本帖最后由 lyhabc 于 2016-01-29 13:51 编辑 一般使用stand alone /etc/init.d/ 非常少用xinetd /etc/xinetd.d/ Linux守护进程的运行方式 1.独立运行(stand-alone)的守护进程 独立运行的守护进程由init脚本负责管理,所有独立运行的守护进程的脚本在/etc/rc.d/init.d/目录下。系统服务都是独立运行的守护进程,包括syslogd和crond等。独立运行的守护进程的工作方式称做stand-alone,它是UNIX传统的C/S模式的访问模式。stand-alone模式的工作原理如图4-4所示。 工作在stand-alone模式下的网络服务有xinetd、route、gated,另外还有Web服务器Apache和邮件服务器Sendmail、DNS域名服务器Bind。在Linux系统中通过stand-alone模式启动的服务由/etc/rc.d/下面对应的运行级别当中的符号链接启动。 2.xinetd模式运行独立的守护进程 从守护进程的概念可以看出,对于系统所要通过的每一种服务,都必须运行一个监听某个端口连接所发生的守护进程,这通常意味着资源浪费。为了解决这个问题,Linux引进了"网络守护进程服务程序"的概念。Red Hat Linux 9.0使用的网络守护进程是xinted(eXtended internet daemon)。xinetd能够同时监听多个指定的端口,在接受用户请求时,它能够根据用户请求的端口的不同,启动不同的网络服务进程来处理这些用户请求。可以把xinetd看做一个管理启动服务的管理服务器,它决定把一个客户请求交给哪个程序处理,然后启动相应的守护进程。xinetd无时不在运行并监听它所管理的所有端口上的服务。当某个要连接它管理的某项服务的请求到达时,xinetd就会为该服务启动合适的服务器。xinetd模式的工作原理如图4-5所示。 3. xinetd和stand-alone工作模式相比,系统不想要每一个网络服务进程都监听其服务端口,运行单个xinetd就可以同时监听所有服务端口,这样就降低了系统开销,保护系统资源。但是对于访问量大、经常出现并发访问的情况,xinetd则要频繁启动相应的网络服务进程,反而会导致系统性能下降。查看系统为Linux服务提供哪种工作模式,可以在Linux命令行中使用pstree命令,就能看到两种不同模式启动的网络服务。一般来说系统中一些负载高的服务,Sendmail、Apache服务是单独启动的;而其他服务类型都可以使用xinetd超级服务器super daemon管理。 复制代码 # pstree init─┬─abrtd ├─acpid ├─atd ├─auditd───{auditd} ├─automount───4*[{automount}] ├─certmonger ├─console-kit-dae───63*[{console-kit-da}] ├─cupsd ├─dbus-daemon ├─fail2ban-server───2*[{fail2ban-serve}] ├─hald─┬─hald-runner─┬─hald-addon-acpi │ │ └─hald-addon-inpu │ └─{hald} ├─irqbalance ├─login───bash ├─master─┬─pickup │ └─qmgr ├─mcelog ├─5*[mingetty] ├─nginx───nginx ├─rpc.statd ├─rpcbind ├─rsyslogd───3*[{rsyslogd}] ├─sshd───sshd───bash───pstree #ssh登录之后,进入bash,如果进行了多次su,那么会显示bash-bash-pstree └─udevd───2*[udevd] 复制代码 五 Xinetd 1.什么是xinetd xinetd即extended internet daemon,xinetd是新一代的网络守护进程服务程序,又叫超级Internet服务器。经常用来管理多种轻量级Internet服务。xinetd提供类似于inetd+tcp_wrapper的功能,但是更加强大和安全。 2. xinetd的特色 1) 强大的存取控制功能 — 内置对恶意用户和善意用户的差别待遇设定。 — 使用libwrap支持,其效能更甚于tcpd。 — 可以限制连接的等级,基于主机的连接数和基于服务的连接数。 — 设置特定的连接时间。 — 将某个服务设置到特定的主机以提供服务。 2) 有效防止DoS攻击 — 可以限制连接的等级。 — 可以限制一个主机的最大连接数,从而防止某个主机独占某个服务。 — 可以限制日志文件的大小,防止磁盘空间被填满。 3) 强大的日志功能 — 可以为每一个服务就syslog设定日志等级。 — 如果不使用syslog,也可以为每个服务建立日志文件。 — 可以记录请求的起止时间以决定对方的访问时间。 — 可以记录试图非法访问的请求。 4) 转向功能 可以将客户端的请求转发到另一台主机去处理。 5) 支持IPv6 xinetd自xinetd 2.1.8.8pre*起的版本就支持IPv6,可以通过在./configure脚本中使用with-inet6 capability选项来完成。注意,要使这个生效,核心和网络必须支持IPv6。当然IPv4仍然被支持。 6) 与客户端的交互功能 无论客户端请求是否成功,xinetd都会有提示告知连接状态。 3. Xinetd的缺点 当前,它最大的缺点是对RPC支持的不稳定性,但是可以启动portmap,使它与xinetd共存来解决这个问题。 