Der Xinetd-servicce Einleitung 'Xinetd' ist ein quelloffener Superserver, der auf vielen Unix-Systemen laeuft. Xinetd steht fuer extended internet daemon und verwaltet verschiedene Internetdienste wie FTP-Server, HTTP-Server und andere. Der xinetd stellt verschiedene Zugangskontrollen zur Verfuegung, wie zum Beispiel TCP-Wrapper-Zugangskontrolllisten, ausserdem vielfaeltige Log-Faehigkeiten und die Moeglichkeit, Dienste nach Uhrzeit zur Verfuegung zu stellen. Xinetd kann das System in der Anzahl der zu startenden Server/Daemons einschraenken und besitzt Verteidigungsmechanismen gegen Portscanner und andere Angriffsarten. Das Menue im Setup-Program Das Menue im Setup-Programm ist wie folgt aufgebaut: 1. Service administration x. Xinetd - administration 1. View documentaion 2. Edit configuration 3. Show status 4. Stop xinetd 5. Start xinetd 6. Advanced configuration file handling 0. Exit Aenderung der Konfiguration Die Konfiguration kann ueber den Menuepunkt ''Edit configuration'' geaendert werden. Standardmaessig wird dabei der Editor joe genutzt (siehe aber Variable EDITOR in der Base configuration, Teil Edit environment configuration). Nachdem der Editor beendet wurde wird die Konfiguration mit dem eischk-Programm automatisch auf syntaktische und teilweise auch auf semantische Fehler geprueft. Werden Fehler festgestellt, so werden diese gemeldet und der Benutzer zur Korrektur aufgefordert. Wird eine solche Korrektur nicht durchgefuehrt, so kann es zu unvorhersehbaren Fehlfunktionen bei den Diensten kommen. Es wird zusaetzlich gefragt, ob die Konfiguration angewendet (aktiviert) werden soll. Wird dieses verneint, so unterbleibt die Aktivierung. Wird die Aktivierung bestaetigt, werden ueber ein Skript die durchgefuehrten Aenderungen wirksam gemacht. Die Konfigurationsdatei Die Konfigurationsdatei (/etc/config.d/xinetd) enthaelt in einer Reihe von Abschnitten die Parameter, die die einzelnen Dienste parametrisieren bzw festlegen, ob ein Dienst ueberhaupt zur Verfuegung gestellt wird oder nicht. Die Parameter xinetd (general settings) START_XINETD Soll der xinetd-Daemon gestartet werden (yes) oder nicht (no)? Gueltige Werte: yes,no Standardeinstellung: START_XINETD='no' Services (settings) XINETD_TIME_SERVICE Soll der sogenannte Time Service (RFC 868) sowohl via UPD und TCP bereitgestellt werden (yes) oder nicht (no)? ueber diesen Dienst auf Port 37 koennen andere Rechner einen Zeitabgleich mit dem eisfair-Server durchfuehren. Gueltige Werte: yes,no Standardeinstellung: XINETD_TIME_SERVICE='no' XINETD_DAYTIME_SERVICE Soll der sogenannte Daytime Service (RFC 867) sowohl via UPD und TCP bereitgestellt werden (yes) oder nicht (no)? ueber diesen Dienst auf Port 13 koennen andere Rechner die akutelle Uhrzei und das Datum in einer Zeile vom eisfair-Server abfragen. Gueltige Werte: yes,no Standardeinstellung: XINETD_DAYTIME_SERVICE='no' XINETD_ECHO_SERVICE Soll der sogenannte Echo Service (RFC 862) sowohl via UPD und TCP bereitgestellt werden (yes) oder nicht (no)? Aufgabe des Dienstes auf Port 7 ist es, alle empfangenen Daten unveraendert vom eisfair-Server zum Client zurueckzusenden. Gueltige Werte: yes,no Standardeinstellung: XINETD_ECHO_SERVICE='no' XINETD_DISCARD_SERVICE Soll der sogenannte