XINETD.CONF(5) | File Formats Manual | XINETD.CONF(5) |
名前¶
xinetd.conf - 拡張されたインターネットサービスデーモンの設定ファイル説明¶
xinetd.conf は xinetd によって提供されるサービスを決定する設定ファイルである。 行の最初の空白ではない文字が '#' ならばコメント行とみなされる。 空行は無視される。ファイルは以下の形式のエントリからなる:
service <service_name> {
<属性> <assign_op> <値> <値> ... ...
}
代入演算子 assign_op は '=', '+=', '-=' のいずれかである。 殆んどの属性は単純な代入演算子である '=' のみをサポートする。 値が値の組合せであるような属性は、すべての代入演算子をサポートする。 そのような属性については、 '+=' は組合せに値を追加することを、 '-=' は組合せから値を削除することを意味する。 どの属性がどの演算子をサポートするかは、 すべての属性について述べた後に記述する。
各エントリは service_name で識別されるサービスについて定義する。
- id
- この属性はサービスを識別するのに用いられる。 サービスの中には違うプロトコルを使えるものがあり、 その場合は設定ファイルの別のエントリに記述されるので、 そうしたときに有用である。 デフォルトではサービス id は service_name と同じである。
- type
- 以下の値の任意の組合せである:
- RPC
- RPC を使ったサービスである
- INTERNAL
- xinetd によって提供されるサービス
- TCPMUX/TCPMUXPLUS
- well-known(良く知られた)TCPMUX ポートを使う、RFC 1078 プロトコルによって開始されるサービス。 後述する TCPMUX サービスについて書かれた節を参照のこと。
- UNLISTED
- 標準的なシステムファイル (RPC サービスなら /etc/rpc, RPC でないサービスなら /etc/services) にはないサービス
- flags
- 以下のフラグの任意の組合せである:
- INTERCEPT
- パケットまたはすでに受けつけた接続を、 それが受け付けてよい場所から来ているのかを確かめるために横取りする (内部サービスまたはマルチスレッドサービスは横取りできない)。
- NORETRY
- フォークに失敗しても再試行しない。
- IDONLY
- リモート側が、リモートのユーザを識別しているときのみ接続を受け付ける (すなわち、リモートホストは ident サーバを動かさなければならない)。 ログオプション USERID が使われてない場合には、このフラグは効果がない。
- NAMEINARGS
- "server_args" の最初の引き数を、サーバが実行される際の argv[0] にする。 これにより、普通の inetd のように "server" を tcpd にし、 サーバー名を "server_args" に入れることで、tcpd を使うことができる。
- NODELAY
- サービスが TCP のサービスで NODELAY フラグが立てられている場合、 ソケットに TCP_NODELAY フラグを立てる。 サービスが TCP のサービスでなければ、このオプションは効果がない。
- KEEPALIVE
- サービスが TCP のサービスで、KEEPALIVE フラグが立てられた場合は、 ソケットに SO_KEEPALIVE フラグが立てられる。 サービスが TCP のサービスでなければ、このオプションは効果がない。
- NOLIBWRAP
- サービスへのアクセスを判断するのに、tcpwrap の内部呼び出しを行わない。 xinetd のように長い時間動くプロセスには libwrap 機能が使えないので、 これは必要になる; その様な場合には tcpd プログラムを明示的に起動することができる(NAMEINARGS フラグの項を見よ)。
- SENSOR
- サービスの代わりに、指定されたポートへのアクセスを検知するセンサーを使う。 注意: これはステルススキャンを検知しない。 必要ないということが分かっているサービスにのみ、このフラグを用いるべきである。 このサービスのポートへアクセスがあると、IP アドレスが no_access リストへ追加される。 以降の同じ IP アドレスからのアクセスは、deny_time で設定した期限が切れるまで 拒否される。 このリストへ費やす時間の長さは、deny_time 属性で設定が可能である。 また、SENSOR フラグが指定された場合、同じ行に何が書かれていようと、 サーバに INTERNAL 属性が指定されたと xinetd はみなす。 あと一つ覚えておくべき重要なことは、socket_type を stream に設定した場合は、 wait 属性は no に設定されなければならないということである。
