inetd守護(hù)程序介紹(HP_UX)

sonsunny

Internet 守護(hù)程序 /usr/sbin/inetd 是許多 Internet Services 的主服務(wù)器。
在引導(dǎo)過程中，inetd 守護(hù)程序通常是由 /sbin/init.d/inetd 腳本自動啟動的。
inetd 守護(hù)程序監(jiān)視對 /etc/inetd.conf 配置文件中列出的服務(wù)的連接請求，同時該守護(hù)程序在接收到請求的時候產(chǎn)生相應(yīng)的服務(wù)器。也就是說，用戶使用諸如 telnet 的 Internet Services 與遠(yuǎn)程系統(tǒng)連接。inetd 守護(hù)程序在連接完成之前確定是否允許來自主機(jī)的 telnet 連接。允許或者拒絕訪問的主機(jī)信息保存在 /var/adm/inetd.sec 文件中。
inetd 守護(hù)程序的工作方式如下：

系統(tǒng)引導(dǎo)過程中，在運(yùn)行級別 2 啟動（如果以下命令在系統(tǒng)啟動腳本中：/sbin/init.d/inetd start）。

則請檢查 /etc/inetd.conf 以確定提供哪些服務(wù)。有關(guān)詳細(xì)信息，請參閱 ftp(1) 和 inetd.conf(4)。

檢查 /etc/services 以確定對哪個端口監(jiān)視在 /etc/inetd.conf 中列出的服務(wù)。/etc/services 文件將服務(wù)名稱映射到端口號。有關(guān)詳細(xì)信息，請參閱 services(4)。

接收來自客戶端的 Internet Services 連接請求。例如，運(yùn)行 telnet。

請查閱 /var/adm/inetd.sec 以確定是否允許客戶端訪問。有關(guān)詳細(xì)信息，請參閱 inetd.sec(4)。

如果啟用了日志記錄，則將請求記錄在 /var/adm/syslog/syslog.log 中。有關(guān)詳細(xì)信息，請參閱 syslogd(1M)。

如果 inetd 由于安全原因拒絕連接，則連接將被關(guān)閉。

如果連接請求有效，則 inetd 會啟動一個服務(wù)器進(jìn)程來處理有效的連接請求。除了 inetd 之外，服務(wù)器進(jìn)程還可以具有其他安全功能。
保護(hù) inetd

/etc/inetd.conf 文件是 inetd 配置文件，該文件列出了 inetd 守護(hù)程序可以啟動的服務(wù)。在 /etc/inetd.conf 中列出的每個服務(wù)也都必須出現(xiàn)在 /etc/services 文件中。/etc/services 文件將服務(wù)名稱映射到端口號。每個端口號都有一個相關(guān)的協(xié)議名稱，例如 tcp 或 udp。協(xié)議的每個條目必須在 /etc/protocols 文件中有一個與之匹配的條目。
下列建議可以使 inetd 更加安全：

啟用 /etc/rc.config.d/netdaemons 中的 inetd 登錄。有關(guān)詳細(xì)信息，請參閱 rc.config.d(4)。

查看 /etc/inetd.conf 和 /etc/services 中的更改。未經(jīng)授權(quán)的用戶可能獲得超級用戶訪問權(quán)限從而修改了 /etc/services 和 /etc/inetd.conf 文件。在 /etc/inetd.conf 中，查找未使用的服務(wù)的名稱。在 /etc/services 中，查找未由 Internet 編號分配機(jī)構(gòu)（Internet Assigned Numbers Authority，IANA）在
http://www.iana.org
注冊的端口號。驗證列出的 Internet Services 的端口號是否與 LANA 注冊的端口號相匹配。

在 /etc/inetd.conf 中注釋掉不需要的服務(wù)，例如 finger。finger 命令在不需要口令的情況下顯示用戶信息。

在 /etc/inetd.conf 中注釋掉遠(yuǎn)程過程調(diào)用 (RPC)。

在 /etc/inetd.conf 中注釋掉 inetd“內(nèi)部日�！狈�務(wù)，以避免拒絕服務(wù)攻擊。惡意用戶可能會使用 chargen（字符生成器）請求使 inetd 超負(fù)荷。有關(guān)詳細(xì)信息，請參閱 inetd(1M) 和 inetd.conf(4)。

使用 /var/adm/inetd.sec 拒絕或允許訪問
除配置 /etc/inetd.conf 文件外，還可以配置一個稱為 /var/adm/inetd.sec 的可選安全文件，以限制對 inetd 啟動的服務(wù)的訪問。/var/adm/inetd.sec 文件列出了允許或者拒絕訪問每個服務(wù)的主機(jī)。有關(guān)詳細(xì)信息，請參閱 inetd.conf(4)。
例如：
login allow 10.3-5 192.34.56.5 ahost anetwork
login deny 192.54.24.5 cory.example.edu.testlan


本文來自ChinaUnix博客，如果查看原文請點(diǎn)：http://blog.chinaunix.net/u2/78315/showart_1330067.html