服务(xinetd)开机启动.doc

chconfig 、xinetd进程和tcp_wrappers的使用 一、chkconfig的使用#chkconfig - -list 列出所有开机自动开启的服务#chkconfig - -add NAME 把NAME添加到chkconfig服务中#chkconfig - -del NAME 把NAME服务从chkconfig服务中移除#chkconfig ypbind on 把ypbind加入开机自动启动的行列，默认为2345级别#chkconfig ypbind off 把ypbind服务改为开机自动为off状态#chkconfig - -level 23 ypbind on 把ypbind服务改为开机在23级别自动启动二、xinetd进程的管理xinetd本身是独立守护进程，它管理着非独立守护进程，/etc/xinetd.conf是xinetd的主配置文件，定义服务的工作方式，/etc/xinetd.d/下存放着非独立守护进程的服务文件非独立守护进程服务的生效：#chkconfig SERVICE on|off 开机自动设定为on或off状态#service xinetd restart 当前生效SERVICE服务为on或off下图是/etc/xinetd.conf文件，其中图中的 enable 是指定服务默认是否启用 若=yes则默认为启动=no为默认不启动；disable 也是指定服务默认是否启用，若=no则默认为启动=yes为默认不启动；log_on_failure是指定登录失败后日志中会记录的内容，log_on_success是指定登录成功后日志中记录的内容；no_access指定不允许访问的ip；only_from指定允许访问的ip;其中cps =50 10指单位时间内并发连接服务器的数量达到50时就休息10秒；per_source定义同一个ip最多可以发起的连接数。/etc/xinetd.conf是定义xinetd进程管理的所有非独立守护进程服务，各个非独立守护进程还有定义自己服务的文件，当两个文件有冲突时还以服务自己的文件为准。下图是telnet服务的配置文件，其中socket_type指定套接字类型；user指定此服务由什么用户来执行；server指定执行的命令。下面我们来做一些此文件控制内容的测试，首先我们在192.168.0.141上查看是否安装了telnet包，如果未安装就安装此包，安装后在/etc/xinetd.d/目录下会自动生成以telnet为名字的文件，现在启动生效telnet服务#chkconfig telnet on#service xinetd restart由上图可知telnet服务意启动现在我们在192.168.0.142上连接测试一下现在我们修改telnet文件中田间的规则如下（请注意每次修改telnet文件都要重启xinetd才能生效）此时我们再从192.168.0.142连接一下，可以看到192.168.0.142已经被拒绝了，同时当我们临时改变了一下ip再次连接时就连接上了，所以我们明白当只指定no_access时其他ip默认是可以连接的现在我们修改telnet文件中田间的规则如下（请注意每次修改telnet文件都要重启xinetd才能生效）此时我们再从192.168.0.142连接一下，可以看到192.168.0.142是被允许的，连接成功，当我们改变142的ip为147再连接时就被拒绝了，所以我们明白只指定only_from时，其他ip默认都是被拒绝的现在我们修改telnet文件中田间的规则如下（请注意每次修改telnet文件都要重启xinetd才能生效）现在我们在192.168.0.142上测试一下，可以看到连接被拒绝了，当我们改变了ip以后连接成功了，现在我们明白当only_from和no_access同时定义时，我们取其定义范围的交集三、tcp_wrappers的应用tcp_wrapper管理一些网络服务，控管哪些ip可以连接，哪些ip拒绝连接 先查询安装的tcp_wrappers如下如何查看哪个服务受tcp_wrapper管理我们可以用以下命令，如果包含圆框中的链接则就受tcp_wrapper管理，同时tcp_wrapper还管理所有被xinetd进程管理的非独立进程服务tcp_wrappers是通过/etc/hosts.allow和/etc/hosts.deny文件来控制的，现在我们把刚才改变的/etc/xinetd.d/telnet文件恢复为默认状况来测试一下tcp_wrappers的使用，修改/etc/hosts.allow,请注意圆框内一定要与/etc/xinetd.d/telnet中server的值一致，编辑此文件会直接生效，不需要重启服务现在我们在192.168.0.142上测试一下现在我们改变一下142的ip来测试一下，tcp_wrappers工作时首先读取/etc/hosts.allow如果找到匹配项就会允许使用此服务；如果没有匹配项则读取/etc/hosts.deny文件，在此文件中如果有匹配项就拒绝此主机使用此服务，如果此文件也没有匹配项则默认为可以使用此服务我们也可以把规则都定义在/etc/hosts.allow或/etc/hosts.deny文件中我们来测试一下改变ip为192.168.0.145再来测试一下修改/etc/hosts.allow如下图，spawn在连接时执行一个程序，其中执行使用的命令要写全路径，如：/bin/echo ，其中的“ %c %s ”为命令替换（%c是客户端信息 %a是客户端地址 %A是服务器端地址 %d服务器端的进程名 %p服务进程的id号 %h是客户端的主机名）从192.168.0.142上连接141在141上查看/var/log/tcp_wrappers.log文件修改/etc/hosts.allow如下图，其中twist是命令替换，把前面的替换为后面来