EL SUPERSERVIDOR XINETD

Xinetd es el servidor de los servidores, es decir, un servidor "Padre" que se encarga de dar servicio a
otros servidores que hayan instalados dependiendo de si hay peticiones o no. Pongamos el ejemplo de que tenemos los servidores ftp, ssh y http. Deberiamos tener 3 servidores, ftpd corriendo en el puerto 21, sshd corriendo en el puerto 22 y httpd corriendo en el puerto !. "on #inetd solo tendriamos $% solo servidor que, debidamente configurado, estar&a a la escucha en los puertos 21, 22 y ! a la espera de que le lleguen peticiones. 'i hubiera una petici(n ftp, )inetd ejecutaria el demonio ftpd, atender&a a la petici(n y lo volver&a a descargar. * lo mismo con todos los servidores que tengamos en nuestro equipo, aumentando as& la seguridad del equipo. /etc/services +ste archivo indica los puertos por defecto asociados a cada servicio al igual que su protocolo de transmisi(n ,-"P ( $DP., as& como algunos alias. $n ejemplo de este archivo ser&a/ ft p telnet smtp http pop3 #dmcp linu#conf squid 210tcp 230tcp 210tcp mail !0tcp 222 2223 http 11!0udp pop33 1440tcp 5 0tcp 312 0tcp

+l funcionamiento de )inetd se basa en el tcp_wrappers, sistema que usando los archivos "0etc0hosts.allo2" y "0etc0hosts.deny" env&a la petici(n al demonio tcpd, que si es aceptada, pasa al control del servidor propiamente dicho. )inetd ofrece/ "ontrol de acceso individuali6ado por servicio. "ontrol de acceso basado en intervalos de tiempo. Prevenci(n de ataques por denegaci(n de servicio. 7imitar el n8mero total posible de clientes simult9neos en un servicio. 7imitar el n8mero total de cone#iones que un usuario puede tener en el mismo servicio. 7imitar el n8mero total de servidores. 7imitar el tama:o de los archivos de registro de actividad ,archivos log..

Configurando Xinetd. Para configurar el servidor deberemos editar el archivo "0etc0#inetd.conf". 7a estructura de este archivo es bastante clara. Dividido en secciones, cada secci(n pertenece a un servidor que queremos que controle. ;l principio del archivo e#iste una secci(n por defecto que tendr9 valores que se aplicar9n a todos los servicios que no los indiquemos de forma e#pl&cita/ defau ts ! instances " #$ og%t&'e " S(SLO) aut*'riv og%on%success " +OST PID og%on%fai ure " +OST RECORD , inc udedir /etc /-inetd.d Para especificar una configuraci(n para un servicio debemos poner la linea/ service .no/0re. ! .atri0uto. .o'erador. .va or1. .va or2. ... , Donde tenemos que/ 3 no/0re4 +s el no/0re del servidor y debe ser el mismo que el que hay en el archivo 0etc0services 3 o'erador4 Puede ser < si el atributo toma e#actamente los valores e#presados, 3 < si se eliminan los valores e#presados del conjunto de valores por defecto, y =< cuando se adicionan los valores e#presados a los por defecto. 3 atri0uto4 +specifica el funcionamiento del servicio, que son los siguientes/ 3 2ait/ >ndica si el servicio es multi3hilo ,no. o no ,yes.. +jemplo/ 2ait<yes 3 id/ ;signa un identificador al servicio que por defecto es su propio nombre. $til para servicios que funcionan a trav?s de distintos protocolos. +jemplo/ id<ftpudp 3 soc@etAtype/ -ipo de soc@et que usa para la comunicaci(n. +jemplo/ soc@etAtype<stream 3 disable/ ;ctiva0desactiva un servicio de forma sencilla. +jemplo/ disable<yes 3 protocol/ Protocolo empleado por el servicio. +jemplo/ protocol<tcp 3 user y group/ >D de usuario y grupo del servicio. +jemplo/ user<jose 3 nice/ %ivel de prioridad de ejecuci(n del servidor. +jemplo/ nice<1! 3 server/ Buta al ejecutable del servicio. 7os argumentos de dicho programa se especifican a trav?s del atributo serverAargs. +jemplo/ server< 0usr 0sbin0 in.ftpd 3 onlyAfrom/ +specifica qu? m9quinas tienen acceso al servicio. +jemplo/ onlyAfrom<152.1C .D!02D

