tcp_wraper&xinetd 和telnet

tcp_wraper&xinetd 和telnet
一、xinetd简介

1、什么是xinetd

xinetd：eXtended InterNET Daemon 扩展的互联网守护程序
xinetd是新一代的网络守护进程服务程序，又叫超级守护进程，常用来管理多种轻量级Internet服务。xinetd提供类似于inetd + tcp_wrapper的功能，但是更加强大和安全。

2、Xinetd的缺点

当前最大的缺点是对RPC支持的不稳定，但是可以启动protmap，使它与xinetd共存来解决这个问题。

3、使用xinetd启动守护进程
原则上任何系统服务都可以使用xinetd，然而最适合的应该是那些常用的网络服务，同时，这个服务的请求数目和频繁程度不会太高。像DNS和Apache就不适合采用这种方式，而像FTP、Telnet、SSH等就适合使用xinetd模式。

二、xinetd的使用

llinux上有两类服务：

　　standalone : 独立守护进程
　　transient ：非独立守护进程依赖于超级进程 xinetd

xinetd为接收用户请求较少的服务专门提供监听功能，有请求时，xinetd临时地启动相应服务并响应请求，结束后又关掉相应的服务。

这种被xinetd管理的服务叫非独立守护进程又被称为瞬时守护进程：他们无需定义在运行级别下，只需要一次性地定义xinetd的运行级别

能自我管理，无需xinetd提供监听服务的进程叫独立（standalone）守护进程
[root@Node4 xinetd.d]# chkconfig --list xinetd #xinetd默认开机运行 xinetd 0:off 1:off 2:off 3:on 4:on 5:on 6:off [root@Node4 ~]# chkconfig --list . . . #省略了独立守护进程 xinetd based services: #基于xinetd的服务 chargen-dgram: off chargen-stream: off daytime-dgram: off daytime-stream: off discard-dgram: off discard-stream: off echo-dgram: off echo-stream: off rsync: off tcpmux-server: off telnet: on time-dgram: off time-stream: off
1、那如何启动基于xinetd的服务？

例如，我想启动rsync服务

在/etc/inetd.d/目录下每个被xinetd管理的服务都有一个配置文件：

配置文件主要有两部分 :
1、全局配置（服务的默认配置）

2、服务配置

service <service_name>

　　{
　　　　<attribute> <assign_op> <value> <value> ...
　　　　　　...
　　}
xinetd --> (n个非独立进程)
/etc/xinetd.conf
/etc/xinetd.d/*

[root@Node4 ~]# cd /etc/xinetd.d [root@Node4 xinetd.d]# ls chargen-dgram daytime-stream echo-dgram tcpmux-server time-stream chargen-stream discard-dgram echo-stream telnet daytime-dgram discard-stream rsync time-dgram
[root@Node4 xinetd.d]# cat rsync # default: off # description: The rsync server is a good addition to an ftp server, as it # allows crc checksumming etc.
service rsync { disable = yes #是否禁用，改成no就启用了，无需重启xinetd flags = IPv6 socket_type = stream wait = no user = root server = /usr/bin/rsync server_args = --daemon log_on_failure += USERID } #也可以直接使用chkconfig设置 [root@Node4 xinetd.d]# chkconfig --list|grep rsync rsync: on [root@Node4 xinetd.d]# chkconfig rsync off [root@Node4 xinetd.d]# chkconfig --list|grep rsync rsync: off [root@Node4 xinetd.d]# cat rsync # default: off # description: The rsync server is a good addition to an ftp server, as it # allows crc checksumming etc. service rsync { disable = yes #chkconfig命令也是修改这个值 flags = IPv6 socket_type = stream wait = no user = root server = /usr/bin/rsync server_args = --daemon log_on_failure += USERID }
SYSLOG :专门用于记录日志的服务（rsyslogd系统日志,klogd内核日志）

SOCKET服务三种： tcp/udp/rpc（远程过程调用）

　　　　portmap 提供rpc服务
　　　　nfs 利用rpc服务

man xinetd.conf 可查看：

* 基本访问控制

only_from 仅允许  例：only_from = 172.16.22.1 only_from = 172.16.22.1/16

　　　　IP
　　　　NETWORK
　　　　HOSTNAME : FQDN
　　　　DOMAIN : 域名

no_access 不允许  例：no_access = 172.16.22.1 no_access = 172.16.22.1/16

备注：两者同时使用，一般谁的匹配范围小谁生效，但不建议同时使用。

* 基于时间段的访问控制

access_times = hh:mm-hh:mm

access_times  例：access_times = 10:00-16:00

* 基于资源的访问控制

cps  能限制每秒钟客户端能启动服务的个数(带两个参数:每秒连接数的最大值；超出最大连接数后临时禁用的时长)  例：cps = 50 5

per_source  能限制每个客户端能启动的最大服务器数目例：per_source = 20

instances  能限制客户端能启动的最大服务器数目总数例：instances = 200

* 功能完备的log功能，即可以记录连接成功也可以记录连接失败的行为

　　　　type_log type_log=FILE /var/log/ftp.log

* 将某个服务绑定在特定的系统接口上，从而能实现只允许私有网络访问某项服务
　　　　 bind  例：bind = 172.16.22.1
向启动的server传递参数：
server_args =
欢迎语：
banner =

