Linux系统服务之inetd

inetd进程介绍：

inetd程序是一个Linux守护进程。您可能已经知道守护进程是一些特殊的程序：它们在被启动之后，自愿放弃对调用自己终端的控制权。守护进程与系统其余部分的接口只有依靠进程间通信（Interprocess Communication，IPC）通道、或者依靠向系统全局性日志文件（Log File）才能发送数据项。

inetd的角色是作为Telnet和FTP等与网络服务器相关的进程的“超级服务器”。这是一个简单的道理：并不是全部的服务器进程（包括那些接受新的Telnet和FTP连接的进程）都会如此频繁地被调用，以至于必须要有一个程序随时运行在内存中。因此为了避免出现可能有几十种服务都运行在内存中准备被使用的情况，它们都列在inetd的配置文件/etc/inetd.conf中。而代替它们的是inetd监听着进入的连接。这样只需要有一个进程在内存中就可以了。

inetd的另外一个优点是程序员并不想把需要网络连接的进程都编写到系统中去。inetd程序将处理网络代码，并把进入的网络数据流作为各个进程的标准输入（Standard-In，即Stdin）传递到其中。这些进程的输出（Stdout）将会被送回连接到该进程的主机去。

注意：除非你正在进行编程，否则是不需要连接到inetd的Stdin/Stdout功能上。从另一方面来说，如果有人打算编写一个简单的命令脚本程序并让它出现在网络中，就值得深入研究这个极为强大的功能。

1.etc/inetd.conf文件

etc/inetd.conf文件是inetd的配置文件。它的结构很简单：每一行语句代表一种服务。服务定义语句的格式如下所示：

srvce_name sock_type protocol [no]wait user srvr_prog srvr_prog_args

2.安全性与inetd.conf文件

你将会发现在大多数的linux安装中，许多服务在缺省的情况下是打开的。如果你的系统将向因特网开放（包括通过拨号点对点协议被连通），你想做的第一件事就会是把一切都关闭！决不要假设因为你的系统没有对公众进行宣传，别人就不会找到它。从相反的方向看，寻找存在安全性攻击隐患系统的工具软件是既容易找到又容易使用的。

关闭服务的第一个步骤是把etc/inetd.conf文件里所有用不着的服务性说明语句都改为注释语句。

一般来说，你会发现下面的方法更容易使用：先把全部东西都改为注释语句（彻底关闭网络服务），再有选择地打开需要的服务。

在完成对etc/inetd.conf文件的修改之后，需要向守护进程报告其配置文件已经被修改了。这是通过向该守护进程发送HUP信号来实现的。先使用下面的命令找出inetd.conf对应的进程ID：

[ root@ford /root ] # ps auxw | grep inetd | grep -v grep

这个命令的输出类似于下面的内容：

root 359 0.0 0.1 1232 168 ? S Jun21 0 : 00 inetd

输出中的第二列告诉我们进程ID号（这里就是359）。为了发送HUP信号，我们需要使用Kill命令（把这个程序叫做Kill多少有些误导。实际上，它只是向进程发送信号而已。缺省的情况下，它会发出请求某个程序终止运行的信号）。

下面是使用Kill命令发送HUP信号的方法：

$ kil -1 359

应该把上面命令中的359换成从你的系统上得到的进程编号。

1．引言：

它可以为多种服务管理连接,当 inetd 接到连接时，它能够确定连接所需的程序，启动相应的进程，并把 socket 交给它 (服务 socket 会作为程序的标准输入、 输出和错误输出描述符)。 使用 inetd 来运行那些负载不重的服务有助于降低系统负载，因为它不需要为每个服务都启动独立的服务程序。
　　一般说来， inetd 主要用于启动其它服务程序，但它也有能力直接处理某些简单的服务， 例如 chargen、 auth， 以及 daytime。

inetd 是通过rc系统启动的。 inetd_enable 选项默认设为 NO，但可以在安装系统时， 由用户根据需要通过 sysinstall 来打开。

inetd.conf则是inetd的配置文件。 inetd.conf文件告诉inetd监听哪些网络端口，为每个端口启动哪个服务。在任何的网络环境中使用Linux 系统，第一件要做的事就是了解一下服务器到底要提供哪些服务。不需要的那些服务应该被禁止掉，最好卸载掉，这样黑客就少了一些攻击系统的机会。查看 “/etc/inetd.conf”文件，了解一下inetd提供哪些服务。用加上注释的方法（在一行的开头加上#号），禁止任何不需要的服务，再给 inetd进程发一个SIGHUP信号。

inetd提供一种简单的方法是应用程序具有网络功能
　　对于TCP服务器,inetd监听在应用程序已知的端口上,监听链接请求,接受连接,映射链接到标准输入,标准输出和标准错误输出,启动适当的服务器.
　　对于UDP服务器,当UDP服务器的已知端口上数据可读时,inetd要求操作系统通知他,知道inetd启动的服务器中止,inetd再在已知端口上进行下一步操作。

2．超级服务器的工作原理：

由于服务器套接字初始化方式非常类似，所以可以设计一个专门的服务器负责初始化工作，并且它将根据接入端口不同调用相应的服务程序进行工作，这些服务程序在未被接入前都处于睡眠等待状态。采用超级服务器的方式可以让服务器程序采用统一方式管理。