3 noAaccess/ Deniega el permiso a las m9quinas especificadas. +ste atributo se relaciona con el anterior por lo que si no aparece en ninguno el acceso es libre y si est9n en los dos se aplica la regla que m9s se ajuste al cliente. +jemplo/ noAaccess<152.1C .D!.1 3 accessAtime/ >ntervalo de tiempo en que estar9 activo el servicio en formato hm3hm. +l valor de "h" es de !323 y "m" es de !315. +jemplo/ accessAtime< /!!3 1 /3! 3 port/ Puerto al que se asocia el servicio. 'i aparece descrito en 0etc0services ambos puertos deben coincidir.+jemplo/ port<1!! 3 logAtype/ Eodo en que se tratar9n las tra6as del servicio. +jemplo/ logAtype<F>7+0var0log0telnetlogs 3 logAonAsuccess y logAonAfailure/ >nformaci(n que se almacena en los logs cuando el servicio comien6a y cuando falla. +jemplo/ logAonAsuccess=<D$B;->G% $'+B>D +n el caso de logAonAsuccess , se pueden indicar cinco valores/ 3 P>D/ %8mero que se le da al proceso servidor cuando #inetd lo crea. 3 HG'-/ Direcci(n >P del equipo remoto que se conecta. 3 +)>-/ +stado de salida del servidor. 3 $'+B>D/ >dentidad del usuario remoto, de acuerdo al BF" 1D13. 3 D$B;->G%/ Duraci(n de la sesi(n. +n el caso de logAonAfailure , se pueden indicar cuatro valores/ 3 HG'-/ Direcci(n >P del equipo remoto que se conecta. 3 $'+B>D/ >dentidad del usuario remoto, de acuerdo al BF" 1D13. 3 B+"GBD/ Becoge tanta informaci(n como sea posible sobre el equipo que se quiere conectar. 3 ;--+EP-/ Begistra todo intento de acceso. 3 bind/ ;sociar el servicio a una interfa6 de red determinada. +jemplo/bind<152.1C .1!!.3 3 instances/ %8mero m9#imo de instancias del servidor que se pueden ejecutar. "ero indica que no hay l&mites. +jemplo/instances<1! 3 perAsource/ "antidad m9#ima de cone#iones permitidas a un mismo cliente. +jemplo/ perAsource<1 3 redirect/ Bedirecciona un servicio -"P a otra m9quina especificando su direcci(n >P o nombre y el puerto por el cual esta va a dar el servicio. 'i se especificara adem9s el atributo server este tendr&a prioridad. +jemplo/ redirect<152.1C .1!!.1 ! 3 include/ Permite incluir otro fichero de configuraci(n. +jemplo/ include<0etc0otro#inetd.conf 3 includedir/ Permite incluir todos los ficheros presentes en un directorio. +jemplo/includedir< 0etc0#inetd.d

+l nombre de servicio que aparece en el encabe6ado de la secci(n despu?s de la palabra service debe coincidir siempre con una entrada del archivo 0etc 0services, de donde se coge alg8n atributo. 'i el servicio no est9 incluido en el archivo 0etc0services, deber9 indicarse el atributo port. 5viso4 +n las distribuciones Bed Hat y otras ,como Eandra@e. el archivo #inetd.conf hace referencia a un directorio ,normalmente a 0etc0#inedt.d mediante la entrada/ ncludedir

/etc/-inetd.d +n este directorio se encuentran archivos separados para cada uno de los servicios manejados por )inetd. "ada uno de estos archivos corresponder9 a una de las secciones vistas anteriormente. 5ctua i6aci7n de configuraciones. "uando se modifica el archivo #inetd.conf e#iste una forma de actuali6ar la configuraci(n sin que los servicios que se est9n ejecutando se vean afectados. 7a forma de reiniciar )inetd es mediante el comando/ /etc/rc.d/init.d/xinetd restart E8e/' o de configuraci7n de servicio Te net service te net ! f ags " REUSE soc9et%t&'e " strea/ :ait " no user " root server " /usr /s0in / in. te netd og%on%fai ure ;" USERID , E8e/' o de configuraci7n de servicio Ta 9 service nta 9 ! disa0 e " &es soc9et%t&'e " dgra/ :ait " &es user " no0od& grou' " tt& server " /usr /s0in / in.nta 9d ,