您放到 /etc/xinetd.d 中的每个服务文档都会继承这些缺省值,并指定他自己的参数。这里,telnet 服务在顶级定义,而不是在子目录中定义。这太棒了,这种模块性允许复杂的配置。
要使 xinetd 重新读取配置文档,不必重新启动他。只要向他发送 USR2 信号即可。
那些参数表示什么意思?让我们通读整个清单。您也能够在命令行下使用 man xinetd.conf 来查看列表(假如那个帮助页面正确安装的话),但这个概述试图用更简单的术语来解释参数,并不假定您已知道关于套接字和服务的任何信息。一些参数(rpc_version、rpc_number)被跳过。
常规参数
- id
- 该服务的唯一名称。服务名称在花括号之前指定,但是 ID 使逻辑上相同的服务可能拥有多个协议。这是对于临时用户的受限使用。例如,NFS 服务能够在 UDP 或 TCP 传输协议上运行。在 Red Hat Linux 7.1 上,TCP 版本(在 /etc/xinetd.d/time 中)和 UDP 版本(在 /etc/xinetd.d/time-udp中)中提供了对于 xinetd 来说内部的时间服务。
- type
- 这实际上应该称为“特别类型”,因为他只适用于特别服务。他能够是以下几种类型的组合:“RPC”,用于 RPC 服务(由 SUN 引入的远程过程调用,导致了很多安全性问题,最好避免使用);“INTERNAL”,用于构建到 xinetd 内部的服务,譬如时间服务;“UNLISTED”,用于在系统列表(/etc/services 或用于 RPC 服务的 /etc/rpc)中很难找到的非标准服务。
- flags
- 这里放置着任何额外标志。列表很长并且技术性很强;我们感兴趣的标志包括 REUSE(用于套接字重用,譬如 telnet)、NAMEINARGS/NOLIBWRAP(假如您希望手工调用 TCP 封装器或完全地避免使用封装器)、NODELAY/KEEPALIVE(用于调整 TCP 套接字)、DISABLE(覆盖顶级“disable”参数)连同 SENSOR(用于检测和防止某些类型的“拒绝服务(denial-of-service)”网络攻击)。
- disable
- 除非您希望禁用某项服务,否则总是把他设成“no”。Red Hat Linux 的 chkconfig 程式将为您打开或关闭“disable”参数;在 Red Hat 上,用 chkconfig 启用和禁用特定服务可能比手工方式简单些。请注意,chkconfig 预期在 /etc/xinetd.d/SERVICE 中找到服务文档。所以对于上面 清单 2 中的示例,chkconfig 将不会在请求时打开或关闭 telnet。能够将他认为是个错误或特性,取决于您的观点。
- socket_type
- 通常您希望这个参数配置成“stream”,除非使用 UDP 服务,此时配置成“dgram”。该参数也能够配置成“raw”和“seqpacket”,但极少见。
- protocol
- 这是连接所用的协议,通常是“tcp”或“udp”,但是在理论上您能够使用来自 /etc/protocols 的任何值。
- wait
- 假如配置成“no”,xinetd 将为每个连接上的服务启动一个新的处理程式。假如是“yes”,xinetd 预期该处理程式处理任何后续连接直到他死亡。在大多数情况下,这个参数是“no”。
- server, server_args
- 处理程式的程式名,连同他应当获得的参数。处理程式名不应该象在 inetd 环境下那样,出现在参数中。
- port
- 服务的端口。通常无需,因为端口通过 /etc/services 文档来映射到服务。
- redirect
- 允许 xinetd 将任何服务的流量发送给另一台主机。因此,受防火墙保护的主机能够通过中央 xinetd 转发器接受安全流量,而不必建立和外部网络的连接。在某些工作中,能够采用这个特征来在两台主机间执行故障转移服务。
- banner, banner_success, banner_fail
- 一个将要在“任意/一个成功/一个不成功”连接上打印的来自文档的定制文本块。
- enabled
- 在全局级别上补充“disabled”参数和 DISABLE 标志。
- include, includedir
- 告诉 xinetd 要包含文档或目录。
环境参数
- user, group, umask, groups
- 当启动服务处理程式时,xinetd 应该扮演的 UNIX 属性。这主要用于非安全服务。
- nice
- 确定该服务对于系统有多重要的 UNIX 优先级级别。能够针对您的系统调整他,请查看“nice”的 man 页面。
- env
- 用于服务处理程式的环境变量。
- passenv
- 应该向下传递到服务处理程式的 xinetd 中的环境变量。
资源管理参数
- instances
- 能够同时启动的处理程式数。能够调整这个参数以防止拒绝服务攻击。假如您希望缺省(无限制)行为,将他配置成“UNLIMITED”。
- max_load
- I: ) 假如系统过载,停止接受连接。负载数取决于系统,仅当您确实知道自己在做什么时才能调整他。
- rlimit_as, rlmist_cpu, rlimit_data, rlimit_rss, rlimit_stack
- rlimit 参数指定用于服务处理程式的资源限制(内存、CPU 连同特定内存区域)。
特定于安全性的参数
- only_from, no_access
- 对 TCP 封装器的补充,这是阻挡主机建立和我们的连接的方法之一。请注意,缺省值是允许对任何人的访问,除非 TCP 封装器(其规则通常在 /etc/hosts.allow 中)另有规定。
- access_times
- 一天中服务可用的时间。例如,“6:00-23:00”意味着服务从上午 6 点到晚上 11:01 可用。
- log_type, log_on_success, log_on_failure
- 各种日志记录选项。USERID 标志可能特别麻烦,因为他向连接的主机询问关于和我们连接的用户,这使得处理变慢。尽可能避免使用 USERID。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