- IPv4
- サービスを IPv4 サービス(AF_INET)にする。
- IPv6
- IPv6 がシステムで有効であれば、サービスを IPv6 サービス(AF_INET6)にする。
- disable
- "yes" または "no" の真偽値をとる。 これによりサービスが使用不能になり、起動されなくなる。 DISABLE フラグに関する記述を見よ。
- socket_type
- この属性に指定可能な値は以下:
- stream
- ストリーム型サービス
- dgram
- データグラム型サービス
- raw
- IP への直接制御が必要なサービス
- seqpacket
- 信頼できる連続的なデータグラム交換が必要なサービス
- protocol
- サービスに使われるプロトコルを指定する。 プロトコルは /etc/protocols になければならない。 この属性が指定されなかった場合、サービスのデフォルトのプロトコルが使われる。
- wait
- この属性はサービスがシングルスレッドか、マルチスレッドかを決定する。 値が yes ならシングルスレッドである; すなわち xinetd は、サーバーを起動したらそのサーバが死ぬまでは、 そのサービスへの要求に対する処理を停止する。 値が no ならサービスはマルチスレッドであり、 xinetd はサービスへの新たな要求を処理し続ける。
- user
- サーバプロセスの uid を指定する。 ユーザ名は /etc/passwd になければならない。 xinetd の実効ユーザIDがスーパーユーザーではない場合には、 この属性は効果がない。
- group
- サーバプロセスの gid を指定する。 グループ名は /etc/group になければならない。 xinetd の実効ユーザIDがスーパーユーザーではない場合には、 この属性は効果がない。
- instances
- サーバが同時にいくつサービスできるかを指定する(デフォルトは無制限)。 この属性の値は数値か、もしくは無制限を意味する UNLIMITED のどちらかである。
- nice
- サーバーの優先度を指定する。 値は(負の)数値である; 詳しくは nice(3)(訳注:Linux では nice(2))を見よ。
- server
- そのサービスのために実行するプログラムを指定する
- server_args
- サーバに渡される引き数を指定する。 inetd とは違い、サーバ名は server_args には含めない。
- only_from
- そのサービスを可能にするリモートホストを指定する。 値は IP アドレスのリストで、以下の方法の任意の組合せである:
- a)
- %d.%d.%d.%d形式の数値アドレス。 右端の部分が 0 であればワイルドカードとして扱われる (例えば、128.138.12.0 は 128.128.12 サブネットのすべてのホストに合致する)。 0.0.0.0 はすべてのインターネットアドレスに合致する。 IPv6 ホストは abcd:ef01::2345:6789 のような形式で指定する。 IPv4 の場合のワイルドカードに関するルールは、IPv6 アドレスには適用されない
- b)
- %d.%d.%d.{%d,%d,...}形式の組合せアドレス。 4 つすべての部分が必要なわけではない (すなわち%d.%d.{%d,%d,...%d}形式も可である)。 しかし、組合せの部分はアドレスの最後でなければならない。 この形式は IPv6 ホストでは使えない。
- c)
- (/etc/networks から得られる)ネットワーク名。 この形式は IPv6 ホストでは使えない。
- d)
- ホスト名。 xinetd への接続がなされると、逆引きが行われ、 得られた正規名(canonical name)と指定されたホスト名が比較される。 .domain.com 形式のドメイン名を指定することもできる。 クライアント IP の逆引き結果が .domain.com 内部なら、 そのクライアントは合致したことになる。
- e)
- 1.2.3.4/32 形式の IPアドレス/ネットマスク 範囲指定。
- 値の指定をせずにこの属性を指定すると、 いかなるユーザにもサービス使用不可となる。
- no_access
- そのサービスが使用できないリモートホストを指定する。 値の指定方法は only_from と同じである。 これら二つの属性により xinetd は場所に基づいたアクセス制御を行う。 サービスに対しこの二つのどちらも指定されない場合には、 そのサービスは誰でも使用可になる。 サービスに対しこの二つが共に指定された場合には、 リモートホストのアドレスがよりよく(より正確に)合致した方に基づき、 そのサービスがそのホストで使用できるかどうかが決定される (例えば、only_from リストに 128.138.209.0 があり、 no_access リストに 128.138.209.10 があった場合には、 アドレスが 128.138.209.10 のホストはそのサービスへはアクセスできない)。
