Diferenças

Aqui você vê as diferenças entre duas revisões dessa página.

--- espec:internet_daemon [2008/12/13 08:48] – maziero
+++ espec:internet_daemon [2011/09/06 18:27] (atual) – maziero
@@ Linha 1: / Linha 1: @@
+====== Inetd - Internet Daemon ======
+O número de serviços oferecido por um servidor pode ser grande, mas muitos serviços são solicitados de forma esporádica. Se todos os //daemons// responsáveis por serviços fossem lançados automaticamente na inicialização (//boot//), eles ficariam usando memória e CPU desnecessariamente. Para evitar esse problema, muitos serviços ficam a cargo de um processo especial chamado //Internet Daemon//, ou ''inetd''.
+===== Configuração =====
+Tradicionalmente, o arquivo de configuração ''/etc/inetd.conf'' indica quais os serviços sob a responsabilidade do //Internet Daemon//. Esse //daemon// "ouve" as portas dos serviços que gerencia e, no caso de uma chamada, lança o processo servidor necessário para atendê-la. O arquivo de configuração básico do //Internet Daemon// tem a seguinte forma:
+<code>
+# service type    proto           user    program to launch
+ftp       stream  tcp     nowait  root    /usr/sbin/in.ftpd -l -a
+telnet    stream  tcp     nowait  root    /usr/sbin/in.telnetd
+gopher    stream  tcp     nowait  root    /usr/sbin/gn
+shell     stream  tcp     nowait  root    /usr/sbin/in.rshd
+login     stream  tcp     nowait  root    /usr/sbin/in.rlogind
+talk      dgram   udp     wait    root    /usr/sbin/in.talkd
+</code>
+===== TCP-Wrappers =====
+Um grande problema em relação aos serviços providos à Internet é que qualquer host externo pode acessar um serviço, se este estiver disponível, e o controle de acesso ao serviço fica sob a responsabilidade do próprio daemon que responde por ele. Isso põe em risco a segurança do sistema.
+Para resolver esse problema, o //Internet Daemon// geralmente é usado em conjunto com o sistema chamado //TCP-Wrappers//, permitindo a definição de políticas de acesso de forma integrada para todos os serviços oferecidos através do ''inetd''. Quando o ''inetd'' está sendo usado com //TCP-Wrappers//, seu arquivo de configuração assume uma forma um pouco diferente:
+<code>
+#service type    proto           user    program to launch
+ftp      stream  tcp     nowait  root    /usr/sbin/tcpd in.ftpd -l -a
+telnet   stream  tcp     nowait  root    /usr/sbin/tcpd in.telnetd
+gopher   stream  tcp     nowait  root    /usr/sbin/tcpd gn
+shell    stream  tcp     nowait  root    /usr/sbin/tcpd in.rshd
+login    stream  tcp     nowait  root    /usr/sbin/tcpd in.rlogind
+talk     dgram   udp     wait    root    /usr/sbin/tcpd in.talkd
+</code>
+Como podemos ver, todas as chamadas são interceptadas pelo programa ''tcpd''. Este programa verifica as permissões de acesso descritas nos arquivos ''/etc/hosts.allow'' e ''/etc/hosts.deny'' (localizados no mesmo computador que está executando o //daemon// ''inetd''), para autorizar ou recusar o acesso a cada serviço. A estrutura de um arquivo ''/etc/hosts.allow'' típico é a seguinte:
+<code>
+# daemons    hosts
+in.fingerd : localhost
+in.telnetd : ALL
+in.ftpd    : *.pucpr.br
+</code>
+O procedimento de consulta desses arquivos para cada pedido de conexão é o seguinte:
+  se o pedido de conexão constar em /etc/hosts.allow então
+    autorizar o acesso
+  senão
+    se o pedido de conexão constar em /etc/hosts.deny então
+      negar o acesso
+    senão
+      autorizar o acesso
+    fim se
+  fim se
+Esse procedimento de avaliação de regras permite definir dois grandes tipos de políticas:
+  * **Mostly Open**:
+    * ''hosts.allow'': fica vazio.
+    * ''hosts.deny'' : contém regras de bloqueio específicas.
+  * **Mostly Closed**:
+    * ''hosts.deny'' : bloqueia todos os serviços (regra ''ALL:ALL'').
+    * ''hosts.allow'': contém regras de autorização específicas.
+As possibilidades de regras de acesso oferecidas pelo sistema //TCP-Wrappers// são muitas. Para maiores detalhes consulte a [[man-host-access|página de manual]].