我们可以总结出：

非独立守护进程和独立守护进程不一样，非独立守护进程使用chkconfig既然设置开机是否运行，也设置服务当前开启和关闭，而独立守护进程chkconfig是仅设置开机在哪些运行级别下是否运行

瞬时守护进程依赖于xinetd监听端口，当xinetd服务没启动时，非独立守护进程启动着也没用
[root@Node4 ~]# service xinetd status xinetd (pid 1637) is running... [root@Node4 ~]# ss -tunlp|grep :23 [root@Node4 ~]# chkconfig telnet on [root@Node4 ~]# ss -tunlp|grep :23 tcp LISTEN 0 64 :::23 :::* users:(("xinetd",1637,5)) [root@Node4 ~]# service xinetd stop Stopping xinetd: [ OK ] [root@Node4 ~]# service xinetd status xinetd is stopped [root@Node4 ~]# chkconfig --list|grep telnet telnet: on [root@Node4 ~]# ss -tunlp|grep :23 [root@Node4 ~]#
Telnet服务：
telnet服务之后,默认是不开启服务,修改文件/etc/xinetd.d/telnet来开启服务：注：如有则修改,第一次修改,此文件若不存在,可自己vim创建修改：修改 disable = yes 为 disable = no 修改后的telnet文件为： # default: yes # description: The telnet server servestelnet sessions; it uses # unencrypted username/password pairs for authentication. service telnet { flags = REUSE socket_type = stream wait = no user = root server =/usr/sbin/in.telnetd
# log_type = FILE /var/log/telnet.log 自定义 log_on_failure += USERID （ +=：在默认基础值上再增加一个选项） #失败是记录日志格式 disable = no }
测试telent，输入ip+用户名+密码登陆（正常情况下）：

我的出错了（linux root用户无法telnet登录），使用root登录一直提示Login incorrect，解决办法:

键入命令 tail /var/log/secure 查看日志如下：

日志中倒数的三行就是我上次登录失败的信息。看倒数第三行pam_securetty提示 access denied（拒绝访问）：tty pts/3 is not secure（终端 pts/3 不安全）。
这时我们需要知道pam_securetty是啥，首先你要知道pam是啥，百度一下好多博主给了很详细的解释。登录系统也是要调用pam模块，而登录验证就在/etc/pam.d/login文件中配置。打开这个文件不出意外你会看到有一行中包含这个pam_securetty.so标记。然后使用man工具查看 man pam_securetty结果如下：

作用是对root用户的登录进行限制。
description第一行解释说：pam_securetty是一个pam模块，他要对root用户的登录进行校验，保证root登录的tty（终端）是安全的。那么什么样的终端才是安全的呢– –as defined by the listing in /etc/securetty(在这个文件里面列出来的才是安全的)。
所以结合上面的错误日志以及这段解释应该大概明白了，root登录失败的原因是那个终端“pts/3”没有在/etc/securetty这个文件里列出。所以我们打开/etc/securetty新建一行按照原来的格式加入“pts/3”。

然后重启telnet服务。此时root用户就可以再远程使用telnet登录了。

service xinetd restart

systemctl restart xinetd.service

11===》设置服务开机启动：

chkconfig --level 35 xinetd on

systemctl enable xinetd.service

12===》怎么退出telnet：

（1）比较多的协议支持quit命令，以telent界面上键入该命令后，系统会自动断开与远程的连接

（2）如果不嫌多一步可以考虑用CTRL+]键，这时会强制退到telnet命令界面下，再用quit退出就行了，百试百灵。

（3）其它就是用CTRL +C或CTRL+D两种方式来强行断开与远程的连接，但能支持这种命令的比较少（反正我的电脑是不支持这种方式）。最后的方法就是关掉telnet的窗口。

