| Chapitre
III. Autres informations
III. Le super daemon xinetd
1.
Présentation
xinetd
est l’abréviation de extented internet services daemon,
il remplace avantageusement inetd.
Rappelons la fonction du super daemon, admettons que vous vouliez
installer un serveur ftp et telnet sur la même machine, sans
l’usage du super daemon, les daemons telnet et ftp doivent
donc tourner en permanence sur le serveur, dans le cas du super
daemon, seul celui-ci tourne en permanence, il va lancer le serveur
telnet ou ftp qu’en cas de connexion, le serveur ftp et/ou
telnet est stoppé en fin de connexion, le super daemon gère
ainsi le lancement et l’arrêt d’un certain nombre
de serveurs qu’on appelle service, on obtient la liste des
services standards dans le fichier /etc/services.
Le super daemon permet ainsi d’optimiser les ressources de
la machine.
inetd avec les TCP_WRAPPERS
permet de contrôler les connexions sur une machine au travers
des fichiers hosts.allow et hosts.deny.
xinetd possèdent des fonctions supplémentaires,
citons par exemple :
limitation d’accès aux services suivant une plage horaire
limite
les risques de Deny of Services (DoS), le DoS consiste à
faire de multiples requêtes sur un serveur ce qui va accaparer
toutes ses ressources jusqu’à le bloquer.
xinetd permet de limiter le nombre de serveurs d’un même
type tournant simultanément, cette limitation porte sur le
nombre de server et/ou sur la taille du fichier de log.
un service
peut être attaché à une interface particulière,
ainsi si vous avez un serveur connecté à internet
et que seules les machines du réseau local peuvent accèder
en ssh sur ce serveur, vous pouvez spécifier que les requêtes
ssh ne pourront venir que de la carte réseau interne.
redirection
d’une requête vers une autre machine de votre réseau
local.
2.
Installation
Sur
une Mandrake 7.2 le package est xinetd-2.1.8.9pre12-2mdk.
Pour avoir la dernière version (pre13) le site officiel est
www.xinetd.org
I l faudra compiler avec l’option -with-libwrap
ce qui permet de pouvoir utiliser les TCP_WRAPPERS et donc les fichiers
hosts.allow et hosts.deny, sachant qu’à terme ces fichiers
ne devraient plus servir.
Il faudra aussi le compiler avec l’option --with-loadavg,
c’est encore une protection aux DoS, elle permet d’arrêter
certains services avant que le système soit bloqué.
Pour savoir si xinetd est installé sur votre machine
/etc/rc.d/init.d/xinetd status
La réponse devrait être :
xinetd (pid 462) is running...
Précédent
- Plan - Suivant
|
