技术笔记：Linux中的两种守护进程standalone和xinetd

Linux中的两种守护进程stand alone和xinetd

--

一般使用stand alone /etc/init.d/

非常少用xinetd /etc/xinetd.d/

Linux守护进程的运行方式

1．独立运行（stand-alone）的守护进程

独立运行的守护进程由init脚本负责管理，所有独立运行的守护进程的脚本在/etc/rc.d/init.d/目录下。系统服务都是独立运行的守护进程，包括syslogd和crond等。独立运行的守护进程的工作方式称做stand-alone，它是UNIX传统的C/S模式的访问模式。stand-alone模式的工作原理如图4-4所示。

工作在stand-alone模式下的网络服务有xinetd、route、gated，另外还有Web服务器Apache和邮件服务器Sendmail、DNS域名服务器Bind。在Linux系统中通过stand-alone模式启动的服务由/etc/rc.d/下面对应的运行级别当中的符号链接启动。

2．xinetd模式运行独立的守护进程

从守护进程的概念可以看出，对于系统所要通过的每一种服务，都必须运行一个监听某个端口连接所发生的守护进程，这通常意味着资源浪费。为了解决这个问题，Linux引进了"网络守护进程服务程序"的概念。Red Hat Linux 9.0使用的网络守护进程是xinted（eXtended internet daemon）。xinetd能够同时监听多个指定的端口，在接受用户请求时，它能够根据用户请求的端口的不同，启动不同的网络服务进程来处理这些用户请求。可以把xinetd看做一个管理启动服务的管理服务器，它决定把一个客户请求交给哪个程序处理，然后启动相应的守护进程。xinetd无时不在运行并监听它所管理的所有端口上的服务。当某个要连接它管理的某项服务的请求到达时，xinetd就会为该服务启动合适的服务器。xinetd模式的工作原理如图4-5所示。

3. xinetd和stand-alone工作模式相比，系统不想要每一个网络服务进程都监听其服务端口，运行单个xinetd就可以同时监听所有服务端口，这样就降低了系统开销，保护系统资源。但是对于访问量大、经常出现并发访问的情况，xinetd则要频繁启动相应的网络服务进程，反而会导致系统性能下降。查看系统为Linux服务提供哪种工作模式，可以在Linux命令行中使用pstree命令，就能看到两种不同模式启动的网络服务。一般来说系统中一些负载高的服务，Sendmail、Apache服务是单独启动的；而其他服务类型都可以使用xinetd超级服务器super daemon管理。

# pstree

init─┬─abrtd

├─acpid

├─atd

├─auditd───{auditd}

├─automount───4【{automount}】

├─certmonger

├─console-kit-dae───63【{console-kit-da}】

├─cupsd

├─dbus-daemon

├─fail2ban-server───2【{fail2ban-serve}】

├─hald─┬─hald-runner─┬─hald-addon-acpi

│ │ └─hald-addon-inpu

│ └─{hald}

├─irqbalance

├─login───bash

├─master─┬─pickup

│ └─qmgr

├─mcelog

├─5【mingetty】

├─nginx───nginx

├─rpc.statd

├─rpcbind

├─rsyslogd───3【{rsyslogd}】

├─sshd───sshd───bash───pstree #ssh登录之后，进入bash，如果进行了多次su，那么会显示bash-bash-pstree

└─udevd───2【udevd】

五 Xinetd

1．什么是xinetd

xinetd即extended internet daemon，xinetd是新一代的网络守护进程服务程序，又叫超级Internet服务器。经常用来管理多种轻量级Internet服务。xinetd提供类似于inetd+tcp_wrapper的功能，但是更加强大和安全。

