Le deamon xinetd sert d'intermédiaire aux requêtes rentrantes ; il écoute sur les ports d'un deamon et le lance lorsqu'il reçoit une connexion entrante (c'est donc un service transitoire). Cela évite d'avoir un deamon qui tourne H24 s'il n'est que peu utilisé. xinetd est basé, comme tcp_wrappers, sur la librairie libwrap.so ; il utilise aussi les fichier /etc/hosts.allow et /etc/hosts.deny (dans cet ordre) pour déterminer les droit d'accès au service (tcp_wrappers est vérifié en premier).

Les fichiers de configuration sont les suivants :

• /etc/xinetd.conf qui contient la configuration global du service xinetd
• /etc/xinetd.d/* qui contient tous les fichiers de configuration des deamons gérés par xinetd

xinetd fait la correspondance port/démon grâce au fichier /etc/services ; par exemple pour le protocole ntp il écoute sur les ports tcp et udp/123 :

grep ^ntp /etc/services
 ntp             123/tcp
 ntp             123/udp                         # Network Time Protocol

En vrac, différentes options des fichiers de configuration situés dans /etc/xinetd.d/ :

service telnet
{
# chemin de l'exécutable
server = /usr/sbin/in.telnetd
socket type = stream
 
# définir un nombre max de connexions par seconde ; si > on bloque toutes les connexions pendant 10s
cps = 50 10
 
# limite le nombre d'instances à 50 (de connexions simultanées)
instance = 50
# on peut aussi limité par source
per_source = 10 -> pas plus de 10 connexions par IP
 
# contrôle d'accès
only_from = 192.168.0.0/24
no_access = 192.168.0.1
# c'est la plus précise qui a la priorité ; ici 192.168.0.1 n'aura pas l'accès
}

L'action par défaut (si aucune règle ne match) est deny.

Pour activer un service :

• vérifier que xinetd est bien lancé
• si la ligne “disable = yes” apparait dans /etc/xinetd.d/<service> ; il faut activer le service :

chkconfig tftp on