linuxism

1. 데몬실행모드

  - XINETD데몬 - XINETD모드로 실행이 되는 데몬은 xinetd라는 데몬에 의해 관리되며 필요한 경우에만 메모리로 적재(load)되어 실행이 되어 응답을 한다. 이는 메모리에 항상 상주해 있는 것이 아니므로 standaloone보다는 서버부하를 상대적으로 줄일 수 있다는 장점이 있다.

 

  - Standalone - standalone모드로 실행이 되는 데몬은 독립적으로 실행이 되며 항상 메모리에 상주하여 서비스요청이 있을 때 언제든 바로 응답을 합니다. 즉 빠른 응답속도를 요하는 경우에 이 모드를 사용합니다.

 

구분	XINETD환경서비스	독립(Srandalone)서비스
의미	xinetd 수퍼데몬에 의해 제어되는 서비스들의 데몬	독립적으로 실행되는 서비스들의 데몬
실행방법	요청시 xinetd에 의해 수행됨	독립적인 서비스를 위하여 항상 독립적으로 수행됨
데몬상주여부	xinetd에 의해 로드된 후에 서비스 완료후에는 종료됨	독립적인 서비스를 위하여 항상 메모리에 독립데몬으로 상주해 있음.
접근제어	tcpd에 의해 접근제어됨(/etc/hosts.allow, /etc/hosts.deny 파일로 접근제어 할 수 있음)	tcpd와는 무관하지만 자체 설정파일에 의해 접근제어를 할 수도 있음.
대표적인 데몬	telnetd, ftpd,ipop3d 등	httpd, sendmail,named 등
참고	* 독립적으로 실행되는 데몬들도 xinetd환경으로 변경할 수 있으며 반대도 가능하다.( 5.데몬환경서비스 변경을 참고)

 

* 주의 : /etc/xinetd.d/ 디렉토리내의 서비스파일들에 등록되어 있는 데몬들이 root계정으로 실행이 되고 있는지 꼭 확인을 해봐야 한다. 또한 /etc/xinetd.d/디렉토리내의 각 서비스 파일들에 대하여 일반유저들에게 읽기 권한까지도 빼버려야한다. 이 파일이 일반유저들에게 읽기 권한이 있다면 해당서버에서 어떤 서비스를 하고 있는지를 모두 알수 있을 뿐만 아니라 실행파일의 위치까지도 확인 가능하기 때문이다.

 

그림 1)xinetd.d 디렉토리 파일

2. XINETD 모드의 서비스흐름

  - 서비스 요청 후 서비스가 연결되어 지는 과정(ex : telnet)

 3. XINETD에 관련된 파일목록

 

파일	설명
/etc/xinetd.conf	* xinetd 서비스에 공통적으로 적용되는 주 설정파일
/etc/xinetd.d/*	* xinetd로 서비스될 파일들이 존재하는 디렉토리
/usr/sbin/xinetd	* xinetd 데몬
/etc/services	* 서비스포트 설정파일
/etc/protocols	* 프로토콜 설정파일
/etc/syslog.conf	* 시스템로그 설정파일
/usr/sbin/tcpd	* tcpd데몬
/etc/hosts.allow	* 서비스별 허용목록파일
/etc/hosts.deny	* 서비스별 거부목록파일
/var/log/secure	* tcpd 로그파일
/etc/rc.d/init,d/xinetd	* xinetd 시작/종료 스크립트파일

 

  1) /etc/xinetd.conf 파일

그림 3-1) /etc/xinetd.conf

- 그림 2-1을 보시면 /etc/xinetd.conf 파일의 구성은 크게 두 가지로 나누어 집니다.

  첫 번째로 위의 그림에서는 시작 부분이 짤려서 보이지 않지만 defaults 설정부분입니다. /etc/xinetd.d/디렉토리내에 존재하는 xinetd서비스파일들에 대해 공통적으로 적용하는 설정내용입니다.(설정내용의 의미는 잠시 후 다루겠습니다.)

  두 번째로 “includedir /etc/xinetd.d”로써 xinetd 서비스의 적용을 받는 개별 서비스 설정파일들을 /etc/xinetd.d/디렉토리에서 불러오는 것입니다.

 

2) /etc/xinetd.d/ 파일들의 설정내용

그림 3-2) /etc/xinetd.d/opensshd 파일

- 위의 파일은 /etc/xinetd.d/openssh파일의 내용으로써 xinetd환경하에서 서비스되고 있는 ssh 서비스가 어떻게 서비스 될 것인가를 정의하고 있습니다. 각 행에서 설정될 수 있는 지시자들을 알아 보겠습니다.