2. xinetd的特色

1) 强大的存取控制功能

— 内置对恶意用户和善意用户的差别待遇设定。

— 使用libwrap支持，其效能更甚于tcpd。

— 可以限制连接的等级，基于主机的连接数和基于服务的连接数。

— 设置特定的连接时间。

— 将某个服务设置到特定的主机以提供服务。

2) 有效防止DoS攻击

— 可以限制连接的等级。

— 可以限制一个主机的最大连接数，从而防止某个主机独占某个服务。

— 可以限制日志文件的大小，防止磁盘空间被填满。

3) 强大的日志功能

— 可以为每一个服务就syslog设定日志等级。

— 如果不使用syslog，也可以为每个服务建立日志文件。

— 可以记录请求的起止时间以决定对方的访问时间。

— 可以记录试图非法访问的请求。

4) 转向功能

可以将客户端的请求转发到另一台主机去处理。

5) 支持IPv6

xinetd自xinetd 2.1.8.8pre起的版本就支持IPv6，可以通过在./configure脚本中使用with-inet6 capability选项来完成。注意，要使这个生效，核心和网络必须支持IPv6。当然IPv4仍然被支持。

6) 与客户端的交互功能

无论客户端请求是否成功，xinetd都会有提示告知连接状态。

3. Xinetd的缺点

当前，它最大的缺点是对RPC支持的不稳定性，但是可以启动portmap，使它与xinetd共存来解决这个问题。

4 使用xinetd启动守护进程

原则上任何系统服务都可以使用xinetd，然而最适合的应该是那些常用的网络服务，同时，这个服务的请求数目和频繁程度不会太高。像DNS和Apache就不适合采用这种方式，而像FTP、Telnet、SSH等就适合使用xinetd模式，系统默认使用xinetd的服务可以分为如下几类。

① 标准Internet服务：telnet、ftp。

② 信息服务：finger、netstat、systat。

③ 邮件服务：imap、imaps、pop2、pop3、pops。

④ RPC服务：rquotad、rstatd、rusersd、sprayd、walld。

⑤ BSD服务：comsat、exec、login、ntalk、shell、talk。

⑥ 内部服务：chargen、daytime、echo、servers、services、time。

⑦ 安全服务：irc。

⑧ 其他服务：name、tftp、uucp。

5. 解读xinet的配置文件/etc/services, /etc/xinetd.conf和/etc/xinetd.d/

0）/etc/services

在/etc/services 中设置了xinetd下的service对应的端口，例如：

$ cat /etc/services | grep rsync

rsync 873/tcp # rsync

rsync 873/udp # rsync

1) /etc/xinetd.conf

xinetd的配置文件是/etc/xinetd.conf，但是它只包括几个默认值及/etc/xinetd.d目录中的配置文件。如果要启用或禁用某项xinetd服务，编辑位于/etc/xinetd.d目录中的配置文件。

例如，disable属性被设为yes，表示该项服务已禁用；disable属性被设为no，表示该项服务已启用。/etc/xinetd.conf有许多选项，下面是RHEL 4.0的/etc/xinetd.conf。