Discard Service (RFC 863) sowohl via UPD und TCP bereitgestellt werden (yes) oder nicht (no)? Aufgabe des Dienstes auf Port 9 ist es, alle empfangenen Daten zu verwerfen. Es wird keine Antwort vom eisfair-Server gesendet Gueltige Werte: yes,no Standardeinstellung: XINETD_DISCARD_SERVICE='no' XINETD_CHARGEN_SERVICE Soll der sogenannte Chargen Service (RFC 864) sowohl via UPD und TCP bereitgestellt werden (yes) oder nicht (no)? ueber diesen Dienst auf Port 19 koennen andere Rechner Testen und Debuggen mit dem eisfair-Server durchfuehren. Gueltige Werte: yes,no Standardeinstellung: XINETD_CHARGEN_SERVICE='no' Die Funktion des Xinetd Der Xinetd ist als Superserver konzipiert und kann gewissen Dienste starten, wenn sie angefragt werden. Dies kann insbesondere dann ein Vorteil sein, wenn Speicher knapp ist; damit werden dann Dienste nur gestartet, wenn sie auch wirklich gebraucht werden. Beispielsweise wird der telnetd erst dann gestartet, wenn eine Anfrage auf dem zu telnetd gehoerenden Port ankommt. So ist es auch zu erklaeren, dass - bis auf die Zeitpunkte, zu denen ein User per Telnet eingeloggt ist - nie ein telnetd-Prozess in der Prozessliste zu finden ist. Konfiguration der Services fuer den Xinetd Es wurde die Bearbeitung sogenannter .expert-Dateien implementiert. Falls eine Datei .expert (z.B. ftp.expert) im Verzeichnis /etc/xinetd.d existiert, so wird diese Datei in die originale Servicedatei eingefuegt. Das folgende Beispiel zeigt, was passiert. Originale Servicedatei /etc/xinetd.d/ftp service ftp { server = /usr/sbin/pure-ftpd server_args = -l unix -A -E -k 95% -I 15 -c 20 -S 21 socket_type = stream protocol = tcp wait = no user = root disable = no } Expertdatei /etc/xinetd.d/ftp.expert per_source = 2 only_from = 192.168.1.11 Zusammengefuegte Datei /etc/xinetd.d/ftp service ftp { #B Expert per_source = 2 only_from = 192.168.1.11 #E Expert server = /usr/sbin/pure-ftpd server_args = -l unix -A -E -k 95% -I 15 -c 20 -S 21 socket_type = stream protocol = tcp wait = no user = root disable = no } Die Datei /etc/xinetd.d/ftp.expert wurde in die Datei /etc/xinetd.d/ftp nach der oeffnenden geschweiften Klammer aber vor dem Inhalt der Originaldatei, eingefuegt. Zwei spezielle Kommentarzeilen wurde hinzugefuegt #B Expert #E Expert Siehe: ([1]Man-xinetd) fuer eine Beschreibung der xinetd Konfigurationsdatei. Das obige Beispiel limitiert den Zugriff via ftp auf eine einzige IP-Adresse (only_from = 192.168.1.11) und limitiert zusaetzlich die Anzahl der Verbindungen auf 2 (per_source = 2). Achtung: Bitte vorsichtig mit dieser Option umgehen, da es so sehr einfach ist eine fehlerhafte Konfigurationsdatei fuer den xinetd zu erzeugen. Bitte in Datei /var/log/messages nachschauen, ob der xinetd erfolgreich startet. Bitte auf keinen Fall die beiden speziellen Kommentarzeilen veraendert oder loeschen. Sie sind sehr wichtig, wenn .expert-Dateien geloescht bzw. veraendert werden und dadurch natuerlich auch die Inhalte der Servicedatei geaendert werden muessen. Die Behandlung der .expert-Dateien wird bei jedem Start des xinetd durchgefuehrt (z.B. bei /etc/init.d/xinetd start). Die Idee fuer .expert-Dateien stammt von Tobias Becker. __________________________________________________________________