CentOS安装telnet服务和xinetd服务和iptables和linux运行级别

https://blog.csdn.net/typa01_kk/article/details/46604967
三、tcp_wrapper

1、tcp_wrapper简介

tcp_wrapper tcp包装器，

是一种访问控制工具，类似于iptables，可以作访问控制。

  tcp_wrapper只能对基于tcp协议的服务作访问控制，但并不是所有基于tcp协议的服务都能实现用tcp wraper作访问控制。

2、tcp_wrapper工作机制

守护进程：tcpd，也可以说tcp_wrapper是一个库，程序依赖于tcp_wrapper就表明接受tcp_wrapper控制

配置文件：/etc/hosts.allow,/etc/hosts.deny

注意：

并非所有服务均能由tcp_wrapper控制

判断某服务程序是否能由tcp_wrap控制

动态编译：

  ldd命令检测其是否链接至libwrap库上即可

  libwarp.so.0 =>/lib64/libwarp.so.0
```
[root@Node1 ~]# ldd `which sshd`|grep libwrap 
	libwrap.so.0 => /lib64/libwrap.so.0 (0x00007fd7dbe27000)
```
静态编译：

string /path/to/program

strings `which porgram` | grep host

如果出现以下某项说明也接受tcp_wrapper控制

hosts.allow

hosts.deny

tcp_wrapper实现访问控制主要依靠两个文件，一个是/etc.hosts.allow文件，另一个是/etc/hosts.deny文件从文件的名字上可以理解：一个是定义允许的，一个是定义拒绝的。那这两个文件生效的次序是怎样的呢？

说明：如图所示，N表示没有匹配的规则，Y表示有匹配的规则，OK表示允许访问，DENY表示拒绝访问。

匹配机制：

1.先检查/etc/hosts.allow,如果被允许，则直接放心

2.如果/etc/hosts.allow没有匹配项，则检查/etc/hosts.deny，如果被拒绝，则禁止访问；

3.如果二者均无匹配，则放行

3、tcp_wrapper配置

配置文件语法格式：

   daemon_list：client_list [:options]

进程列表：客户端列表

daemon_list的格式：

　　Daemon_list 要写的可执行程序的二进制文件名。例ssh的二进制文件名sshd，http的二进制文件名为httpd

应用程序名称（不是进程名），如果有多个，用逗号分隔即可

ALL：匹配所有的列表

client_list:

ip地址：172.16.100.100

　　　　etwork address 不能使用长度格式，只能使用完整长度格式。例：172.16. 172.16.0.1/255.255.0.0  但不能使用172.16.0.1/16

主机名：www.magedu.com

网络地址/子网掩码：掩码仅允许使用长格式，不允许使用CIDR格式

172.16. 表示172.16.0.0/255.255.0.0

[:options]

在hosts.allow文件中使用deny选项：表示在hosts.allow文件中定义拒绝规则

在hosts.deny文件中使用allow选项：表示在hosts.deny文件中定义放行规则

tcp_wrapper有几个内置的宏:

用于client_list的有：ALL，KNOWN(主机名能正常解析的)，UNKNOWN(主机名不能正常解析)，PARANOID(主机名正反项解析不匹配的)

用于daemon_list的有：ALL

  EXCEPT：除了不包含的意思。可以用户client和daemon之中，起到排除功能
```
例子：

in.telnetd:  172.16.  EXCEPT  172.16.251.105
 
in.telnetd: 172.16. :deny       # 表示在deny这个172.16.0.0网段中的主机
```
spawn ：启动

  发起执行一条命令的意思，可以用来记录日志

%c：客户端信息 user@host

%s：服务端信息 server@host

%h：客户端主机名

%p：服务器上的进程PID

例：ssh允许172.16.0.0/16网段访问,记录日志。

sshd:172.16. :spawn echo ”someone login attempt from%c to %s” >> /var/log/tcpwrapper.log



man 5 hosts_access:获取其完整帮助信息

注意：

spaw要定义在客户端被哪个文件拒绝的那个文件里才生效

echo的信息无需加引号，否则，命令替换可能不会进行
[root@Node1 ~]# cat /etc/hosts.deny # # hosts.deny This file contains access rules which are used to # deny connections to network services that either use # the tcp_wrappers library or that have been # started through a tcp_wrappers-enabled xinetd. # # The rules in this file can also be set up in # /etc/hosts.allow with a 'deny' option instead. # # See 'man 5 hosts_options' and 'man 5 hosts_access' # for information on rule syntax. # See 'man tcpd' for information on tcp_wrappers # sshd: 192.168.10.5 : spawn echo `date` login attempt from %c to %s >> /var/log/tcp_wrapper.log [root@Node1 ~]# cat /var/log/tcp_wrapper.log Sun Feb 12 12:45:59 CST 2017 login attempt from 192.168.10.5 to sshd@192.168.10.1
练习:

使用tcp_wrapper控制vsftp服务仅允许172.16.0.0网络中的主机访问，但要拒绝172.16.200.中的所有主机，对所有的拒绝访问尝试使用记录日志
相关阅读:
rpm常见命令使用说明
 终端传值给Makefile、Makefile传值给C++代码
 redis实现异步队列
 redis实现分布式锁
 正则表达式
 nginx安装
 metaq
zeromq
ActiveMq
http压力测试
原文地址：https://www.cnblogs.com/liuzhiyun/p/11255167.html