 

지시자	설명
service	* 서비스 이름입니다.
disable	* 해당 서비스를 할 실행 할 것인가(no) 아닌가(yes)를 결정합니다. 해당서비스를 부팅시 자동 실행되고자 한다면 no로 지정합니다.
socket_type	* tcp일 경우에는 stream이며 udp일 경우에는 dgram이라고 명시되어 있다.
wait	* xinetd가 서비스 요청을 받은 경우 이후에 즉시 또 다른 요청을 처리할 것인지(no) 아닌지(yes)를 결정합니다. stream일 경우에는 반드시 no이어야 합니다. no는 현재 요청외 다른 접속요청을 새로운 것으로 시작하여 처리하게 됩니다.
user	* 이 서비스를 어떤 사용자 권한으로 서비스 할 것인가를 결정합니다.
server	* 이 서비스를 실행할 때에 어느 위치에 있는 프로그램을 불러와 연결할 것인가를 명시한 것입니다. 반드시 절대경로로 표시합니다.
log_on_failure	* 서버접속에 성공하지 못하였을 때 로그파일에 기록하는 내용들을 설정할 수 있습니다. 여기에는 HOST, USERID, ATTEMPT, RECORD등이 구가로 설정될 수 있습니다. HOST란 접속을 시도한 클라이언트 IP주소를 의미하고, USERID란 접속한 사용자의 ID를 각각 의미합니다. +=는 /etc/xinetd.conf파일의 기본설정에 추가할 항목을 선택하고 -=는 /etc/xonetd.conf파일에서 제외할 항목을 설정합니다.
log_on_success	* 서버접속에 성공하였을 경우에 기록할 내용을 설정할 수 있습니다. 이 설정에는 PID, HOST, USERID, EXIT, SURATION등을 기록할 수 있습니다. PID란 프로세스 ID를 뜻하며 EXIT는 프로세스의 종료상태를 의미하고 DURATION은 연결지속시간을 의미합니다.
only_from	* 서비스 접속  가능한 ip대역을 적어줍니다. 예를 들어 only_from = 192.168.49.0/24 와 같은 경우 192.168.49.0의 네트워크 대역대로 접속가능한 ip가 제한됩니다.
no_access	* only_from과 반대의 개념입니다. 접속불가능한 ip주소를 할당합니다.
instances	* 해당서비스에 접속이 가능한 총 접속자수를 제한합니다.
per_source	* 동일한 호스트에서 해당서비스로의 접속시에 가능한 접속횟수를 지정해줍니다. 예를 들어 per_source = 5와 같다면 동일한 호스트에서 해당 서비스로의 접속이 동시에 5번을 초과할 수 없습니다. 이 서비스는 서비스거부공격(Dos)을 차단하기 위해 사용될 수 있습니다.

 

  3) xinetd에 의한 접속제어

   - 특정 ip나 도메인으로부터 서버로의 telnet, ftp, pop등의 접속을 차단할 수 있습니다.

   - 접속기록이나 접속시도기록을 특정한 파일에 로그로 기록합니다.

   - xinetd는 tcp_wrapper를 내장하고 있기 때문에 xinetd모드에서 실행되는 서비스들은 거의  대부분 tcpd라는 Tcp_Wrapper의 데몬에 의해 접속제어를 받게 됩니다. 다시 말해 개별서비스들의 접근허용을 설정하는 파일은 /etc/hosts.allow이며 거부하는 파일은 /etc/hosts.deny입니다.

 

* /etc/hosts.allow와 /etc/hosts.deny의 설정이 중복이 되었을 경우 /etc/hosts.allow파일의 내용이

 적용됩니다.

 

* 설정 예

sshd : 192.168.49.0/24

proftpd : 192.168.10.0/24 EXCEPT 192.168.10.100

 

그림 3-3) /etc/hosts.allow, deny파일

 

 4. standalone의 서비스를 xinetd형으로 변환시켜보자.

* 현재 standalone타입의 ssh서비스를 xinetd형으로 변환시키겠습니다.

1) xinetd서비스 파일을 생성하자.

  #vi /etc/xinetd.d/opensshd

# default: off # description: OpenSSH server daemon For XINETD service ssh { disable = no flags = REUSE protocol = tcp socket_type = stream instances = 50 wait = no user = root server = /usr/sbin/sshd server_args = -i log_on_success = HOST PID log_on_failure = HOST }

 

2) 현재 inetd에 의해 관리되고 있는 sshd데몬을 정지 혹은 삭제시키자.