4 使用xinetd启动守护进程 原则上任何系统服务都可以使用xinetd,然而最适合的应该是那些常用的网络服务,同时,这个服务的请求数目和频繁程度不会太高。像DNS和Apache就不适合采用这种方式,而像FTP、Telnet、SSH等就适合使用xinetd模式,系统默认使用xinetd的服务可以分为如下几类。 ① 标准Internet服务:telnet、ftp。 ② 信息服务:finger、netstat、systat。 ③ 邮件服务:imap、imaps、pop2、pop3、pops。 ④ RPC服务:rquotad、rstatd、rusersd、sprayd、walld。 ⑤ BSD服务:comsat、exec、login、ntalk、shell、talk。 ⑥ 内部服务:chargen、daytime、echo、servers、services、time。 ⑦ 安全服务:irc。 ⑧ 其他服务:name、tftp、uucp。 5. 解读xinet的配置文件/etc/services, /etc/xinetd.conf和/etc/xinetd.d/* 0)/etc/services 在/etc/services 中设置了xinetd下的service对应的端口,例如: $ cat /etc/services | grep rsync rsync 873/tcp # rsync rsync 873/udp # rsync 1) /etc/xinetd.conf xinetd的配置文件是/etc/xinetd.conf,但是它只包括几个默认值及/etc/xinetd.d目录中的配置文件。如果要启用或禁用某项xinetd服务,编辑位于/etc/xinetd.d目录中的配置文件。 例如,disable属性被设为yes,表示该项服务已禁用;disable属性被设为no,表示该项服务已启用。/etc/xinetd.conf有许多选项,下面是RHEL 4.0的/etc/xinetd.conf。 # Simple configuration file for xinetd # Some defaults, and include /etc/xinetd.d/ defaults { instances = 60 log_type = SYSLOG authpriv log_on_success = HOST PID log_on_failure = HOST cps = 25 30 } includedir /etc/xinetd.d — instances = 60:表示最大连接进程数为60个。 — log_type = SYSLOG authpriv:表示使用syslog进行服务登记。 — log_on_success= HOST PID:表示设置成功后记录客户机的IP地址的进程ID。 — log_on_failure = HOST:表示设置失败后记录客户机的IP地址。 — cps = 25 30:表示每秒25个入站连接,如果超过限制,则等待30秒。主要用于对付拒绝服务攻击。 — includedir /etc/xinetd.d:表示告诉xinetd要包含的文件或目录是/etc/xinetd.d。 2) /etc/xinetd.d/* 下面以/etc/xinetd.d/中的一个文件(rsync)为例。 service rsync { disable = yes socket_type = stream wait = no user = root server = /usr/bin/rsync log_on_failure += USERID } 下面说明每一行选项的含义。 — disable = yes:表示禁用这个服务。 — socket_type = stream:表示服务的数据包类型为stream。 — wait = no:表示不需等待,即服务将以多线程的方式运行。 — user = root:表示执行此服务进程的用户是root。 — server = /usr/bin/rsync:启动脚本的位置。 — log_on_failure += USERID:表示设置失败时,UID添加到系统登记表。 5 配置xinetd 1) 格式 /etc/xinetd.conf中的每一项具有下列形式: service service-name { …… } 其中service是必需的关键字,且属性表必须用大括号括起来。每一项都定义了由service-name定义的服务。 service-name是任意的,但通常是标准网络服务名,也可增加其他非标准的服务,只要它们能通过网络请求激活,包括localhost自身发出的网络请求。有很多可以使用的属性,稍后将描述必需的属性和属性的使用规则。 操作符可以是=、+=或-=。所有属性可以使用=,其作用是分配一个或多个值,某些属性可以使用+=或-=,其作用分别是将其值增加到某个现存的值表中,或将其值从现存值表中删除。 2) 配置文件 相关的配置文件如下: /etc/xinetd.conf /etc/xinetd.d/* //该目录下的所有文件 /etc/hosts.allow /etc/hosts.deny 3)/etc/xinetd.conf中的disabled与enabled 前者的参数是禁用的服务列表,后者的参数是启用的服务列表。他们的共同点是格式相同(属性名、服务名列表与服务中间用空格分开,例如disabled = in.tftpd in.rexecd),此外,它们都是作用于全局的。如果在disabled列表中被指定,那么无论包含在列表中的服务是否有配置文件和如何设置,都将被禁用;如果enabled列表被指定,那么只有列表中的服务才可启动,如果enabled没有被指定,那么disabled指定的服务之外的所有服务都可以启动。 