- access_times
- サービスが使用できる時間間隔を指定する。 間隔の形式は 時:分-時:分 である (間隔の境界での接続は受け付けられるだろう)。 時間は 0 から 23 の範囲で、分は 0 から 59 である。
- log_type
- サービスのログ出力がどこに送られるかを指定する。 二つの形式がある:
- SYSLOG syslog_facility [syslog_level]
- ログ出力は指定された機能分類(facility)で syslog に送られる。 指定可能な機能分類は daemon, auth, authpriv, user, mail, lpr, news, uucp, ftp, local0-7 である。 指定可能なレベル名は emerg, alert, crit, err, warning, notice, info, debug である。 レベル指定がない場合には、メッセージは info レベルで記録される。
- FILE file [soft_limit [hard_limit]]
- ログ出力は file に追加され、そのファイルが無ければ作成される。 ログファイルのサイズに関しては、二つの制限をオプションで指定できる。 一つ目の制限は弱い制限(soft_limit)である; xinetd はこの制限を最初に越えたときにログ出力を行う (xinetd が syslog に出力する場合は、メッセージは優先度レベル alert で送られる)。 二つ目の制限は強い制限(hard_limit)である; xinetd は影響があるサービス (ログファイルとして共通のログファイルを使っている場合には、 二つ以上のサービスが影響受ける) のログ出力を中止し、その様にしたというメッセージをログ出力する (xinetd が syslog に出力する場合は、メッセージは優先度レベル alert で送られる)。 強い制限が指定されていない場合は、デフォルトは弱い制限を 1% 増やした値である。 ただし、増やすサイズはパラメータ LOG_EXTRA_MIN と LOG_EXTRA_MAX (デフォルトは 5K と 20K で、 これらの定数は(コンパイル時に) config.h で定義される) の間になければならない。
- log_on_success
- サーバ起動時と終了時にどの情報をログ出力するかを指定する (サービス id はログエントリに必ず含まれる)。 以下の値の任意の組合せが指定可能である:
- PID
- サーバのプロセスIDを出力する (サービスが xinetd によって実装され、 他のプロセスへとフォークされない場合には、プロセス ID として 0 が出力される)
- HOST
- リモートホストのアドレスを出力する
- USERID
- RFC 1413 で示される ident(identification) プロトコルを使って、 リモートユーザのユーザ ID を出力する。 このオプションはマルチスレッドなストリームサービスにのみ使用できる。
- EXIT
- サーバが終了したことを、終了ステータスまたは終了シグナルと共に出力する (PID オプションが指定されている場合にはプロセスIDも出力される)
- DURATION
- サービスセッションの時間を出力する
- log_on_failure
- サーバが起動できなかった場合 (リソースが足りなかった場合と、アクセス制御による制限による場合のどちらでも) にどの情報をログ出力するかを指定する。 サービスのidは失敗した理由と共に常にログエントリに含まれる。 以下の値の任意の組合せが指定可能である:
- HOST
- リモートホストのアドレスを出力する
- USERID
- RFC 1413 で示されるident プロトコルを使って、 リモートユーザのユーザ ID を出力する。 このオプションはマルチスレッドなストリームサービスにのみ使用できる。
- ATTEMPT
- 失敗があったことを出力する (このオプションは他のすべてのオプションに含まれる)。
- rpc_version
- RPC サービスの RPC バージョンを指定する。 バージョンには一つの数か、number-number 形式の範囲を指定できる。
- rpc_number
- リストにない(UNLISTED) RPCサービスの番号を指定する (サービスが標準的なシステムファイルにリストされているなら、 この属性は無視される)。
- env
- この属性の値は 'name=value' 形式の文字列のリストである。 これらの文字列はサーバが起動する前に、環境に加えられる (すなわち、 サーバの環境は xinetd の環境に指定された文字列を加えたものである)。
