拒绝访问,如果寻找不到,则允许访问。
这两个文件内容基本的语法是:
<service(program_name)> : <IP, name,netmask,network name> : <action>
第一项<service(program_name)>
服务进程名:即可执行二进制程序名,不是服务名。
如是独立守护进程,则直接写进程名,例如 vsftpd
如果是非独立守护进程,要在进程名前加”in.”,例如 in.tenletd
另外,如果服务器端有两块以上的网卡,还可以对网卡进行绑定,即设置客户端是基于那块网卡来进行访问的。例如:[email protected] : 192.168.0.
第二项<IP, host name,netmask,network name>
IP 即单个具体的IP地址,例如 :192.168.0.82
还有一个特殊之处是IP地址可以写成 192.168.0. 意思是192.168.0.网段内的所有主机。
host name 即某个域名,必须以“.”开头,例如 .example.com 意思是包括example.com域中所有主机。
netmask 即包括某个网段, 例如:192.168.0.0/255.255.255.0
【注:】与非独立守护进程配置文件不同,该文件不支持无类域间路由,所以不能写成192.168.0.0/24 必须写成子网掩码形式192.168.0.0/255.255.255.0
network name 即这些网络名来自/etc/networks的配置文件或者NIS域 例如:@mynetwork
此外,我们还可以使用一些特殊参数(即宏定义)在第二项!内容有:
* ALL:代表全部的 program_name 或者是 IP 都接受的意思,
例如 ALL: ALL: deny
* LOCAL:匹配来自本地主机;例如: ALL: LOCAL: allow
* UNKNOWN:表示不可被解析的 IP,domain 等主机;
* KNOWN:表示为可解析的 IP, domain等主机;
* PARANOID:表示正反向解析不匹配的地址;
* EXCEPT:表示不包含后面的主机;
例如:in.telnetd:192.168.0. EXCEPT 192.168.0.82
【注:】这些特殊参数必须要大些。
第三项<action>
主要的内容有:
*spawn
可以利用后续接的 shell 来进行额外的工作,且具有变数功能,主要的变数内容为: %h, %a, %d等等;
%a 表示客户端地址
%A 表示服务器端地址
%h 表示客户端主机名(如果名字不存在,则用IP来表示)%H 表示服务器端主机名
%d 表示该项服务的可执行文件名
%c 表示客户端信息(以user@host格式来表示)
%s 表示服务器短信息(以server@host格式来表示)
%p 表示PID
%% 表示转义字符%
* twist
立刻执行后面的指令,且执行完后终止该次连线的要求 (DENY)
*banners
读取/var/banners/servicename下的的文件,将文件内的欢迎信息显示给登陆用户 切记servicename必须要与第一项service名字相同。否则就读取不到这些信息。有关具体实验步骤,请参阅实验部分。
本文转自 linuxtro 51CTO博客,原文链接:http://blog.51cto.com/linuxtro/278641,如需转载请自行联系原作者