- 정지시키셔도 되고 삭제시키셔도 됩니다.

정지 - #chkconfig sshd off

삭제 - #chkconfig sshd --del

* 추가는 chkconfig sshd --add입니다. 확인은 chkconfig --list입니다.

 

그림 4-1) sshd서비스 제거 전

그림 4-2) sshd서비스 제거 후

 

3) 서비스를 추가한다.

    #ntsysv

     [*]opensshd

  

4) reboot로 재 시작 후 확인해 보면 그림 4-3과 같은 형태를 볼 수 있습니다

  - 실행해 보시면 잘 작동됨을 아실 수 있습니다. /etc/hosts.allow파일과 /etc/hosts.deny파일을 수정해 가며 실험해 보시면 ssh서비스가 위 두개 파일의 환경설정에 영향을 받음을 확인 하실 수 있습니다. 물론 재부팅하기 싫으시면 /etc/rc.d/init.d/xinetd restart하셔도 됩니다. 지금까지 위의 포스팅을 잘 살펴보셨다면 왜 standalone을 xinetd로 만들었고 이렇게 만들었을 때 장점과 관리방법등을 충분히 이해하셨을 거라고 생각합니다. 이 외의 telnet이나 기타 다양한 서비스등을 한 번 자신의 타입에 변경시켜 보시길 바랍니다.  

1. Xinetd의 특징
  인터넷 슈퍼데몬을 의미하는 것으로서 sendmail, httpd, 등과 같이 리눅스 시스템에서 실행되는 하나의 독립적인 서비스이다.
즉, xinetd는 그 자체적으로는 하나의 독립 데몬이지만, 여러가지 다른 서비스들을 제어하고 관리한다.

  리눅스에서 xinetd가 존재하는 이유는 시스템의 부하를 줄이기 위해서이다. 예를 들자면 httpd같은 웹 데몬은 웹 클라이언트가 자주 들어올 가능성이 많아 언제든 웹 클라이언트가 들어올 가능성이 많기 때문에 항상 구동되어야 하지만, telnet이나 tftp같은 경우는 아주 가끔 사용하는 데몬이기 때문에 이같은 서비스요청이 있다면 슈퍼데몬이 해당 데몬을 불러오는 역활을 한다. 그리하여 존재하는 모든 데몬이 돌아가는 것보다 슈퍼데몬이 존재하므로서 시스템의 부하를 줄일 수 있다.

2. Xinetd 서비스 관련 파일들
  /usr/sbin/xinetd : xinetd 데몬 파일
  /etc/rc.d/init.d/xinetd : xinetd 시작/종료 스크립트 파일
  /etc/xinetd.conf : xinetd 서비스에 공통적으로 적용되는 설정 파일
  /etc/xinetd.d/파일들 : xinetd 기반 서비스들의 개별 설정 파일들
  /usr/sbin/tcpd : tcp_wrapper 데몬파일 (클라이언트가 xinetd데몬기반 서비스들에게 접근할 때 허가, 거부 담당)
  /etc/host.allow : tcp_wrapper 데몬의 설정 파일 (서비스별 허가 리스트 작성)
  /etc/host.deny : tcp_wrapper 데몬의 설정 파일 (서비스별 거부 리스트 작성)
  /var/log/secure : tcp_wrapper 로그파일 (접근기록 파일)

3. xinetd의 시작과 종료


4. /etc/xinetd.d/파일들 (서비스 개별 설정 파일, telnet 을 예로 들겠음)


5. xinetd 서비스의 접근당담 tcp_wrapper
  tcpd는  /etc/hosts.allow(허가설정파일)와 /etc/hosts.deny(거부설정파일)을 참조하여  특정 아이피나 도메인으로부터 telnet, ftp, pop등을
허가하거나 차단 하고, 접근기록이나 접속시도 기록을 로그로 기록한다. 
 주의해야 할 점은 접근을 허가하거나 차단할 때, xinetd의 하위 데몬뿐만 아니라, 독립실행형 데몬들도 접근제어를 할 수 있다는 점이다. 

 1) 설정 특징
   - 콜론(:)의 왼쪽은 제어할 서비스 명을 기록하고, 오른쪽은 접근제어 대상(호스트, IP, 네트워크주소)등을 기록한다.
   - hosts.allow 내의 설정과 host.deny 내의 설정이 중복 되었을 경우에는 hosts.allow의 설정 내용이 우선 적용 된다.
   - 각 대상 리스트의 나열은 스페이스나 콤마로 구분한다.