4) 注意问题 ① 在重新配置的时候,下列的属性不能被改变:socket_type、wait、protocol、type; ② 如果only_from和no_access属性没有被指定(无论在服务项中直接指定还是通过默认项指定),那么对该服务的访问IP将没有限制; ③ 地址校验是针对IP地址而不是针对域名地址。 6 xinetd防止拒绝服务攻击(Denial of Services)的原因 xinetd能有效地防止拒绝服务攻击(Denial of Services)的原因如下。 1) 限制同时运行的进程数 通过设置instances选项设定同时运行的并发进程数: instances=20 当服务器被请求连接的进程数达到20个时,xinetd将停止接受多出部分的连接请求。直到请求连接数低于设定值为止。 2) 限制一个IP地址的最大连接数 通过限制一个主机的最大连接数,从而防止某个主机独占某个服务。 per_source=5 这里每个IP地址的连接数是5个。 3) 限制日志文件大小,防止磁盘空间被填满 许多攻击者知道大多数服务需要写入日志。入侵者可以构造大量的错误信息并发送出来,服务器记录这些错误,可能就造成日志文件非常庞大,甚至会塞满硬盘。同时会让管理员面对大量的日志,而不能发现入侵者真正的入侵途径。因此,限制日志文件大小是防范拒绝服务攻击的一个方法。 log_type FILE.1 /var/log/myservice.log 8388608 15728640 这里设置的日志文件FILE.1临界值为8MB,到达此值时,syslog文件会出现告警,到达15MB,系统会停止所有使用这个日志系统的服务。 4) 限制负载 xinetd还可以使用限制负载的方法防范拒绝服务攻击。用一个浮点数作为负载系数,当负载达到这个数目的时候,该服务将暂停处理后续的连接。 max_load = 2.8 上面的设定表示当一项系统负载达到2.8时,所有服务将暂时中止,直到系统负载下降到设定值以下。 说明 要使用这个选项,编译时应加入“--with-loadavg”,xinetd将处理max-load配置选项,从而在系统负载过重时关闭某些服务进程,来实现防范某些拒绝服务攻击。 5) 限制所有服务器数目(连接速率) xinetd可以使用cps选项设定连接速率,下面的例子: cps = 25 60 上面的设定表示服务器最多启动25个连接,如果达到这个数目将停止启动新服务60秒。在此期间不接受任何请求。 6) 限制对硬件资源的利用 通过rlimit_as和rlimit_cpu两个选项可以有效地限制一种服务对内存、中央处理器的资源占用: rlimit_as = 8M rlimit_cpu=20 上面的设定表示对服务器硬件资源占用的限制,最多可用内存为8MB,CPU每秒处理20个进程。 xinetd的一个重要功能是它能够控制从属服务可以利用的资源量,通过它的以上设置可以达到这个目的,有助于防止某个xinetd服务占用大量资源,从而导致“拒绝服务”情况的出现。 六 Service命令 Linux的service命令就是查看和控制所有的独立(stand-alone)启动的守护进程。 这个命令不是在所有的linux发行版本中都有。主要是在redhat系linux中。service此命令位于/sbin/service,用file命令查看此命令会发现它是一个脚本命令。 分析脚本可知此命令的作用是去/etc/init.d目录下寻找相应的服务,进行开启和关闭等操作。例如service mysqld stop等价于/etc/init.d/mysqld stop。 七 xinetd本身也是一个独立(stand-alone)的守护进程,在/etc/init.d/xinetd 八 安装好centos之后,默认没有安装xinetd 需要安装 yum安装 yum install -y xinetd 编译安装 http://blog.chinaunix.net/uid-20690190-id-1894445.html 复制代码 [root@localhost local]# tar -zxvf xinetd-2.3.14.tar.gz [root@localhost local]# cd xinetd-2.3.14 [root@localhost xinetd-2.3.14]# ./configure [root@localhost xinetd-2.3.14]# make [root@localhost xinetd-2.3.14]# make install ========================================== 配置xinetd [root@localhost xinetd-2.3.14]# cp /etc/xinetd.conf /etc/xinetd.conf.bak [root@localhost xinetd-2.3.14]# sed -e 's/etc/sbin/g' xinetd/sample.conf > /etc/xinetd.conf 添加运行级符号链接 [root@localhost xinetd-2.3.14]# chmod 754 /etc/rc.d/init.d/xinetd && ln -s /etc/rc.d/init.d/xinetd /etc/rc.d/rc0.d/K49xinetd && ln -s /etc/rc.d/init.d/xinetd /etc/rc.d/rc1.d/K49xinetd && ln -s /etc/rc.d/init.d/xinetd /etc/rc.d/rc2.d/K49xinetd && ln -s /etc/rc.d/init.d/xinetd /etc/rc.d/rc3.d/S23xinetd && ln -s /etc/rc.d/init.d/xinetd /etc/rc.d/rc4.d/S23xinetd && ln -s /etc/rc.d/init.d/xinetd /etc/rc.d/rc5.d/S23xinetd && ln -s /etc/rc.d/init.d/xinetd /etc/rc.d/rc6.d/K49xinetd ======================================================== 启动脚本运行xinetd [root@localhost mnt]# /etc/rc.d/init.d/xinetd start 惎鍔?xinetd锛?[60G[ 纭?畾 ] touch: cannot touch `/mnt/lockdev/xinetd': No such file or directory ============================================ 创建该目录在次启动正常 [root@localhost mnt]# mkdir -p /mnt/lockdev [root@localhost mnt]# /etc/rc.d/init.d/xinetd start 鍚?姩 xinetd锛?[root@localhost mnt]# netstat -antp Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:32769 0.0.0.0:* LISTEN 1452/rpc.statd tcp 0 0 0.0.0.0:37 0.0.0.0:* LISTEN 6300/xinetd tcp 0 0 0.0.0.0:7 0.0.0.0:* LISTEN 6300/xinetd tcp 0 0 0.0.0.0:13 0.0.0.0:* LISTEN 6300/xinetd =================================================== 配置命令解释 cp /etc/xinetd.conf /etc/xinetd.conf.bak : 保存当前的xinetd.conf文件。 sed -e 's/etc/sbin/g' xinetd/sample.config > /etc/xinetd.conf:确保所有的守护进程的路径是/usr/sbin而不是默认的/usr/etc。 ln -s /etc/rc.d/init.d/xinetd /etc/rc.d/rc3.d/S300xinetd, etc. :创建指向xinetd启动脚本的运行级链接,用于在机器启动和关闭时自动运行和停止xinetd。 内容 xinetd软件包中包含 xinetd, itox以及 xconv.pl。 具体说明 xinetd xinetd是internet服务守护进程。 itox itox是一个用于将inetd.conf文件转化为xinetd.conf格式的工具。 xconv.pl 与itox相似,xconv.pl是一个用于将inetd.conf文件转化为xinetd.conf格式的perl脚本。 |
3、配置一般服务托管到超级守护进行下
(1)以rsync服务为例
[root@rootbug ~]#vim/etc/xinetd.d/rsync -------如果xinetd目录下没有rsync,则通过vim新创建
service rsync --服务名
{
disable = yes --disable等于yes表示此服务关闭
socket_type =stream --tcp的连线机制
wait =no --不等待,可以同时进行大量连线功能
user =root --用root身份启动服务
server = /usr/bin/rsync --定义你的rsync的服务执行文件的位置
server_args =--daemon --服务参数,man rsync可以查到这个参数,表示rsync以守护进程的方式来运行
log_on_failure +=USERID --登录错误时,额外记录你的用户id
}
(2)然后停止之前rsync的服务,启用超级守护进程
[root@rootbug ~]#/etc/init.d/rsync stop
[root@rootbug ~]#/etc/init.d/xinetd start
(3)实现把ssh拖管到super daemon下管理
[root@rootbug ~]# vim/etc/xinetd.d/ssh --新建一个文件,写上下面的内容
每一个参数前用tab键(制表符)隔开,等号两边也要有空格
service ssh
{
disable = no
socket_type = stream
protocol = tcp
wait = no
user = root
server = /usr/sbin/sshd
server_args = -i
}
[root@rootbug ~]#/etc/init.d/sshdstop --------关闭之前的服务
[root@rootbug ~]#/etc/init.d/xinetdrestart ---------启动超级守护进程
[root@rootbug ~]#netstat -ntlup |grep :22
tcp 0 00.0.0.0:22 0.0.0.0:* LISTEN 8182/xinetd --这时候查看你的端口会发现守护进程为xinetd,不是以前的sshd