NetMag Daily
Anketa
Bazar
Consulting
FAQ
Help!
NetMag Postou
O nas a NetMagu
Obsah cisel
Registrace
Reklama u nas
NetTip
Lamers List
LiterNet
CzechCraft
NC InfoCentrum
Unix InfoCentrum
Peering v Cechach
Postavte si PC
TechNet
AdBanner
Digit Server
FSG
ISDN
Megaprint
Mobil Server
Notebooky
Vztlak
Xinetd
by Radim Kolar
Urcite znate inetd tzv. Super server - server, ktery spousti ostatni servery podle potreby. Take jsou vsak znamy jeho slabiny a dalsi nedostatky. Proto jsem vice nez uvital, kdyz jsem pri prohlizeni debian archivu narazil na alternativu pod jmenem xinetd. Po nainstalovani xinetd mohu prohlasit, ze jsem zase spokojenejsi. S instalaci nejsou zadne problemy a zvladne to i zacatecnik.
Xinetd umi na rozdil od inetd protokolovat spoustu veci. Nejlepsi je zapnout protokolovani vseho mozneho, nikdy nevite, kdy se to muze hodit. Kdyz zjistite, ze se to hodi (t.j. cracknuta masina) je pozde.
Protokolovani patri k nejvetsi specialite xinetd. Protokoloval lze: ip adresu, cas, uzivatele (via auth), PID pri spusteni daemona obsluhujici sluzbu a exit status a dobu behu pri ukonceni sluzby. Nejzajimavejsi je, ze umi protokolovat prikazy posilane pres rsh rexec atd. pokud je u nich odmitnuta autorizace. Muzete se tedy pokochat, co si na vasem stroji chteji crackeri spoustet. Protokolovat lze budto do syslogu nebo do souboru a protokolovani lze nastavit u kazde sluzby jinak a jinam.
Umi testovat, zda je uzivatel opravnen spustit danou sluzbu. Testuje se IP adresa a pripadna informace z auth daemona (pouze zda bezi ci ne). Dale je mozne testovat VSECHNY packety predavane daemonu zda odpovidaji nastavenym filtrum. TCPD a nektere verze inetd, ktere umi testovat pristup ke sluzbam umi testovat jen prvni packet. Testovani pouze prvniho packetu umoznuje, po nastartovani sluzby 'dobrym' packetem, budto od legalniho uzivatele (napr. z lokalni site) nebo spoofnutym packetem, poslat serveru uz cokoliv. Testovani vsech packetu vsak zdrzuje (v dokumetaci je prilozena tabulka).
Pochopitelne, ze ma tez zabudovanu ochranu proti denial of service attack - lze nastavit kolik daemonu obsluhujicich sluzbu muze bezet, kolik daemonu muze bezet celkem a dokonce lze nastavit i cas, kdy je jejich spousteni povoleno. Take lze nastavit velikost protokolacnich souboru, pokud se neprotokoluje do syslogu.
Je kompatibilni s inetd? Ne neni! Ma jiny konfiguracni soubor (dodavana je prevodni utilita) a rozumi jinym signalum. Signaly lze ale upravit ve zdrojovem kodu a nasledne jej rekompilovat. Novy konfiguracni file je hezky prehledny a human-readable.
Zaver? rm `which inetd`
(hodnoceni je jako ve skole, 1 je nejlepsi, 5 je nejhorsi)
 |
 |
 |