  2) 설정의 예
   - /ect/hosts.deny 
 

 - /ect/hosts.allow


6. Telnet 서버 설치 실습
 리눅스를 통해 다른 컴퓨터로 텔넷을 하려면 telnet 패키지가 설치 되어야 하며, 다른 호스트에서 내 리눅스로 텔넷으로 접속하려면
Telnet-server 패키지가 설치 되어야 한다. 주의할 점은 telnet데몬은 xinetd데몬의 제어를 받으므로 xinetd 패키지를 먼저 설치해야 한다.

 - telnet-server 패키지 설치 하기

 Telnet-server 패키지를 구하기 위하여 ftp서버에 접속하여 다운을 받았다.

 - telnet 설정파일 편집하기

 
 - xinetd 데몬의 재시작


- xinetd데몬과 telnet 부팅시 데몬의 활성화 설정




- telnet 방화벽 해제


- 텔넷 접속
-

===================================================================================

xinetd 데몬은 inetd데몬의 단점을 개선한 확장된 데몬이다. 현재 대부분 xinetd데몬을 사용한다.

 

  'xinetd 데몬'은 일명 '수퍼 데몬'이라고도 부른다. 수퍼(super)의 의미는 다른 데몬들의 상위에 존재한다는 뜻으로

xinetd 데몬은 다른 하위의 데몬을 지배(?)하는 상위 데몬이다.

 

주의 할 점이 있는데 'xinetd 데몬'과 'xinetd 타입의 데몬'은 다르다. 'xinetd 데몬' 자체는 'standalone 타입의 데몬'으로 항상 프로세스가 구동되어 있다.

 

xinetd 데몬 자체는 항상 가동되고 있지만, xinetd 데몬이 하는 역할은 자신이 직접 서비스를 하지 않고, 외부에서 특정 서비스를 요청할 경우에 자신에게 종속된 하위 데몬(이를 'xinetd 타입의 데몬'이라 부름)을 구동시킨 후에 그 데몬이 서비스를 하도록 연결시켜 주는 것이다.

그리고 서비스 요청이 종료되면 구동되었던 하위 데몬도 자동으로 종료된다.

 

그래서 xinetd 데몬과 관련된 서비스를 요청 시에는 처음 연결되는 시간이 standalone 타입의 데몬에 비해서 약간 더

걸릴 수 있다. 왜냐하면 xinetd 데몬이 서비스를 수행할 하위 데몬을 새로이 구동하기 위한 시간이 소요되기 때문이다.

대표적인 예로 텔넷서버를 들 수 있다.

 

'xinetd 타입의 데몬'으로 사용하기 적당한 데몬은 가끔 사용되는 데몬이다.

가끔 사용되는 데몬을 항상 메모리에 구동시켜 놓는다면 자원의 낭비를 초래하기 때문이다. 하지만 자주 사용되는 데몬을 xinetd 타입의 데몬으로 설정해 놓는다면, 데몬을 구동하고 종료하는 것을 계속 반복해야하므로 오히려 시스템에 부담을 줘 서비스 속도가 현저히 느려질 수 있다.

 

그래서 FTP 서버의 경우에는 서버가 FTP 서버를 주용도로 사용할 때는 standalone 타입의 데몬으로

그렇지 않고 FTP서비스를 가끔 사용할 경우에는 xinetd 타입의 데몬으로 설정을 변경할 수 있다.

 

xinetd 타입의 데몬은 평상시에는 구동되지 않다가, 서비스를 요청할 때만 xinetd 데몬이 알아서 구동시켜 주는 방식이므로 별도로 서비스를 가동시켜 줄 수는 없다. 즉 "service 서비스명 start" 방식의 명령어를 사용할 수 없다.

 

'xinetd 데몬'의 설정파일은 /etc/xinetd.conf이며, 'xinetd 타입의 데몬'들은 /etc/xinetd.d/ 디렉토리에 들어있다.

이 내부의 설정파일을 수정하면, 반드시 "service xinetd restart" 명령으로 수퍼 데몬(xinetd 데몬)을 재시작해야 한다.

즉, 'xinetd 타입의 데몬'은 재시작할 서비스가 없으므로, 그 상위 데몬인 'xinetd 데몬을' 재시작하는 것이다.

 

xinetd 데몬이 서비스하는 포트는 /etc/services 파일에 설정이 저장되어 있다.

[출처] 데몬 개념, xinetd타입 또는 inetd타입의 데몬 /etc/xinetd.d/ |작성자 요오옹