Xinetd FAQ

xinetd FAQ

: 원문 : http://www.xinetd.org/faq.html

: 1. inetd와 호환 됩니까?
: 2. 왜 이것을 사용해야 합니까?
: 3. 이 프로그램을 위해 누구에게 감사/비난 해야 하나요?
: 4. xinetd의 2.2.1은 무엇이 좋아졌나요?
: 5. 어디서 마지막 그리고 훌륭한 버전을 찾을 수 있나요?
: 6. xinetd를 작업하여 아무나 qmail을 얻을 수 있나요?
: 7. xinetd를 실행하는 알려진 플랫폼은 무엇입니까?
: 8. 서비스를 위해 chrooted 환경은 어떻게 설정하나요?
: 9. itox는 어떻게 사용하나요?
: 10. xinetd는 libwrap (tcpwrappers)를 제공합니까?
: 11. xinetd는 IPv6를 지원합니까?
: 12. IPv6로 시작하는 서비스들이 없습니다. 어떻게 하죠?
: 13. setgroups(0, NULL) 오류는 무엇입니까?
: 14. 리눅스에서 teletd가 왜 일반적으로 실행되지 않습니까?
: 15. SSL로 싸인 서비스들을 위해 xinetd를 어떻게 사용하나요?
: 16. cvs 서버를 xinetd에 어떻게 설정합니까?
: 17. 관련 자료

1. inetd와 호환 됩니까?

아니오. 이것의 설정 파일은 inetd와는 다른 형식을 가집니다. 그리고 이것은 서로 다른 시그널로 인식합니다. 그러나 신호에 대한 행동의 할당은 바뀔 수 있고, 프로그램은 inetd.conf를 xinetd.conf로 변환을 포함하고 있습니다.

2. 왜 이것을 사용해야 합니까?

왜냐하면 이것은 inetd 보다 (IMHO가) 더 좋기 때문입니다. 여기 그 이유가 있습니다.

이것은 다음 기본되는 모든 서비스들에서 접근을 제어할 수 있습니다.
- 원격 호스트의 주소
- 접근 시간
- 원격 호스트의 이름
- 원격 호스트의 도메인 네임

모든 서비스들에 대한 접근 제어는, 다중 쓰레드이든 단일 쓰레드이든 TCP와 UDP 프로토콜 양쪽에 대한 일을 합니다. 모든 UDP 패킷들은 모든 TCP 연결처럼 검사될 수 있습니다.

이것은 하드 재설정을 제공합니다.
- 설정 파일에 없는 서비스들을 위한 서버들을 죽입니다.
- 접근 제어 규칙이 없는 서버들을 죽입니다.

이것은 다음으로 거부된 접근을 막을수 있습니다.
- 각 서비스를 위한 서버 갯수의 제한에 걸림(프로세스 테이블 오버플로를 회피합니다)
- 프로세서들의 숫자가 기본 숫자보다 작을 때 생성할 것입니다.
DeleteMe 상당히 의역한 문장입니다. 맞는지 모르겠네요
- 로그 파일의 크기 제한에 걸리면 이것은 생성합니다.
- 접속 숫자 제한에 걸리면 단일 호스트를 시작할 수 있습니다.
- 수신 접속률의 제한에 걸림
- 부하가 명시된 제한을 넘어갈 경우 서비스들을 중지합니다.

광범위한 로그를 남기는 능력:
- 시작된 모든 서버들을 위해 다음의 로그를 남길 수 있습니다.
i) 서버 시작 시간
ii) 원격 호스트 주소
iii) 원격 사용자(다른 끝단에서 RFC-931/RFC-1413 서버를 실행하는 경우)
iv) 서버가 얼마동안 실행되고 있는지
(i, ii, iii은 실패된 시도를 남길 수 있습니다.)
- 접근 제어가 실패하면, 어떤 서비들을 우해 시도된 접근에 대한 정보를 남길 수 있습니다.(예를 들면, 이것은 rsh서비스를 위한 사용자 이름과 명령을 남길 수 있습니다.)
서버 전달인자의 제한이 없습니다.
당신의 호스트 장치에서 특정한 서비스를 특정한 IP의 서비스로 묶을 수 있습니다.

3. 이 프로그램을 위해 누구에게 감사/비난 해야 하나요?

panos@cs.colorado.edu가 이 프로그램의 원래 저자이지만, 현제 제(bbraun@synaok.net)가 버그 리포트를 받고 있습니다.

