xinetd和tcpd的服务控制规则.docVIP

xinetd 和tcpd的服务控制规则 ????????????????????????????????????????????? xinetd 和tcpd的服务控制规则 这里首先说点介绍点新知识: 我们系统中的进程分为超级守护进程和依赖以超级守护进程的进程，我们分别又可以称之为独立进程和非独立进程 独立进程是一些系统必须的或者是我们平时要经常要用到的进程，他们监听一个端口，但是一直在监听，而xinetd 是非独立守护进程的管理者，Xinetd 代为管理一些我们平时我们不经常用的进程，监听所有自己监控的端口，只有当client 请求时，xinetd 才唤醒对应的服务，这样可以大量较少对系统资源的消耗。 tcpd 是代为检查服务的规则。系统中凡是连接到libwarp.so 库的超级守护进程，都受tcpd 规则的限制，在这其中包含了xinetd ，所以，由xinetd 管理的的非独立进程也间接的受到tcpd 的管理 。 ? 查看服务依赖的库文件：#ldd?? /usr/Kerberos/bin/telnet 注意这里不是服务的文件的名字，而是服务对应的demon process 默认情况下系统在接受到client 请求时先查看tcpd 规则中是否允许 这些规则定义在/etc/hosts.allow? /etc/hosts.deny ，默认情况下按allow deny 的顺序来读，当两个都不填是默认是允许 其中文件的demon? process 可以用which 名令来查找文件的全路径，以上命令可以用#ldd? `which? telnet` 替换 设置服务可以在在哪些启动级别下启动，使用chkconfig 命令 --add 　增加所指 定的系统服务，让chkconfig 指令得以管理它，并同时在系统启动的叙述文件内增加相关数据。 --del 　删除所 指定的系统服务，不再由chkconfig 指令管理，并同时在系统叙述文件内删除相关数据。 --level 等级代号 　指定读系统服务要在哪一个执行等级中开启或关毕 --list? 列出系统服务的级别 以前经典小知识回顾 1 当我们想要开机运行或者禁用掉哪些进程是我们可以在/etc/rc.d/rc[0-9].d 中编辑以k 或者s 开头的文件即可，需要注意的是，这里的文件全部都是连接文件，而且全部都是以K 或者S 开头的，而真实文件在/etc/rc.d/init.d 中。这也是我们可以在/etc/rc.d/rc[0-9].d 中添加以K 或者S 文件来实现我们开机运行的目的 2 当我们要在用户登录的同时显示东西或者运行脚本是，我们可以在~/bash_profile 文件中添加我们要运行的命令 ? ? ? Xinetd 配置文件中的的参数含义 #Vim? /etc/xinetd.conf Log_on_failure log_on_success?? =HOST|USERID|ATTEMPT?? 当登录失败/ 成功是记录client 的HOST|USERID|ATTEMPT Only_from? IP 只允许$IP 登录 No_access? IP 黑名单，不允许$IP 登录 Only_fonm 和no_access 两者均为空时，只鱼讯anyone 访问，这里需要注意下，好好理解下这里的匹配原则就很好理解了 Bind?? 当自己服务器有多块网卡时，指定从那块网卡进出数据 Cps? N? N 指定单位时间内最大的链接数，第一个N 指最大的链接数，第二个N 指当超过最大限制时，服务暂时停顿N 秒 Per_source 定义一个ip 的最大并发链接数 Instaces?? 定义某个服务最大的链接数 Wait?? yes |no??? 为yes 时这里意思是当xinetd 唤醒A 服务后，一直等到服务停止，这期间一直由xinetd 来负责，否则，即为no 时，则xinetd 只负责唤醒，其他是事情转交给service 自己来负责。 access —times???? 格式为hours ：min-hour:min?? 这里需要注意的是，不能隔着子夜来定义时间段，可以定义为两段。 在/etc/hosts.allow 和/etc/hosts.deny 文件中有这样几个参数可以用 DENY ALLOW 可以在hosts.allow 和hosts.deny 同时运用 EXCEPT 　　　顾名思义　　，除了．．．． spawn? 定义指定的命令 banners??? 输出 twist ALL 　? KNOWN????? 能解析出主机名的 UNKNOWN?????? 不能解析出主机名的 PERANOID?????