# Simple configuration file for xinetd

# Some defaults, and include /etc/xinetd.d/

defaults

{

instances = 60

log_type = SYSLOG authpriv

log_on_success = HOST PID

log_on_failure = HOST

cps = 25 30

}

includedir /etc/xinetd.d

— instances = 60：表示最大连接进程数为60个。

— log_type = SYSLOG authpriv：表示使用syslog进行服务登记。

— log_on_success= HOST PID：表示设置成功后记录客户机的IP地址的进程ID。

— log_on_failure = HOST：表示设置失败后记录客户机的IP地址。

— cps = 25 30：表示每秒25个入站连接，如果超过限制，则等待30秒。主要用于对付拒绝服务攻击。

— includedir /etc/xinetd.d：表示告诉xinetd要包含的文件或目录是/etc/xinetd.d。

2) /etc/xinetd.d/

下面以/etc/xinetd.d/中的一个文件（rsync）为例。

service rsync

{

disable = yes

socket_type = stream

wait = no

user = root

server = /usr/bin/rsync

log_on_failure += USERID

}

下面说明每一行选项的含义。

— disable = yes：表示禁用这个服务。

— socket_type = stream：表示服务的数据包类型为stream。

— wait = no：表示不需等待，即服务将以多线程的方式运行。

— user = root：表示执行此服务进程的用户是root。

— server = /usr/bin/rsync：启动脚本的位置。

— log_on_failure += USERID：表示设置失败时，UID添加到系统登记表。

5 配置xinetd

1) 格式

/etc/xinetd.conf中的每一项具有下列形式：

service service-name

{

……

}

其中service是必需的关键字，且属性表必须用大括号括起来。每一项都定义了由service-name定义的服务。

service-name是任意的，但通常是标准网络服务名，也可增加其他非标准的服务，只要它们能通过网络请求激活，包括localhost自身发出的网络请求。有很多可以使用//代码效果参考：http://hnjlyzjd.com/xl/wz_24795.html

的属性，稍后将描述必需的属性和属性的使用规则。

操作符可以是=、+=或-=。所有属性可以使用=，其作用是分配一个或多个值，某些属性可以使用+=或-=，其作用分别是将其值增加到某个现存的值表中，或将其值从现存值表中删除。

2) 配置文件

相关的配置文件如下：

/etc/xinetd.conf

/etc/xinetd.d/ //该目录下的所有文件

/etc/hosts.allow

/etc/hosts.deny

3)/etc/xinetd.conf中的disabled与enabled

前者的参数是禁用的服务列表，后者的参数是启用的服务列表。他们的共同点是格式相同（属性名、服务名列表与服务中间用空格分开，例如disabled = in.tftpd in.rexecd），此外，它们都是作用于全局的。如果在disabled列表中被指定，那么无论包含在列表中的服务是否有配置文件和如何设置，都将被禁用；如果enabled列表被指定，那么只有列表中的服务才可启动，如果enabled没有被指定，那么disabled指定的服务之外的所有服务都可以启动。

4) 注意问题

① 在重新配置的时候，下列的属性不能被改变：socket_type、wait、protocol、type；

② 如果only_from和no_access属性没有被指定（无//代码效果参考：http://hnjlyzjd.com/hw/wz_24793.html

论在服务项中直接指定还是通过默认项指定），那么对该服务的访问IP将没有限制；

③ 地址校验是针对IP地址而不是针对域名地址。

6 xinetd防止拒绝服务攻击（Denial of Services）的原因

xinetd能有效地防止拒绝服务攻击（Denial of Services）的原因如下。

1) 限制同时运行的进程数

通过设置instances选项设定同时运行的并发进程数：

instances＝20

当服务器被请求连接的进程数达到20个时，xinetd将停止接受多出部分的连接请求。直到请求连接数低于设定值为止。

2) 限制一个IP地址的最大连接数

通过限制一个主机的最大连接数，从而防止某个主机独占某个服务。

per_source＝5

这里每个IP地址的连接数是5个。

3) 限制日志文件大小，防止磁盘空间被填满

许多攻击者知道大多数服务需要写入日志。入侵者可以构造大量的错误信息并发送出来，服务器记录这些错误，可能就造成日志文件非常庞大，甚至会塞满硬盘。同时会让管理员面对大量的日志，而不能发现入侵者真正的入侵途径。因此，限制日志文件大小是防范拒绝服务攻击的一个方法。

log_type FILE.1 /var/log/myservice.log 8388608 15728640

这里设置的日志文件FILE.1临界值为8MB，到达此值时，syslog文件会出现告警，到达15MB，系统会停止所有使用这个日志系统的服务。

4) 限制负载

xinetd还可以使用限制负载的方法防范拒绝服务攻击。用一个浮点数作为负载系数，当负载达到这个数目的时候，该服务将暂停处理后续的连接。

max_load = 2.8

上面的设定表示当一项系统负载达到2.8时，所有服务将暂时中止，直到系统负载下降到设定值以下。

说明 要使用这个选项，编译时应加入“--with-loadavg”，xinetd将处理max-load配置选项，从而在系统负载过重时关闭某些服务进程，来实现防范某些拒绝服务攻击。