4. xinetd의 2.2.1은 무엇이 좋아졌나요?

xinetd의 원래 최신 버전은 2.1.1에서 패치된 2.1.8입니다. Nick Hilliard가 생성한 xinetd 2.2.1은 Panos에 의해 발표되지 않은 2.2.0을 기반으로 합니다. 저작권은 xinetd의 발표된 공식 버전(현재 2.1.8)이 요구되는 버전이 명시된 xinetd를 포함합니다. 그리고 네번째 버전 번호는 수정 단계를 지시하기 위해 붙여집니다. 이것은 제가 채택한 버전 방식입니다. 여기에 유효한 xinetd 2.1.8.X는 xinetd 2.2.0이나 그 상위 버전을 기반으로 하지 않습니다. 이것은 2.1.8의 코드 기반으로 작성되었습니다. 비록 몇가지 특징들이 재실행 됐을지라도, xinetd-2.2.1에서 초보자입니다.

5. 어디서 마지막 그리고 훌륭한 버전을 찾을 수 있나요?

xinetd 소스는 http://www.synack.net/xinetd에서 얻을 수 있습니다.

6. xinetd를 작업하여 아무나 qmail을 얻을 수 있나요?

예, 여기 초기 정보가 있습니다.

    service smtp
    {
        flags		= REUSE NAMEINARGS
        socket_type	= stream
        protocol	= tcp
        wait		= no
        user		= qmaild
        server		= /usr/sbin/tcpd
        server_args	= /var/qmail/bin/tcp-env -R /var/qmail/bin/qmail-smtpd
    }

Antony Abby씨가 제공해 주셨습니다. 이 방법은 당신이 /etc/hosts.allow 없이 환경 변수들을 설정하는 것을 허용할 것입니다. 비록 xinetd는 libwrap 지원으로 컴파일 될 수 있어도, 이것은 tcpd의 기능을 완벽하게 대신할 수 있다는 뜻은 아닙니다. xinetd는 host_access(5) 맨페이지에 설명된 접근 제어를 실행하는 host_access()를 호출합니다. 이것은 tcpd에 의해 제공되는 특성의 일부입니다.

7. xinetd를 실행하는 알려진 플랫폼은 무엇입니까?

저는 솔라리스 2.6(sparc와 x86), 리눅스, BSDi, 그리고 IRIX 5.3과 6.2에서 실행해 봤습니다. 원본 패키지는 SunOS 4와 Ultrix에서 실행했습니다.

8. 서비스를 위해 chrooted 환경은 어떻게 설정하나요?

여기 초기 설정 파일이 있습니다.

    service telnet_chroot
    {
        log_on_sucess	= HOST PID DURATION USERID
        log_on_failure	= HOST RECORD USERID
        no_access	= 152.30.11.93
        socket_type	= stream
        protocol	= tcp
        port		= 8000
        wait		= no
        user		= root
        server		= /usr/sbin/chroot
        server_args	= /var/public/servers /usr/libexec/telnetd
    }

lburns@sasquatch.com이 제공해 주셨습니다.

9. itox는 어떻게 사용하나요?

itox는 표준 입력에서 일반적인 inetd.conf를 읽고 표준 출력으로 xinetd.conf를 씁니다. 일반적으로 다음 명령을 사용합니다.

    itox < /etc/inetd.conf > /etc/xinetd.conf

inetd.conf가 데몬들의 경로가 정확하지 않다면, -damon_dir 옵션을 사용해야 합니다. 제공되는 /usr/sbin에 있는 모든 데몬들은, 다음 명령을 사용합니다.

    itox -daemon_dir=/usr/sbin < /etc/inetd.conf > /etc/xinetd.conf

itox는 갱신되 것이기 보다는 오래된 것입니다. xconv.pl은 현재 inetd.conf 파일들을 변환하는 것에 대한 간단한 펄 스크립트 입니다. 이것은 itox보다 간단하게 하는데 유용합니다.

10. xinetd는 libwrap (tcpwrappers)를 제공합니까?