+===== XInetd - Extended Internet Daemon =====
+Versões mais recentes de UNIX substituem o inetd pelo xinetd ([[http://www.xinetd.org|Extended Internet Daemon]]), que dispensa o uso de //TCP-Wrappers// e traz diversas vantagens:
+  * Limitação de conexões:
+    * taxa de conexões recebidas por intervalo de tempo
+    * número de conexões por host
+    * número de conexões por serviço
+  * Controle de acesso mais sofisticado:
+    * Feito pelo próprio daemon, dispensando o TCPWrappers
+    * Por host, IP, domínio ou sub-rede
+    * por horário
+  * Controle de logs:
+    * limitação do tamanho de cada arquivo de log
+    * Nível de logging de cada serviço pode ser configurado de forma independente
+  * Desvio de conexões
+    * Um fluxo TCP pode ser redirecionado para outro host e/ou porta de forma transparente.
+  * Suporte a IPv6
+O daemon ''xinetd'' usa os arquivos de configuração ''/etc/xinetd.conf'' (configuração geral) e ''/etc/xinetd.d/*'' (um arquivo para cada serviço). As entradas nos arquivos de configuração possuem o seguinte formato genérico:
+<code>
+service <service_name>
+{
+   <attribute> < = | += | -= > <value> <value> ...
+   ...
+}
+</code>
+Um exemplo de entrada para o serviço VNC (conexão remota gráfica) com resolução 800x600 (arquivo ''/etc/xinetd.d/vnc-800''):
+<code>
+service vnc
+{
+   disable = no
+   socket_type = stream
+   wait = no
+   user = nobody
+   server = /usr/bin/Xvnc
+   server_args = -inetd -query localhost -once -geometry 800x600 -depth 16
+   nice = 5
+}
+</code>
+Os principais atributos gerais associados a cada serviço são (uma lista completa está disponível na [[man-xinetd.conf|página de manual]]):
+^ parâmetro ^ exemplo ^ Significado ^
+| ''disable'' | ''no'' | habilita o serviço |
+| | ''yes'' | desabilita o serviço |
+| ''socket_type'' | ''stream'' | socket TCP |
+| | ''dgram'' | socket UDP |
+| | ''raw'' | socket IP (baixo nível) |
+| ''wait'' | ''yes'' | espera conclusão da conexão para aceitar novas conexões |
+| | ''no'' | não espera conclusão da conexão para aceitar novas conexões |
+| ''port'' | ''5900'' | porta a usar (caso o nome do serviço não esteja definido em /etc/services ou uma porta não-default deva ser usada) |
+| ''user'' | ''nobody'' | usuário que executa o serviço |
+| ''group'' | ''somegroup'' | grupo que executa o serviço |
+| ''server'' | ''/usr/bin/Xvnc'' | processo que executa o serviço |
+| ''server_args'' | ''-inetd -query localhost -once -geometry 800x600 -depth 16'' | parâmetros do processo servidor |
+| ''log_type'' | ''SYSLOG'' | daemon info |
+| ''FILE'' | ''/var/log/vnc'' | onde armazenar os logs do serviço |
+| ''log_on_success'' | ''PID HOST DURATION'' | informação a logar caso a conexão seja aceita |
+| ''log_on_failure'' | ''HOST'' | informação a logar caso a conexão seja recusada |
+| ''redirect'' | ''server-b.domain.com 5901'' | redireciona os pacotes enviados a este serviço para o host e porta indicados, de forma transparente para o cliente |
+Atributos específicos de controle de acesso:
+^ parâmetro ^ exemplo ^ Significado ^
+| ''only_from'' | ''20.0.0.17''\\ ''200.10.0.0''\\ ''20.10/16''\\ ''server1.domain.com''\\ ''.domain.com'' | indica hosts dos quais conexões são aceitas |
+| ''no_access'' | idem | indica hosts dos quais conexões são negadas |
+Atributos específicos de limitação de uso de recursos (importantes para suportar ataques de negação de serviço):
+^ parâmetro ^ exemplo ^ Significado ^
+| ''instances'' | 10 | número máximo de instâncias simultâneas do serviço |
+| ''per_source'' | 3 | número máximo de instâncias por host de origem |
+| ''nice'' | 15 | prioridade do processo do serviço |
+| ''access_times'' | 02:00-06:00 18:00-22:00 | horários em que o serviço está disponível |
+| ''cps'' | 10 30 | número máximo de conexões por segundo (10) e período de suspensão do serviço (30 segundos) caso o limite seja alcançado |
+| ''max_load'' | 2 | carga máxima do sistema operacional para aceitar novas conexões |
+| ''rlimit_as'' | 5M | limite de memória a ser usado pelo processo servidor |
+| ''rlimit_cpu'' | 30 | limite de tempo de CPU do processo servidor, em segundos |