{{tag>sécurité réseau}}

======Xinetd======

Le deamon **xinetd** sert d'intermédiaire aux requêtes rentrantes ; il écoute sur les ports d'un deamon et le lance lorsqu'il reçoit une connexion entrante (c'est donc un **service transitoire**). Cela évite d'avoir un deamon qui tourne H24 s'il n'est que peu utilisé. xinetd est basé, comme **tcp_wrappers**, sur la librairie **libwrap.so** ; il utilise aussi les fichier ''/etc/hosts.allow'' et ''/etc/hosts.deny'' (dans cet ordre) pour déterminer les droit d'accès au service (tcp_wrappers est vérifié en premier).

Les fichiers de configuration sont les suivants :
  * ''/etc/xinetd.conf'' qui contient la configuration global du service xinetd
  * ''/etc/xinetd.d/*'' qui contient tous les fichiers de configuration des deamons gérés par xinetd

xinetd fait la correspondance port/démon grâce au fichier /etc/services ; par exemple pour le protocole ntp il écoute sur les ports tcp et udp/123 :
<code bash>
grep ^ntp /etc/services
 ntp             123/tcp
 ntp             123/udp                         # Network Time Protocol
</code>

En vrac, différentes options des fichiers de configuration situés dans /etc/xinetd.d/ :
<code bash>
service telnet
{
# chemin de l'exécutable
server = /usr/sbin/in.telnetd
socket type = stream

# définir un nombre max de connexions par seconde ; si > on bloque toutes les connexions pendant 10s
cps = 50 10

# limite le nombre d'instances à 50 (de connexions simultanées)
instance = 50
# on peut aussi limité par source
per_source = 10 -> pas plus de 10 connexions par IP

# contrôle d'accès
only_from = 192.168.0.0/24
no_access = 192.168.0.1
# c'est la plus précise qui a la priorité ; ici 192.168.0.1 n'aura pas l'accès
}
</code>

L'action par défaut (si aucune règle ne match) est deny.

Pour activer un service :
  * vérifier que xinetd est bien lancé
  * si la ligne "disable = yes" apparait dans /etc/xinetd.d/<service> ; il faut activer le service :
<code bash>
chkconfig tftp on
</code>