- passenv
- この属性の値は xinetd の環境変数のリストで、 その環境がサーバへと渡される。 空のリストは、 env 属性を使って明示的に指定されたものを除いて、 どの変数もサーバへと渡されないことを意味する (この属性と env の組合せによって、 サーバにどの環境が渡されるかを正確に指定できるということである)
- port
- サービスのポートを指定する。 /etc/services ファイルにリストされているサービスに対してこの属性が指定された場合、 その値とファイルにあるポート番号とは等しくなければならない。
- redirect
- TCP サービスの他ホストへの転送を指定する。 このポートへの接続を xinetd が受け取ったら、プロセスを起動し、 指定されたホストのポート番号への接続を確立し、 二つのホストの間ですべてのデータを転送する。 このオプションは、内部マシンが外界から見えない場合に有用である。 書式は redirect = (IPアドレス) (ポート) である。 IP アドレスの代わりにホスト名を使うこともできる。 ホスト名検索は xinetd が起動した時の一回のみ行われ、 最初に返された IP アドレスが xinetd が再起動されるまで使われる。 このオプションが指定された場合には "server" 属性は必要ではない。 "server" 属性が指定されても、こちらの属性の方が優先される。
- bind
- マシンの特定のインタフェースにサービスを割り当てることを指定する。 これは、安全なインタフェースであるローカルインタフェースで待ち(listen)、 外部インタフェースではそうしないような telnet サーバが 作成できることを意味する。 また、あるインタフェースのあるポートで何かしている場合に、 同時に違うインタフェースの同じポートで全く違ったことができる。 書式は bind = (インタフェースの IP アドレス) である。
- interface
- bind に同じ。
- banner
- サービスへの接続が確立された時に、 リモートホストで表示されるファイルの名前を指定する。 このバナーはアクセス制御に関係なく表示される。 接続がなされた場合には *いつでも* これが表示されるはずである。
- banner_success
- サービスへの接続が許可された時に、 リモートホストで表示されるファイルの名前を指定する。 このバナーはサービスへのアクセスが許可されるとすぐに表示される。
- banner_fail
- サービスへの接続が拒否された時に、 リモートホストで表示されるファイルの名前を指定する。 このバナーはアクセスが拒否されるとすぐに表示される。 ユーザに対し、そのユーザが何か悪いことをしたということ、 そしてこれ以上何もするなということを通知するのに有用である。
- per_source
- 発信元 IP アドレスごとの、そのサービスに対する最大サービス数を指定する。 引き数には一つの整数か "UNLIMITED"(無制限) をとる。 このオプションは、デフォルトセクション(後述)で指定することも可能である。
- cps
- 入ってくる接続の割合の制限。 二つの引き数を取る。 最初の引き数は 1 秒あたりに処理する接続数である。 入ってくる接続の割合がこの値より大きくなると、 サービスは一時的に使用不可になる。 二つ目の引き数は、使用不可になってから再び使用可能になるまでに待つ秒数である。 この設定のデフォルトは、50 の入ってくる接続と、待つのは 10 秒である。
- max_load
- サービスが接続の受け付けを停止するようになる負荷(load)値を、 浮動小数点数で指定する。 例えば、2 や 2.5 である。 負荷がこの値になると、サービスは接続の受け付けを停止する。 これは 1 分間の平均負荷値(load average)である。 これは OS に依存した機能で、Linux と Solaris でだけサポートされる。
- groups
- "yes" または "no" を引き数にとる。 groups 属性が "yes" の場合、サーバの実効 UID でアクセスできる グループにアクセスできるようにサーバが実行される。 groups 属性が "no" の場合、サーバは他のグループなしで実行される。 多くの BSD システムでは、この属性は "yes" にされなければならない。 このオプションは、デフォルトセクションで指定することも可能である。
- umask
- サービスが継承する umask を指定する。 8進数で指定する。 全てのサービスの umask を設定するために、"defaults" セクションで 指定することも可能である。 xinetd は自分自身の umask を、継承した umask と 022 との OR に設定する。 umask オプションが指定されなければ、この xinetd の umask 値が全ての 子プロセスに継承される。
