Content
Dateianzeige für xinetd (3.2.1)
usr/share/doc/xinetd/xinetd.txt
Der Xinetd-servicce
Einleitung
'Xinetd' ist ein quelloffener Superserver, der auf vielen Unix-Systemen
laeuft. Xinetd steht fuer extended internet daemon und verwaltet
verschiedene Internetdienste wie FTP-Server, HTTP-Server und andere.
Der xinetd stellt verschiedene Zugangskontrollen zur Verfuegung, wie
zum Beispiel TCP-Wrapper-Zugangskontrolllisten, ausserdem vielfaeltige
Log-Faehigkeiten und die Moeglichkeit, Dienste nach Uhrzeit zur
Verfuegung zu stellen. Xinetd kann das System in der Anzahl der zu
startenden Server/Daemons einschraenken und besitzt
Verteidigungsmechanismen gegen Portscanner und andere Angriffsarten.
Das Menue im Setup-Program
Das Menue im Setup-Programm ist wie folgt aufgebaut:
1. Service administration
x. Xinetd - administration
1. View documentaion
2. Edit configuration
3. Show status
4. Stop xinetd
5. Start xinetd
6. Advanced configuration file handling
0. Exit
Aenderung der Konfiguration
Die Konfiguration kann ueber den Menuepunkt ''Edit configuration''
geaendert werden. Standardmaessig wird dabei der Editor joe genutzt
(siehe aber Variable EDITOR in der Base configuration, Teil Edit
environment configuration).
Nachdem der Editor beendet wurde wird die Konfiguration mit dem
eischk-Programm automatisch auf syntaktische und teilweise auch auf
semantische Fehler geprueft. Werden Fehler festgestellt, so werden
diese gemeldet und der Benutzer zur Korrektur aufgefordert. Wird eine
solche Korrektur nicht durchgefuehrt, so kann es zu unvorhersehbaren
Fehlfunktionen bei den Diensten kommen.
Es wird zusaetzlich gefragt, ob die Konfiguration angewendet
(aktiviert) werden soll. Wird dieses verneint, so unterbleibt die
Aktivierung.
Wird die Aktivierung bestaetigt, werden ueber ein Skript die
durchgefuehrten Aenderungen wirksam gemacht.
Die Konfigurationsdatei
Die Konfigurationsdatei (/etc/config.d/xinetd) enthaelt in einer Reihe
von Abschnitten die Parameter, die die einzelnen Dienste
parametrisieren bzw festlegen, ob ein Dienst ueberhaupt zur Verfuegung
gestellt wird oder nicht.
Die Parameter
xinetd (general settings)
START_XINETD
Soll der xinetd-Daemon gestartet werden (yes) oder nicht (no)?
Gueltige Werte: yes,no
Standardeinstellung: START_XINETD='no'
Services (settings)
XINETD_TIME_SERVICE
Soll der sogenannte Time Service (RFC 868) sowohl via UPD und
TCP bereitgestellt werden (yes) oder nicht (no)? ueber diesen
Dienst auf Port 37 koennen andere Rechner einen Zeitabgleich mit
dem eisfair-Server durchfuehren.
Gueltige Werte: yes,no
Standardeinstellung: XINETD_TIME_SERVICE='no'
XINETD_DAYTIME_SERVICE
Soll der sogenannte Daytime Service (RFC 867) sowohl via UPD und
TCP bereitgestellt werden (yes) oder nicht (no)? ueber diesen
Dienst auf Port 13 koennen andere Rechner die akutelle Uhrzei
und das Datum in einer Zeile vom eisfair-Server abfragen.
Gueltige Werte: yes,no
Standardeinstellung: XINETD_DAYTIME_SERVICE='no'
XINETD_ECHO_SERVICE
Soll der sogenannte Echo Service (RFC 862) sowohl via UPD und
TCP bereitgestellt werden (yes) oder nicht (no)? Aufgabe des
Dienstes auf Port 7 ist es, alle empfangenen Daten unveraendert
vom eisfair-Server zum Client zurueckzusenden.
