TCP-оболочки

20.2. TCP-оболочки

Многие системные администраторы UNIX знакомы с использованием библиотеки TCP-оболочек для управления доступа к определённым сетевым службам. Все сетевые службы, управляемые демоном xinetd (так же, как и любые другие программы со встроенной поддержкой libwrap) позволяют использовать TCP-оболочки для управления доступом. Демон xinetd может использовать файлы /etc/hosts.allow и /etc/hosts.deny для настройки доступа к системным службам. Как и следует из имени файла, hosts.allow (разрешить узлам) содержит список правил, разрещающим клиентам подключаться к сетевым службам, управляемым xinetd, а hosts.deny (запретить узлам) содержит правила, запрещающие доступ. Файл hosts.allow имеет преимущество перед файлом hosts.deny. Правила разрешения или запрета доступа могут определяться для отдельного IP-адреса (или имени узла) или для нескольких клиентов сразу. За подробностями обратитесь к Справочному руководству по Red Hat Enterprise Linux и 5 разделу страницы man, посвящённой hosts_access (man 5 hosts_access).

20.2.1. xinetd

Для управления доступом к службам Интернета используется демон xinetd, который является безопасной заменой для inetd. Демон xinetd экономит системные ресурсы, обеспечивает управление доступом и протоколирование, а также может использоваться для запуска серверов специального назначения. Демон xinetd можно использовать для предоставления или запрета доступа только определённым узлам, для предоставления доступа к службе в определённое время, для ограничения количества входящих подключений и/или нагрузки, создаваемой подключениями и т.д.

xinetd работает постоянно и прослушивает все порты служб, которыми он управляет. Когда приходит запрос к одной из управляемых им служб, xinetd запускает соответствующий сервер этой службы.

Файлом настройки демона xinetd является /etc/xinetd.conf, но этот файл содержит только несколько значений по умолчанию и указание включить каталог /etc/xinetd.d. Чтобы включить или отключить службу xinetd, отредактируйте её файл конфигурации в каталоге /etc/xinetd.d. Если параметр disable имеет значение yes, это означает, что служба отключена. Если параметр disable имеет значение no, служба включена. Вы можете отредактировать любой файл конфигурации xinetd или включить/выключить демон, используя средство Настройка служб (Services Configuration Tool), ntsysv или chkconfig. Список сетевых служб, управляемых демоном xinetd можно увидеть, просмотрев содержимое каталога /etc/xinetd.d с помощью команды ls /etc/xinetd.d.