- enabled
- 有効にするサービス名のリストを指定する。 この属性の引数としてリストされたサービスだけが有効になる。 すなわち、残りのサービスは無効になる。 "disable" 属性と "DISABLE" フラグは、この属性でリストされたかに関係なく サービスが有効になるのを防ぐことができることに注目せよ。
- include
- "include /etc/xinetd/service" という形式で、ファイル名を指定する。 そのファイルは新たな設定ファイルとして解析(parse)される。 xinetd.conf の include が指定された場所にファイルを貼り付けるのとは、 同じではない。 取り込まれたファイルは xinetd.conf と同じ形式でなければならない。 サービス定義の内部でこの属性を指定してはいけない。 サービス定義の外側で指定されなければならない。
- includedir
- "includedir /etc/xinetd.d" という形式でディレクトリ名を指定する。 そのディレクトリのすべてのファイル(ただし名前にドット('.')を含むファイルと、 名前がチルダ('~')で終わるファイル以外) は xinetd 設定ファイルとして解析される。 ファイルは C ロケールでのアルファベット順で解析される。 includedir はサービス定義の内部で指定されてはならない。
- rlimit_as
- サービスの、アドレス空間資源の制限を設定する。 パラメータが一つ必要で、制限するバイト数 (キロバイト・メガバイトを指定するのに K, M が使える)を表す正の整数か、 "UNLIMITED" (無制限)を指定する。 Linux の libc の malloc の実装方法の関係で、 rlimit_data, rlimit_rss, rlimit_stack よりもこの制限を設定する方が有用である。 この資源制限は Linux システムでのみ実装されている。
- rlimit_cpu
- サービスが使える最大 CPU 時間(秒単位)を設定する。 パラメータが一つ必要で、CPU 時間を制限する正の整数か、 "UNLIMITED" (無制限)を指定する。
- rlimit_data
- サービスの最大データサイズの制限を設定する。 パラメータが一つ必要で、バイト数を表す正の整数か、 "UNLIMITED" (無制限)を指定する。
- rlimit_rss
- サービスの最大常駐サイズの制限を設定する。 この値を小さくすれば、メモリが少ない時に プロセスがディスクへとスワップアウトされる候補になりやすくなる。 パラメータが一つ必要で、バイト数を表す正の整数か、 "UNLIMITED" (無制限)を指定する。
- rlimit_stack
- サービスの最大スタックサイズを設定する。 パラメータが一つ必要で、バイト数を表す正の整数か、 "UNLIMITED" (無制限)を指定する。
- deny_time
- SENSOR を作動させた何者かの IP アドレスからの、全てのサービスへのアクセスを 拒否する期間。単位は分。 指定可能なオプションは FOREVER, NEVER そして数値である。 FOREVER では、xinetd が再起動されるまでその IP アドレスは消去されない。 NEVER は迷惑な IP アドレスをログに取る効果だけである。 典型的な値は 60 分である。 これなら、正当な目的でその IP アドレスが再利用されるのを許可する一方で、 殆んどの DoS 攻撃を防ぐことができる。 このオプションは SENSOR フラグとの組合わせで用いること。
それぞれのサービスで以上の属性をすべて指定する必要はない。 必要な属性は以下の通り:
- socket_type
- user
- (非内部サービスのみ)
- server
- (非内部サービスのみ)
- wait
- protocol
- (RPC と リストにない(UNLISTED)サービスのみ)
- rpc_version
- (RPC サービスのみ)
- rpc_number
- (リストにない RPC サービスのみ)
- port
- (リストにない非 RPC サービスのみ)
以下の属性はすべての代入演算子をサポートする:
- only_from
- no_access
- log_on_success
- log_on_failure
- passenv
- env
- ('-=' 演算子はサポートしない)
これらの属性は一つのサービスエントリで複数回あらわれてもよい。 残りの属性は '=' 演算子のみをサポートし、一つのサービスエントリで一回以下しか現れない。
また、設定ファイルは以下の形式のデフォルトエントリを一つ持つ。
defaults {
<属性> = <値> <値> ... ...
