User Tools

Site Tools


informatique:linux:xinetd

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

informatique:linux:xinetd [2013/10/14 22:44] (current)
Line 1: Line 1:
 +{{tag>​sécurité réseau}}
  
 +======Xinetd======
 +
 +Le deamon **xinetd** sert d'​intermédiaire aux requêtes rentrantes ; il écoute sur les ports d'un deamon et le lance lorsqu'​il reçoit une connexion entrante (c'est donc un **service transitoire**). Cela évite d'​avoir un deamon qui tourne H24 s'il n'est que peu utilisé. xinetd est basé, comme **tcp_wrappers**,​ sur la librairie **libwrap.so** ; il utilise aussi les fichier ''/​etc/​hosts.allow''​ et ''/​etc/​hosts.deny''​ (dans cet ordre) pour déterminer les droit d'​accès au service (tcp_wrappers est vérifié en premier).
 +
 +Les fichiers de configuration sont les suivants :
 +  * ''/​etc/​xinetd.conf''​ qui contient la configuration global du service xinetd
 +  * ''/​etc/​xinetd.d/​*''​ qui contient tous les fichiers de configuration des deamons gérés par xinetd
 +
 +xinetd fait la correspondance port/démon grâce au fichier /​etc/​services ; par exemple pour le protocole ntp il écoute sur les ports tcp et udp/123 :
 +<code bash>
 +grep ^ntp /​etc/​services
 + ​ntp ​            ​123/​tcp
 + ​ntp ​            ​123/​udp ​                        # Network Time Protocol
 +</​code>​
 +
 +En vrac, différentes options des fichiers de configuration situés dans /​etc/​xinetd.d/​ :
 +<code bash>
 +service telnet
 +{
 +# chemin de l'​exécutable
 +server = /​usr/​sbin/​in.telnetd
 +socket type = stream
 +
 +# définir un nombre max de connexions par seconde ; si > on bloque toutes les connexions pendant 10s
 +cps = 50 10
 +
 +# limite le nombre d'​instances à 50 (de connexions simultanées)
 +instance = 50
 +# on peut aussi limité par source
 +per_source = 10 -> pas plus de 10 connexions par IP
 +
 +# contrôle d'​accès
 +only_from = 192.168.0.0/​24
 +no_access = 192.168.0.1
 +# c'est la plus précise qui a la priorité ; ici 192.168.0.1 n'aura pas l'​accès
 +}
 +</​code>​
 +
 +L'​action par défaut (si aucune règle ne match) est deny.
 +
 +Pour activer un service :
 +  * vérifier que xinetd est bien lancé
 +  * si la ligne "​disable = yes" apparait dans /​etc/​xinetd.d/<​service>​ ; il faut activer le service :
 +<code bash>
 +chkconfig tftp on
 +</​code>​
informatique/linux/xinetd.txt · Last modified: 2013/10/14 22:44 (external edit)