Es gibt drei Dienste, die nur für xinetd verwendet werden. Diese sind
weder in /etc/rpc, noch in /etc/services zu finden und müssen das
UNLISTED Flag setzen (neben dem INTERNAL Flag, welches anzeigt, dass sie
xinetd Dienste sind).
-
servers: Auskunft über die gerade laufenden Server
-
services: liefert Informationen über die angebotenen Dienste, ihre Protokolle und Ports
-
xadmin: bietet Funktionen der beiden oben genannten Dienste
Es ist offensichtlich, dass durch diese Dienste das System verletzbarer
wird. Sie stellen wichtige Informationen zu Verfügung. Zur Zeit gibt es
keine Sicherheitsmechanismen für den Zugriff auf diese Dienste (etwa
Passwortschutz). Sie sollten nur in der Einrichtungsphase verwendet
werden. Zunächst wird der Zugriff auf sie in dem Abschnitt defaults
generell gesperrt:
defaults {
...
disabled = servers services xadmin
...
}
|
Bevor sie dann aktiviert werden sollten einige Vorkehrungen getroffen
werden:
-
Der Rechner, auf dem xinetd läuft, sollte der einzige Rechner
sein, dem es erlaubt ist, die Dienste zu nutzen
-
Die Anzahl der gleichzeitig erlaubten Serverinstanzen sollte eins
sein
-
Zugegriffen werden darf nur von dem Rechner aus, auf dem der
Server läuft.
Hier ein Beispiel für die Konfiguration des xadmin Dienstes. Die
Einstellung der beiden anderen Dienste erfolgt analog, bis auf die
Portnummer natürlich.
service xadmin
{
type = INTERNAL UNLISTED
port = 9100
protocol = tcp
socket_type = stream
wait = no
instances = 1
only_from = 192.168.1.1 #charly
}
|
Der Dienst xadmin bietet fünf Befehle:
-
help ...
-
show run : gleicht dem Dienst servers und gibt Auskunft über die
zur Zeit laufenden Server
-
show avail : gleicht dem Dienst services und informiert über die
verfügbaren Dienste (und ein wenig mehr)
-
bye oder exit ...
Das System kann auch ohne diese Dienste getestet werden. Befehle, wie
netstat, fusert, lsof
geben ebenfalls einen Überblick über das, was
auf dem Rechner vonstatten geht, ohne ihn ein wenig unsicherer durch die
Verwendung der Dienste zu machen!
|