5) 限制所有服务器数目（连接速率）

xinetd可以使用cps选项设定连接速率，下面的例子：

cps = 25 60

上面的设定表示服务器最多启动25个连接，如果达到这个数目将停止启动新服务60秒。在此期间不接受任何请求。

6) 限制对硬件资源的利用

通过rlimit_as和rlimit_cpu两个选项可以有效地限制一种服务对内存、中央处理器的资源占用：

rlimit_as = 8M

rlimit_cpu=20

上面的设定表示对服务器硬件资源占用的限制，最多可用内存为8MB，CPU每秒处理20个进程。

xinetd的一个重要功能是它能够控制从属服务可以利用的资源量，通过它的以上设置可以达到这个目的，有助于防止某个xinetd服务占用大量资源，从而导致“拒绝服务”情况的出现。

六 Service命令

Linux的service命令就是查看和控制所有的独立（stand-alone）启动的守护进程。 这个命令不是在所有的linux发行版本中都有。主要是在redhat系linux中。service此命令位于/sbin/service，用file命令查看此命令会发现它是一个脚本命令。

分析脚本可知此命令的作用是去/etc/init.d目录下寻找相应的服务，进行开启和关闭等操作。例如service mysqld stop等价于/etc/init.d/mysqld stop。

七 xinetd本身也是一个独立（stand-alone）的守护进程，在/etc/init.d/xinetd

八 安装好centos之后，默认没有安装xinetd

需要安装

yum安装

yum install -y xinetd

编译安装

【root@localhost local】# tar -zxvf xinetd-2.3.14.tar.gz

【root@localhost local】# cd xinetd-2.3.14

【root@localhost xinetd-2.3.14】# ./configure

【root@localhost xinetd-2.3.14】# make

【root@localhost xinetd-2.3.14】# make install

==========================================

配置xinetd

【root@localhost xinetd-2.3.14】# cp /etc/xinetd.conf /etc/xinetd.conf.bak

【root@localhost xinetd-2.3.14】# sed -e 's/etc/sbin/g' xinetd/sample.conf > /etc/xinetd.conf

添加运行级符号链接

【root@localhost xinetd-2.3.14】# chmod 754 /etc/rc.d/init.d/xinetd &&

ln -s /etc/rc.d/init.d/xinetd /etc/rc.d/rc0.d/K49xinetd &&

ln -s /etc/rc.d/init.d/xinetd /etc/rc.d/rc1.d/K49xinetd &&

ln -s /etc/rc.d/init.d/xinetd /etc/rc.d/rc2.d/K49xinetd &&

ln -s /etc/rc.d/init.d/xinetd /etc/rc.d/rc3.d/S23xinetd &&

ln -s /etc/rc.d/init.d/xinetd /etc/rc.d/rc4.d/S23xinetd &&

ln -s /etc/rc.d/init.d/xinetd /etc/rc.d/rc5.d/S23xinetd &&

ln -s /etc/rc.d/init.d/xinetd /etc/rc.d/rc6.d/K49xinetd

========================================================

启动脚本运行xinetd

【root@localhost mnt】# /etc/rc.d/init.d/xinetd start

惎鍔?xinetd锛?【60G【 纭?畾 】

touch: cannot touch `/mnt/lockdev/xinetd': No such file or directory

============================================

创建该目录在次启动正常

【root@localhost mnt】# mkdir -p /mnt/lockdev

【root@localhost mnt】# /etc/rc.d/init.d/xinetd start

鍚?姩 xinetd锛?【root@localhost mnt】# netstat -antp

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 0.0.0.0:32769 0.0.0.0: LISTEN 1452/rpc.statd

