Das klassische inetd dient der Steuerung und Überwachung von
Netzwerkverbindungen eines Rechners. Trifft eine Anfrage auf einem Port
ein, der von inetd verwaltet wird, wird diese an das Programm
tcpd
weitergeleitet. Dieses entscheidet auf Basis der Regeln in den
Dateien hosts.allow und hosts.deny, ob die Anfrage zulässig ist. Ist
dies der Fall, so wird der entsprechende Serverprozess , zum Beispiel
ftpd, gestartet und die Anfrage bearbeitet. Dieser Mechanismus ist auch
als TCP_Wrapper bekannt.
xinetd bietet ähnliche Möglichkeiten zur Zugriffssteuerung an, wie der
TCP_Wrapper.
Zusätzlich leistet es noch mehr:
-
Zugriffssteuerung von TCP, UDP und RPC Diensten (letzteres
funktioniert nicht ganz so gut)
-
Zugriff zu bestimmten Zeiten
-
Protokollierung von zulässigen, als auch von unzulässigen Anfragen
-
effizienter Schutz vor
Denial of Service
Angriffen. Dies sind Angriffe, bei denen versucht wird, den Rechner
zu blockieren, indem dessen Resourcen in großem Maße belegt werden:
-
Beschränkung der Zahl der Server des gleichen Types, die
simultan laufen dürfen
-
Festlegung der maximalen Zahl gleichzeitig laufendener Server
-
Beschränkung der Größe der Protokolldateien
-
Dienste können an bestimmte Netzwerkschnittstellen gebunden
werden. Dadurch können einzelne Dienste etwa innerhalb eines privaten
Netzwerkes verwendet werden, stehen aber nach außen hin nicht zur
Verfügung.
-
Verwendung als Proxy. Recht nützlich in Verbindung mit
ip_masquerading (bzw. NAT),
wodurch Rechner eines internen Netzwerkes
von außen her erreicht werden können, obwohl nur eine IP bekannt ist
Das Hauptproblem, wie schon erwähnt, stellt die Abwicklung von RPC
Aufrufen dar. Jedoch arbeiten portmap und
xinetd großartig zusammen.
Im ersten Teil dieses Artikels wird erklärt, wie xinetd funktioniert.
Ausführlich wird die Konfiguration des Systems, sowie einige spezielle
Optionen (Beschränkung auf ein Netzinterface, Umleitung) beschrieben.
Dabei werden zur Veranschaulichung einige Beispiele vorgestellt. Im
zweiten Teil schließlich wird xinetd im laufen Betrieb betrachtet und
ein Blick auf die Protokolldateien geworfen. Zum Schluß gibt es dann
noch einen nützlichen Tip.
|