}
このエントリは、そのサービスで属性値が指定されなかった場合の、 デフォルトの属性値を決定する。指定可能なデフォルトの属性は:
- log_type
- bind
- per_source
- umask
- log_on_success
- (積算効果)
- log_on_failure
- (積算効果)
- only_from
- (積算効果)
- no_access
- (積算効果)
- passenv
- (積算効果)
- instances
- disabled
- (積算効果)
- enabled
- (積算効果)
積算効果を持つ属性は、複数回指定することができ、その度に積み上げられる (すなわち '=' は '+=' と同じことをする)。 disabled の例外を除いて、サービスエントリで指定された場合と同じ意味を持つ。 disabled は、設定ファイルにエントリがあるものでさえも使用不可にする。 これにより、コメントアウトする代わりに、 disabled 属性を使って使用不可にするサービスを、素早く再設定できる。 この属性の値は、スペースで区切られた、サービス id のリストである。 enabled は disabled と同じ特性を持つ。違いは enabled は使用可能にするサービスのリストであるということだ。もし enabled が指定された場合、指定されたサービスだけが使用可能になる。 enabled が指定されなかった場合は、すべてのサービスが使用可能と仮定され、 disabled にリストされたものが除外される。
内部サービス¶
xinetd は以下のサービスを内部的に提供する (ストリーム型、データグラム型の両方とも): echo, time, daytime, chargen, discard である。 xinetd が他のプロセスへと fork する必要がないということを除けば、 これらのサービスは、他のサービスと同様にアクセス制限の下にある。 これら (time, daytime と、データグラム型の echo, chargen, discard) は instances の数に制限がない。xinetd はまた、二つの UNLISTED なストリーム型内部サービスを提供する: servers と services である。 前者は実行しているサーバの情報を表示し、 一方後者は現在有効なサービスのリストを提供する。 一行に一つのサービスで、 各行はサービス名・プロトコル(例えば "tcp")・ポート番号からなる。
今や管理インタフェースがあり、それは内部サービスである。 サービス名 "xadmin" は予約されており、それは常に内部サービスである。 このサービスにはポート番号を指定しなければならず、 多分 IP ベースのアクセス制御もしなければならないだろう。 なぜならば、これを執筆している時点では、 パスワード保護を何も持たないからである。 このポートに telnet し、xinetd にいくらかの問い合わせをすることができる。
TCPMUX サービス¶
xinetd は RFC 1078 に準拠した TCPMUX サービスをサポートする。 サービスがそれに対応する well-known ポートを持たなくても、 well-known ポートである TCPMUX を通じてアクセスができる。TCPMUX を通じてアクセスされるサービスは、それぞれ /etc/xinetd.conf にサービスエントリーを持つか、もしくは includedir ディレクトリの設定ファイルにサービスエントリがなければならない。
service_name フィールド(各 xinetd の設定ファイルで、サービスの最初で定義される)は xinetd に(RFC 1078 プロトコルによって)渡される文字列に等しくなければならない。 それはリモートのサービス要求者が最初に well-known ポートである TCPMUX に アクセスしたときに渡される。 プライベートなプロトコルは高い確率で一意になるサービス名を使うべきだ。 ひとつの方法は、ドメイン名の前にサービス名を付加することである、
type フィールドは TCPMUX または TCPMUXPLUS のどちらかである。 TCPMUXPLUS が指定された場合、 xinetd はサービスを初期化する前にプロセス呼び出して、 (RFC 1078 で定義される)プロトコルの最初のハンドシェイクを処理する。 type が TCPMUX の場合は、ハンドシェークを遂行するために開始されているサーバが対処する。
サービスが標準的なシステムファイル (RPC サービスなら、 /etc/rpc, RPCサービスでないなら /etc/services など) に無い場合は、 type には UNLISTED も指定する。
これらのサービスに対する socket_type は stream でなければならず、また protocal は tcp でなければならない。
以下は TCPMUX サービス設定のサンプルである。
service myorg_server {
- disable
-
= no
- type
-
= TCPMUX
- socket_type
-
= stream
- protocol
-
= tcp
- wait
-
= no
- user
-
= root
- server
-
= /usr/etc/my_server_exec
}
well-known ポートの TCPMUX を通じてアクセスされる各サービスの サービスエントリの他に、TCPMUX 自身のサービスエントリも xinetd の設定の中に含まれなければならない。 以下のサンプルを見よ:
service tcpmux {
- type
-
= INTERNAL
- id
-
= tcpmux
- socket_type
-
= stream
- protocol
-
= tcp
- user
-
= root
- wait
-
= no
}
注意¶
- 1.