tcp 0 0 0.0.0.0:37 0.0.0.0: LISTEN 6300/xinetd

tcp 0 0 0.0.0.0:7 0.0.0.0: LISTEN 6300/xinetd

tcp 0 0 0.0.0.0:13 0.0.0.0: LISTEN 6300/xinetd

===================================================

配置命令解释

cp /etc/xinetd.conf /etc/xinetd.conf.bak : 保存当前的xinetd.conf文件。

sed -e 's/etc/sbin/g' xinetd/sample.config > /etc/xinetd.conf:确保所有的守护进程的路径是/usr/sbin而不是默认的/usr/etc。

ln -s /etc/rc.d/init.d/xinetd /etc/rc.d/rc3.d/S300xinetd, etc. :创建指向xinetd启动脚本的运行级链接，用于在机器启动和关闭时自动运行和停止xinetd。

内容

xinetd软件包中包含 xinetd, itox以及 xconv.pl。

具体说明

xinetd

xinetd是internet服务守护进程。

itox

itox是一个用于将inetd.conf文件转化为xinetd.conf格式的工具。

xconv.pl

与itox相似，xconv.pl是一个用于将inetd.conf文件转化为xinetd.conf格式的perl脚本。

irqbalance

IRQ：中断请求

irqbalance：Linux用来平衡在各个cpu之间的IRQ负载的内核进程，安装一个irqbalance工具来控制IRQ内核进程

# pstree

init─┬─abrtd

├─acpid

├─atd

├─auditd───{auditd}

├─automount───4【{automount}】

├─certmonger

├─console-kit-dae───63【{console-kit-da}】

├─cupsd

├─dbus-daemon

├─fail2ban-server───2*【{fail2ban-serve}】

├─hald─┬─hald-runner─┬─hald-addon-acpi

│ │ └─hald-addon-inpu

│ └─{hald}

├─irqbalance

【root@steven ~】# ll /etc/sysconfig/

总用量 216

-rw-r--r-- 1 root root 403 10月 18 2014 atd

-rw-r----- 1 root root 992 10月 15 2014 auditd

-rw-r--r--. 1 root root 398 1月 26 2015 authconfig

-rw-r--r-- 1 root root 339 1月 5 2015 autofs

drwxr-xr-x. 2 root root 4096 3月 10 12:04 cbq

-rw-r--r-- 1 root root 486 10月 18 2014 cgconfig

-rw-------. 1 root root 481 1月 26 2015 ip6tables.old

-rw-------. 1 root root 476 1月 26 2015 iptables

-rw------- 1 root root 1974 10月 15 2014 iptables-config

-rw-------. 1 root root 476 1月 26 2015 iptables.old

-rw-r--r-- 1 root root 903 6月 2 2014 irqbalance

ntsysv

工具ntsysv 类似图形界面管理工具，如果没有该命令安装 yum install -y ntsysv

常用服务：crond, iptables, network, sshd, syslog, irqbalance, sendmail, microcode_ctl

保存后需要reboot才能生效

RSS需要网卡硬件的支持，在使用不支持RSS的网卡时，为了充分利用多核CPU，centos6.1开始提供了RPS和RFS功能 P69

而RSS仅仅是根据hash值确定处理器。

由于RFS/RSS都不能提供irq affinity hint,所以使用内核自带的irqbalance进程足够。

每当出问题的时候，总有一个名叫irqbalance的进程CPU占用率居高不下，搜索了一下，发现很多介绍irqbalance的文章中都提及了NUMA。

# yum -y install irqbalance

# yum info irqbalance

我们知道虚拟内存机制是通过一个中断信号来通知虚拟内存系统进行内存swap的，所以这个irqbalance进程忙，是一个危险信号，在这里是由于在进行频繁的内存交换。

这种频繁交换现象称为swap insanity，在MySQL中经常提到，也就是在NUMA框架中，采用不合适的策略，导致核心只能从指定内存块节点上分配内存，即使总内存还有富余，也会由于当前节点内存不足时产生大量的swap操作。

f