pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » linux » xinetd
Trace:
informatique:linux:xinetd
no way to compare when less than two revisions

Differences

This shows you the differences between two versions of the page.


Previous revision
informatique:linux:xinetd [2013/10/14 20:44] (current) – external edit 127.0.0.1
Line 1: Line 1:
 +{{tag>sécurité réseau}}
  
 +======Xinetd======
 +
 +Le deamon **xinetd** sert d'intermédiaire aux requêtes rentrantes ; il écoute sur les ports d'un deamon et le lance lorsqu'il reçoit une connexion entrante (c'est donc un **service transitoire**). Cela évite d'avoir un deamon qui tourne H24 s'il n'est que peu utilisé. xinetd est basé, comme **tcp_wrappers**, sur la librairie **libwrap.so** ; il utilise aussi les fichier ''/etc/hosts.allow'' et ''/etc/hosts.deny'' (dans cet ordre) pour déterminer les droit d'accès au service (tcp_wrappers est vérifié en premier).
 +
 +Les fichiers de configuration sont les suivants :
 +  * ''/etc/xinetd.conf'' qui contient la configuration global du service xinetd
 +  * ''/etc/xinetd.d/*'' qui contient tous les fichiers de configuration des deamons gérés par xinetd
 +
 +xinetd fait la correspondance port/démon grâce au fichier /etc/services ; par exemple pour le protocole ntp il écoute sur les ports tcp et udp/123 :
 +<code bash>
 +grep ^ntp /etc/services
 + ntp             123/tcp
 + ntp             123/udp                         # Network Time Protocol
 +</code>
 +
 +En vrac, différentes options des fichiers de configuration situés dans /etc/xinetd.d/ :
 +<code bash>
 +service telnet
 +{
 +# chemin de l'exécutable
 +server = /usr/sbin/in.telnetd
 +socket type = stream
 +
 +# définir un nombre max de connexions par seconde ; si > on bloque toutes les connexions pendant 10s
 +cps = 50 10
 +
 +# limite le nombre d'instances à 50 (de connexions simultanées)
 +instance = 50
 +# on peut aussi limité par source
 +per_source = 10 -> pas plus de 10 connexions par IP
 +
 +# contrôle d'accès
 +only_from = 192.168.0.0/24
 +no_access = 192.168.0.1
 +# c'est la plus précise qui a la priorité ; ici 192.168.0.1 n'aura pas l'accès
 +}
 +</code>
 +
 +L'action par défaut (si aucune règle ne match) est deny.
 +
 +Pour activer un service :
 +  * vérifier que xinetd est bien lancé
 +  * si la ligne "disable = yes" apparait dans /etc/xinetd.d/<service> ; il faut activer le service :
 +<code bash>
 +chkconfig tftp on
 +</code>
informatique/linux/xinetd.txt · Last modified: 2013/10/14 20:44 by 127.0.0.1