- 以下のサービス属性は、再設定で変更することができない: socket_type, wait, protocol, type である。
- 2.
- 属性 only_from と no_access が(直接、defaultsのどちらでも)指定されなかったサービスは、 アドレスの照合は成功したものとして扱われる (すなわち、アクセスは拒否されない)。
- 3.
- アドレス照合はリモートホストの IP アドレスとを基にしており、 ドメインアドレスには依らない。 長い時間がかかるリモートホストの名前検索を避けられるので、そうなっている (なぜならば、 xinetd は単一スレッドであり、 名前検索はデーモンがその検索を終えるまで、 他の全ての要求を受け付けるのを妨げるからである)。 この枠組の悪い面は、リモートホストの IP アドレスが変わってしまうと xinetd を再設定するまでは、アクセスが拒否されてしまうことである。 アクセスが実際に供されるかどうかは、 新たな IP アドレスが許可されたアクセスにあるかどうかによる。 例えば、ホストの IP アドレスが 1.2.3.4 から 1.2.3.5 に変更され、 only_from が 1.2.3.0 と指定されていれば、アクセスは拒否されない。
- 4.
- ログオプション USERID が指定され、もしリモートホストが ident サーバを動かしてないか、または ident サーバが壊れた返事を送り返してきたら、 サービスフラグ IDONLY が使われない限り、アクセスは拒否されない。
- 5.
- プロセスをフォークし、 それがリモートホストとローカルサーバの間でフィルタとして振舞うことにより、 横取りが機能する。 これは明らかに性能に影響を及ぼすので、 各サービスごとのセキュリティと性能との間の妥協は、あなたに任されている。 以下の表は横取りのオーバーヘッドを示す。 最初の表は様々なデータグラムサイズでの、UDP ベースのサービスにおけるデータグラムあたりのオーバーヘッドである。 TCP ベースのサービスについては、横取りによるバンド幅の減少を計測した。 計測の間は、ある量のデータをクライアントからサーバへ送った (時間のオーバーヘッドは UDP ベースのサービスと同じはずだが、 連続するデータ転送の最初のパケットだけにかかる)。 データ量は表の システムコール数xシステムコールあたりのデータ量 から得られる。すなわち、各 send(2) システムコールはそれほど多くのデータを転送した。 バンド幅の減少は、秒あたりのバイト数と、 横取りが行われなかった場合からの割合で与えられる。 全ての計測は SunOS 4.1 が走る SparcStation IPC で行われた。
- データグラムサイズ(バイト)
- 遅延(ミリ秒)
- --------------------------
- ------------
- 64
- 1.19
- 256
- 1.51
- 1024
- 1.51
- 4096
- 3.58
- 送信バイト
- バンド幅減少
- ----------
- ------------
- 10000x64
- 941 (1.2%)
- 10000x256
- 4,231 (1.8%)
- 10000x1024
- 319,300 (39.5%)
- 10000x4096
- 824,461 (62.1%)
例¶
# # xinetd のサンプル設定ファイル # defaults {
- log_type
-
= FILE /var/log/servicelog
- log_on_success
-
= PID
- log_on_failure
-
= HOST RECORD
- only_from
-
= 128.138.193.0 128.138.204.0
- only_from
-
= 128.138.252.1
- instances
-
= 10
- disabled
-
= rstatd
} # # 注意 1: protocol 属性は必要ない # 注意 2: instances 属性はデフォルト値を上書き # service login {
- socket_type
-
= stream
- protocol
-
= tcp
- wait
-
= no
- user
-
= root
- server
-
= /usr/etc/in.rlogind
- instances
-
= UNLIMITED
} # # 注意 1: instances 属性はデフォルト値を上書き # 注意 2: log_on_success フラグは引き数 # service shell {
- socket_type
-
= stream
- wait
-
= no
- user
-
= root
- instances
-
= UNLIMITED
- server
-
= /usr/etc/in.rshd
