Es gibt drei Dienste, die nur für xinetd verwendet werden. Diese sind weder in /etc/rpc, noch in /etc/services zu finden und müssen das UNLISTED Flag setzen (neben dem INTERNAL Flag, welches anzeigt, dass sie xinetd Dienste sind).
- servers: Auskunft über die gerade laufenden Server
- services: liefert Informationen über die angebotenen Dienste, ihre Protokolle und Ports
- xadmin: bietet Funktionen der beiden oben genannten Dienste
Es ist offensichtlich, dass durch diese Dienste das System verletzbarer wird. Sie stellen wichtige Informationen zu Verfügung. Zur Zeit gibt es keine Sicherheitsmechanismen für den Zugriff auf diese Dienste (etwa Passwortschutz). Sie sollten nur in der Einrichtungsphase verwendet werden. Zunächst wird der Zugriff auf sie in dem Abschnitt defaults generell gesperrt:
defaults {
...
disabled = servers services xadmin
...
}
|
Bevor sie dann aktiviert werden sollten einige Vorkehrungen getroffen werden:
- Der Rechner, auf dem xinetd läuft, sollte der einzige Rechner sein, dem es erlaubt ist, die Dienste zu nutzen
- Die Anzahl der gleichzeitig erlaubten Serverinstanzen sollte eins sein
- Zugegriffen werden darf nur von dem Rechner aus, auf dem der Server läuft.
Hier ein Beispiel für die Konfiguration des xadmin Dienstes. Die Einstellung der beiden anderen Dienste erfolgt analog, bis auf die Portnummer natürlich.
service xadmin
{
type = INTERNAL UNLISTED
port = 9100
protocol = tcp
socket_type = stream
wait = no
instances = 1
only_from = 192.168.1.1 #charly
}
|
Der Dienst xadmin bietet fünf Befehle:
- help ...
- show run : gleicht dem Dienst servers und gibt Auskunft über die zur Zeit laufenden Server
- show avail : gleicht dem Dienst services und informiert über die verfügbaren Dienste (und ein wenig mehr)
- bye oder exit ...
Das System kann auch ohne diese Dienste getestet werden. Befehle, wie netstat, fusert, lsof geben ebenfalls einen Überblick über das, was auf dem Rechner vonstatten geht, ohne ihn ein wenig unsicherer durch die Verwendung der Dienste zu machen!
|