|
2004 г
Проект Русской Документации FreeBSD
содержание
Текст предоставил Chern Lee.
inetd(8) называют
также ``супер-сервером Интернет'', потому что он управляет соединениями к нескольким
даемонам. Программы, которые предоставляют сетевые услуги, называют даемонами. inetd выступает в качестве управляющего сервера для других
даемонов. Когда inetd принимает соединение, он определяет, для
какого даемона предназначено соединение, вызывает соответствующий даемон и предоставляет
ему сокет. Запуск одного экземпляра inetd уменьшает общую
нагрузку на систему по сравнению с запуском каждого даемона индивидуально в выделенном
режиме.
В первую очередь inetd используется для вызова других
даемонов, но несколько простых протоколов, таких, как chargen,
auth и daytime, обслуживаются
непосредственно.
Этот раздел посвящен основам настройки inetd посредством
его параметров командной строки и его конфигурационного файла, /etc/inetd.conf.
inetd инициализируется посредством системы /etc/rc.conf. Параметр inetd_enable по
умолчанию установлен в NO, однако часто включается утилитой sysinstall при выборе профиля среднего уровня безопасности.
Указание
inetd_enable="YES"
или
inetd_enable="NO"
в файле /etc/rc.conf может задать или запретить запуск inetd во время загрузки.
Кроме того, через inetd_flags даемону inetd могут быть переданы различные параметры командной
строки.
Формат вызова inetd:
inetd [-d] [-l] [-w] [-W] [-c maximum] [-C rate] [-a address |
hostname] [-p filename] [-R rate] [configuration file]
- -d
-
Включение отладочной информации.
- -l
-
Включение регистрации успешных соединений.
- -w
-
Включение механизма TCP Wrapping для внешних служб (по умолчанию включено).
- -W
-
Включение механизма TCP Wrapping для внутренних служб, которые встроены в inetd (по умолчанию включено).
- -c maximum
-
Определение максимального числа одновременных запусков каждой службы; по умолчание не
ограничено. Может быть переопределено индивидуально для каждой службы при помощи
параметра max-child.
- -C rate
-
Определение по умолчанию максимального количества раз, которое служба может быть
вызвана с одного IP-адреса в минуту; по умолчанию не ограничено. Может быть
переопределено для каждой службы параметром max-connections-per-ip-per-minute.
- -R rate
-
Определяет максимальное количество раз, которое служба может быть вызвана в минуту; по
умолчанию 256. Частота, равная 0, не ограничивает число вызовов.
- -a
-
Задает один IP-адрес, к которому делается привязка. Альтернативно может быть указано
имя хоста, и в этом случае используется соответствующий этому имени хоста адрес IPv4 или
IPv6. Обычно имя хоста задается, когда inetd запускается в
окружении jail(8), и в этом
случае имя хоста соответствует этому jail(8)-окружению.
Если используется формат с именем хоста и требуется привязка как для IPv4, так и для
IPv6, то для каждой привязки требуется запись с соответствующим типом протокола для
каждой службы в файле /etc/inetd.conf. К примеру, службе на
основе TCP потребуется две записи, в одной для протокола используется tcp4, а в другой используется tcp6.
- -p
-
Задает альтернативный файл для хранения ID процесса.
Эти параметры могут быть переданы в inetd при помощи inetd_flags в файле /etc/rc.conf. По
умолчанию значение inetd_flags установлено в -wW, что включает механизм TCP wrapping для внутренних и внешних
служб inetd. Новичкам эти параметры изменять и даже задавать
их в файле /etc/rc.conf не нужно.
Замечание: Внешняя служба является даемоном вне inetd, который запускается при получении соединения к нему. С
другой стороны, внутренней службой является услуга, которую inetd предоставляет сам.
Настройка inetd управляется через файл /etc/inetd.conf.
Если в файле /etc/inetd.conf делались изменения, то inetd можно заставить считать его конфигурационный файл повторно,
послав сигнал HangUP процессу inetd, как показано здесь:
Пример 23-1. Посылка сигнала HangUP процессу inetd
# kill -HUP `cat /var/run/inetd.pid`
В каждой строке конфигурационного файла описывается отдельный даемон. Комментариям в
файле предшествует знак ``#''. Файл /etc/inetd.conf имеет такой
формат:
service-name
socket-type
protocol
{wait|nowait}[/max-child[/max-connections-per-ip-per-minute]]
user[:group][/login-class]
server-program
server-program-arguments
Пример записи для даемона ftpd, использующего IPv4:
ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l
- service-name
-
Это имя сервиса, предоставляемого конкретным даемоном. Оно должно соответствовать
сервису, указанному в файле /etc/services. Здесь определяется,
какой порт должен обслуживать inetd. При создании нового
сервиса он должен помещаться сначала в файл /etc/services.