- log_on_success
-
+= HOST RECORD
} service ftp {
- socket_type
-
= stream
- wait
-
= no
- nice
-
= 10
- user
-
= root
- server
-
= /usr/etc/in.ftpd
- server_args
-
= -l
- instances
-
= 4
- log_on_success
-
+= DURATION HOST USERID
- access_times
-
= 2:00-9:00 12:00-24:00
} # telnet セッションを、8 メガバイトのメモリーと子プロセスを # 合計 20 CPU 秒に制限 service telnet {
- socket_type
-
= stream
- wait
-
= no
- nice
-
= 10
- user
-
= root
- server
-
= /usr/etc/in.telnetd
- rlimit_as
-
= 8M
- rlimit_cpu
-
= 20
} # # このエントリとその次は、内部サービスを指定する。 # 違うソケットタイプの同じサービスなので、 # 各エントリを唯一に識別するために id 属性を用いる # service echo {
- id
-
= echo-stream
- type
-
= INTERNAL
- socket_type
-
= stream
- user
-
= root
- wait
-
= no
} service echo {
- id
-
= echo-dgram
- type
-
= INTERNAL
- socket_type
-
= dgram
- user
-
= root
- wait
-
= no
} service servers {
- type
-
= INTERNAL UNLISTED
- protocol
-
= tcp
- port
-
= 9099
- socket_type
-
= stream
- wait
-
= no
} # # RPC サービスのサンプル # service rstatd {
- type
-
= RPC
- socket_type
-
= dgram
- protocol
-
= udp
- server
-
= /usr/etc/rpc.rstatd
- wait
-
= yes
- user
-
= root
- rpc_version
-
= 2-4
- env
-
= LD_LIBRARY_PATH=/etc/securelib
} # # リストにないサービスのサンプル # service unlisted {
- type
-
= UNLISTED
- socket_type
-
= stream
- protocol
-
= tcp
- wait
-
= no
- server
-
= /home/user/some_server
- port
-
= 20020
}
関連項目¶
xinetd(1),Postel J., Echo Protocol, RFC 862, May 1983
Postel J., Discard Protocol, RFC 863, May 1983
Postel J., Character Generator Protocol, RFC 864, May 1983
Postel J., Daytime Protocol, RFC 867, May 1983
Postel J., Harrenstien K., Time Protocol, RFC 868, May 1983
M. Lottor, TCP Port Service Multiplexer (TCPMUX), RFC 1078, Nov 1988
StJohns M., Identification Protocol, RFC 1413, February 1993
バグ¶
INTERCEPT フラグが使われなかった場合、 wait が yes で socket_type が stream のときは、 リモートホストアドレスのアクセス制御は行われない。INTERCEPT フラグが使われなかった場合、 wait が yes で socket_type が dgram のサービスの リモートホストアドレスによるアクセス制御は、最初のパケットにのみ行われる。 アクセス制御リストにないホストからのパケットをサーバは受け付けてしまう。 これは RPC サービスの場合に起きる。
環境変数に 空白 を入れる方法がない。
wait が yes で socket_type が stream のとき、 接続が受け付けられた場合のみ、ソケットがサーバへ渡される。
INTERCEPT フラグは、内部サービスとマルチスレッドサービスではサポートされない。
14 June 2001 |