Gueltige Werte: yes,no
Standardeinstellung: XINETD_ECHO_SERVICE='no'
XINETD_DISCARD_SERVICE
Soll der sogenannte Discard Service (RFC 863) sowohl via UPD und
TCP bereitgestellt werden (yes) oder nicht (no)? Aufgabe des
Dienstes auf Port 9 ist es, alle empfangenen Daten zu verwerfen.
Es wird keine Antwort vom eisfair-Server gesendet
Gueltige Werte: yes,no
Standardeinstellung: XINETD_DISCARD_SERVICE='no'
XINETD_CHARGEN_SERVICE
Soll der sogenannte Chargen Service (RFC 864) sowohl via UPD und
TCP bereitgestellt werden (yes) oder nicht (no)? ueber diesen
Dienst auf Port 19 koennen andere Rechner Testen und Debuggen
mit dem eisfair-Server durchfuehren.
Gueltige Werte: yes,no
Standardeinstellung: XINETD_CHARGEN_SERVICE='no'
Die Funktion des Xinetd
Der Xinetd ist als Superserver konzipiert und kann gewissen Dienste
starten, wenn sie angefragt werden. Dies kann insbesondere dann ein
Vorteil sein, wenn Speicher knapp ist; damit werden dann Dienste nur
gestartet, wenn sie auch wirklich gebraucht werden.
Beispielsweise wird der telnetd erst dann gestartet, wenn eine Anfrage
auf dem zu telnetd gehoerenden Port ankommt. So ist es auch zu
erklaeren, dass - bis auf die Zeitpunkte, zu denen ein User per Telnet
eingeloggt ist - nie ein telnetd-Prozess in der Prozessliste zu finden
ist.
Konfiguration der Services fuer den Xinetd
Es wurde die Bearbeitung sogenannter .expert-Dateien
implementiert. Falls eine Datei .expert (z.B. ftp.expert) im
Verzeichnis /etc/xinetd.d existiert, so wird diese Datei in die
originale Servicedatei eingefuegt.
Das folgende Beispiel zeigt, was passiert.
Originale Servicedatei /etc/xinetd.d/ftp
service ftp
{
server = /usr/sbin/pure-ftpd
server_args = -l unix -A -E -k 95% -I 15 -c 20 -S 21
socket_type = stream
protocol = tcp
wait = no
user = root
disable = no
}
Expertdatei /etc/xinetd.d/ftp.expert
per_source = 2
only_from = 192.168.1.11
Zusammengefuegte Datei /etc/xinetd.d/ftp
service ftp
{
#B Expert
per_source = 2
only_from = 192.168.1.11
#E Expert
server = /usr/sbin/pure-ftpd
server_args = -l unix -A -E -k 95% -I 15 -c 20 -S 21
socket_type = stream
protocol = tcp
wait = no
user = root
disable = no
}
Die Datei /etc/xinetd.d/ftp.expert wurde in die Datei /etc/xinetd.d/ftp
nach der oeffnenden geschweiften Klammer aber vor dem Inhalt der
Originaldatei, eingefuegt.
Zwei spezielle Kommentarzeilen wurde hinzugefuegt
#B Expert
#E Expert
Siehe: ([1]Man-xinetd) fuer eine Beschreibung der xinetd
Konfigurationsdatei.
Das obige Beispiel limitiert den Zugriff via ftp auf eine einzige
IP-Adresse (only_from = 192.168.1.11) und limitiert zusaetzlich die
Anzahl der Verbindungen auf 2 (per_source = 2).
Achtung: Bitte vorsichtig mit dieser Option umgehen, da es so sehr
einfach ist eine fehlerhafte Konfigurationsdatei fuer den xinetd zu
erzeugen. Bitte in Datei /var/log/messages nachschauen, ob der xinetd
erfolgreich startet.
Bitte auf keinen Fall die beiden speziellen Kommentarzeilen veraendert
oder loeschen. Sie sind sehr wichtig, wenn .expert-Dateien
geloescht bzw. veraendert werden und dadurch natuerlich auch die
Inhalte der Servicedatei geaendert werden muessen.
Die Behandlung der .expert-Dateien wird bei jedem Start des
xinetd durchgefuehrt (z.B. bei /etc/init.d/xinetd start).
Die Idee fuer .expert-Dateien stammt von Tobias Becker.
__________________________________________________________________