 超级服务器将采用select的方式并发检测在文件/etc/inetd.conf中说明的TCP/UDP端口，一旦发现有客户接入就创建一个子进程。超级服务器inetd是服务接入者，它在创建字进程时候调用exec()载入具体的服务程序。在子进程中关闭倾听套接字，父进程中关闭连接套接字，于是父进程继续检测，子进程开始为客户端进行服务。对于wait服务程序，超级服务器inet载入它时候将其在检测集合中删除，等待该服务结束后才能接入下次服务。服务程序完毕后将发送SIGCHLD信号，超级服务器将其继续加入检测集合。当系统管理员修改超级服务器配置文件后将发送SIGHUP信号，超级服务器将重新初始化。

inetd是监视一些网络请求的守护进程，其根据网络请求来调用相应的服务进程来处理连接请求。

3．/etc/inetd.conf配置文件：

Inetd.conf文件是Linux系统中的重要文件之一。它保存了系统提供internet服务的数据库。通过这个文件，你可以对这些服务加以控制，如打开/关闭某项服务，使它们更为安全的运行等等很多。希望这篇文章能尽量解释地完整。

1）域

在inetd.conf文件中每项有效的条目中都应该包含以下的域。

*服务名

* 套接字类型

* 协议类型

* wait/nowait[.max]

* 用户名[.组]

* 服务程序

* 服务程序的参数

当然如果你要定义Sun-RPC服务，在inetd.conf文件则需要以下的类型域：

* 服务名/版本

* 套接字类型

* rpc/协议类型

* wait/nowait[.max]

* 用户名[.组]

* 服务程序

* 服务程序的参数

服务名是在/etc/services文件中经过定义的有效服务名称(如telnet,echo等)。如果服务被用来定义Sun-RPC服务，它就必须在/etc/rpc文件中定义。

套接字类型域包含以下几种：

* stream - stram

* dgram - datagram

* raw - raw

* rdm - reliabl! y delivered message

* seqpacket - sequenced packet

此域取决于使用何种的套接字类型.

协议类型域必须是已经在/etc/protocols文件中定义过的类型。最常见的是tcp和udp,Sun-RPC服务要在协议前加上“rpc/”(如rpc/tcp或者rpc/udp)

Wait/nowait域只用于数据报套接字，其它的都使用nowait参数。如果服务是多线程的，意味着在与对端建立连接后将释放套接字，inetd进程可以通过些套接字接收更多的消息，这时些用“nowait”条目。如果服务是单线程，表示服务将在同一个socket中处理所有的外来数据报，直到超时，这种情况下使用“wait”条目。Max参数，用一个点与wait/nowait隔开，定义了inetd进程在一分钟之内最大产生的实例数目。

用户域定义了服务的使用者。组参数，通过点与用户名隔开，定义了除/etc/passwd文件中之外的可以运行服务的组ID。

服务程序是在套接字请求时执行的程序的完整路径。如果是inted进程内置的服务，此处应为“internally”。

服务程序参数提供程序运行的所需的参数，同样的，如果是内置服务，此处也为“internally”。

2）服务

现在来看一下不同的服务，以便加深理解。 

 telnet   stream   tcp      ;nowait   root     /usr/sbin/tcpd   in.telnetd

* 服务名:   telnet

* 套接字类型:   stream

* 协议类型:   tcp

* Wait/Nowait[.max]: nowait

* 用户名[.组]:   root

* 服务程序:   /usr/sbin/tcpd

* 参数:   in.telnetd

3） 开启& 关闭 服务

非常简单，只要在想要关闭的服务前面加上一个#，比如想要关闭23端囗，被telnet使用，只要象下面这样。

#telnet   stream   tcp     nowait   root     /usr/sbin/tcpd   in.telnetd

这时，telnet服务已经关闭了，以后，如果我想让朋友通过telnet访问我的计算机，我只需要把#去掉，就象这样。

telnet   stream   tcp     nowait   root     /usr/sbin/tcpd   in.telnetd

这时，telnet服务又被开启，就是这么简单。重新启动inetd进程让改动生效，用下面的命令。

james:~ # killall -HUP inetd

4. 守护进程

有时候在服务程序参数域中，你会看到一些选项，如：

smtp stream   tcp      nowait   root     /usr/sbin/sendmail     sendmail -bs

在上一行的末尾，有“-bs”! ，表明使用b和s参数，这同使用下面的命令有着同样的效果：

hoodl um:~ # sendmail -bs

因此，如果你想为守护进程使用某项参数，只要把它们加入到服务程序参数域就可以了。具体的参数可以通过man进行查询。

5. TCP Wrappers

TCP Wrappers是保护网络服务的应用，通常用在第6列-服务程序域。

telnet   stream   tcp     nowait   root     /usr/sbin/tcpd   in.telnetd

TCP Wrappers使用两个文件，/etc/hosts.allow和/etc/hosts.deny，限制某项服务的使用。Hosts.allow文件内是允许访问服务的主机列表，hosts.deny内含禁止访问服务的主机。