sécurité réseau
Le deamon xinetd sert d'intermédiaire aux requêtes rentrantes ; il écoute sur les ports d'un deamon et le lance lorsqu'il reçoit une connexion entrante (c'est donc un service transitoire). Cela évite d'avoir un deamon qui tourne H24 s'il n'est que peu utilisé. xinetd est basé, comme tcp_wrappers, sur la librairie libwrap.so ; il utilise aussi les fichier /etc/hosts.allow
et /etc/hosts.deny
(dans cet ordre) pour déterminer les droit d'accès au service (tcp_wrappers est vérifié en premier).
Les fichiers de configuration sont les suivants :
/etc/xinetd.conf
qui contient la configuration global du service xinetd/etc/xinetd.d/*
qui contient tous les fichiers de configuration des deamons gérés par xinetdxinetd fait la correspondance port/démon grâce au fichier /etc/services ; par exemple pour le protocole ntp il écoute sur les ports tcp et udp/123 :
grep ^ntp /etc/services ntp 123/tcp ntp 123/udp # Network Time Protocol
En vrac, différentes options des fichiers de configuration situés dans /etc/xinetd.d/ :
service telnet { # chemin de l'exécutable server = /usr/sbin/in.telnetd socket type = stream # définir un nombre max de connexions par seconde ; si > on bloque toutes les connexions pendant 10s cps = 50 10 # limite le nombre d'instances à 50 (de connexions simultanées) instance = 50 # on peut aussi limité par source per_source = 10 -> pas plus de 10 connexions par IP # contrôle d'accès only_from = 192.168.0.0/24 no_access = 192.168.0.1 # c'est la plus précise qui a la priorité ; ici 192.168.0.1 n'aura pas l'accès }
L'action par défaut (si aucune règle ne match) est deny.
Pour activer un service :
chkconfig tftp on