예. xinetd는 설정 스크립트 옵션으로 --with-libwrap 을 전달하여 libwrap을 지원하도록 컴파일 될 수 있습니다. xinetd가 libwrap 지원으로 컴파일 되면, 모든 서비스들은 /etc/hosts.allow와 /etc/hosts.deny 접근 제어를 사용할 수 있습니다. xinetd는 또한 전통적인 inetd 모양의 tcpd를 사용하기 위해 설정될 수도 있습니다. 이것은 NAMEINARGS 플래그 사용이 요구되고, 실제 데몬의 이름이 server_args에 전달될 수 있습니다. 여기 tcpd로 텔넷을 사용하는 예제가 있습니다.

    service telnet
    {
        flags		= REUSE NAMEINARGS
        protocol	= tcp
        socket_type	= stream
        wait		= no
        user		= telnetd
        server		= /usr/sbin/tcpd
        server_args     = /usr/sbin/in.telnetd
    }

11. xinetd는 IPv6를 지원합니까?

예. xinetd는 설정 스크립트에 --with-inet6 옵션을 추가하여 IPv6를 지원하도록 컴파일 될 수 있습니다. 접근 제어는 IPv6와 동작합니다. 당신은 주소들이 연결되는 ipv4를 사용하거나, 일번적인 점으로 분리된 ipv4 주소를 사용할 수 있고, xinetd는 이것들을 ipv6 주소로 안내합니다.

12. IPv6로 시작하는 서비스들이 없습니다. 어떻게 하죠?

IPv6 지원으로 컴파일한다면, 모든 소켓들이 IPv6 소켓들입니다. 당신의 커널이 IPv6 소켓들을 이해하지 못한다면 생성되기 위해 준비된 모든 소켓들이 실패할 것이고 아무 서비스도 시작하지 않을 것입니다. 커널이 IPv6를 지원한다면 xinetd만 IPv6 지원으로 컴파일하면 됩니다.

13. setgroups(0, NULL) 오류는 무엇입니까?

기본적으로, xinetd는 서버 프로세스들에 대한 그룹 권한을 허용하지 않고, 자식 프로세스가 없는 그룹들을 설정하는 것으로 실행됩니다. 어떤 BSD는 이 문제를 가지고 있습니다. 이 오류를 피하기 위해, 당신의 서비스들에 직접적으로 groups = yes를 넣으세요. 이것은 서버 프로세스들이 그룹 권한을 가진 모든 사용자들에게 서버 프로세스의 실행을 가지도록 허용하는 것을 말합니다.

14. 리눅스에서 teletd가 왜 일반적으로 실행되지 않습니까?

몇몇 리눅스 배포판들에서, 텔넷 데몬은 실행 권한을 가진 사용자가 없습니다. 그러나 사용자는 새로운 tty의 열기와 utmp 수정이 허용된 그룹에 속해있습니다. 기본적으로, xinetd는 서버 프로세서에 그룹 권한을 허용하지 않습니다. 그래서 telnetd는 아마도 시작을 실패할 수 있습니다. 허용 그룹을 가지는 서버 프로세스를 얻기 위해, 텔넷 서비스에 직접적으로 groups = yes를 사용합니다. 이것은 접근을 가지는 그룹의 모든 사용자들이 서버 프로세스를 시작하기 위해 xinetd에게 OK라고 말할 것입니다.

15. SSL로 싸인 서비스들을 위해 xinetd를 어떻게 사용하나요?

SSL로 싸인 서비스들을 위해 stunnel 프로그램을 사용하세요. 이것은 inetd에 의해 자동적으로 사용될 수 있습니다.

16. cvs 서버를 xinetd에 어떻게 설정합니까?

어떤 사용가 다음 제안을 썼습니다.

    cvpserver stream tcp nowait root /usr/bin/cvs cvs --allow-root=/home/pauljohn/cvsroot --allow-root=/home/pauljohn/cvsmics pserver

당신이 xinetd 아래에 같은 작업을 만들려고 한다면, /etc/xinetd.d에 cvspserver이라 불리는 설정 파일을 저장하세요.(마지막 줄은 당신의 저장소들의 이름을 말해줍니다.)

    service cvspserver
    {
        socket_type	= stream
        protocol	= tcp
        wait		= no
        user		= root
        passenv		=
        server		= /usr/bin/cvs
        server_args	= --allow-root=/home/pauljohn/cvsroot --allow-root=/home/pauljohn/cvsmisc pserver -f
    }

다른 모든 cvs 설정 특징은 같습니다. 이것은 제가 아는 한 모든 작업을 보여줍니다.

17. 관련 자료

Kldp:xinetd-FAQ

[맨위] [Xinetd]

읽기 전용 페이지 | 변경사항
마지막 수정: 2005-1-7 15:26 (최근 변경 내용)