- socket-type
-
stream, dgram, raw либо seqpacket. stream должен использоваться для ориентированных на соединение
даемонов TCP, когда как dgram используется для даемонов,
использующих транспортный протокол UDP.
- protocol
-
Одно из следующих:
- {wait|nowait}[/max-child[/max-connections-per-ip-per-minute]]
-
wait|nowait определяет, может ли даемон, вызванный из inetd, работать с собственным сокетом, или нет. Сокеты типа dgram должны использовать параметр wait,
когда как даемоны с потоковыми сокетами, которые обычно многопоточны, должны использовать
nowait. wait обычно передает много
сокетов одному даемону, когда как nowait порождает даемон для
каждого нового сокета.
Максимальное число порожденных даемонов, которых может создать inetd, может быть задано параметром max-child. Если нужно ограничение в десять экземпляров некоторого
даемона, то после параметра nowait нужно задать /10.
Кроме max-child, может быть задействован другой параметр,
ограничивающий максимальное число соединений от одного источника. max-connections-per-ip-per-minute служит именно для этого. Здесь
значение, равное десяти, будет ограничивать любой заданный IP-адрес на выполнение десяти
попыток подключения к некоторому сервису в минуту. Это полезно для предотвращения
намеренного или ненамеренного расходования ресурсов и атак типа Denial of Service (DoS)
на машину.
В этом поле wait или nowait
обязательны. max-child и max-connections-per-ip-per-minute опциональны.
Многопоточный даемон типа stream без ограничений max-child
или max-connections-per-ip-per-minute будет определен просто
вот так: nowait.
Тот же самый даемон с ограничением в максимум десять даемонов будет определен так:
nowait/10.
Наконец, та же конфигурация с ограничением в двадцать соединений на IP-адрес в минуту
и общим ограничением в максимум десять порожденных даемонов выглядит так: nowait/10/20.
Эти параметры, используемые все со значениями по умолчанию даемоном fingerd, имеют такой вид:
finger stream tcp
nowait/3/10 nobody /usr/libexec/fingerd fingerd -s
- user
-
Это имя пользователя, под которым должен работать соответствующий даемон. Чаще всего
даемоны работают как пользователь root. Для обеспечения
безопасности некоторые серверы запускаются как пользователь daemon или как пользователь с минимальными правами nobody.
- server-program
-
Полный маршрут к даемону, который будет выполняться при установлении соединения. Если
даемон является сервисом, предоставляемым самим inetd, то
нужно задать ключевое слово internal.
- server-program-arguments
-
Этот параметр работает вместе с параметром server-program,
задавая параметры, начиная с argv[0], передаваемые даемону при
запуске. Если в командной строке задано mydaemon -d, то mydaemon -d будет являться значением для server-program-arguments. И снова, если даемон является внутренней
службой, то здесь нужно использовать internal.
В зависимости от схемы безопасности, выбранной при установке, многие из даемонов inetd могут оказаться по умолчанию включенными. Если нет особой
нужды в некотором даемоне, то выключите его! Поместите знак ``#'' перед ненужным даемоном
в /etc/inetd.conf и пошлите сигнал для inetd. Некоторые
даемоны, такие, как fingerd, вообще нежелательны, потому что
они дают атакующему слишком много информации.
Некоторые даемоны не заботятся о безопасности и имеют большие таймауты для соединений
или вообще их не имеют. Это позволяет атакующему неспешно устанавливать соединения к
конкретному даемону, истощая имеющиеся ресурсы. Может оказаться полезным задать для
некоторых даемонов ограничения max-connections-per-ip-per-minute и max-child.
По умолчанию механизм TCP wrapping включен. Обратитесь к справочной странице по hosts_access(5) для
получения более подробной информации о задании ограничений TCP для различных даемонов,
запускаемых посредством inetd.
daytime, time, echo, discard, chargen и auth все являются услугами,
предоставляемыми самим inetd.
Сервис auth предоставляет идентификационные сетевые услуги
(ident, identd) и поддается
настройке.
Обратитесь к справочной странице по inetd(8) для получения
более подробной информации.
|
|
🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях
Виртуальные VPS серверы в РФ и ЕС
