Como instalar e configurar um serviço de exemplo com xinetd no RHEL 8 / CENTOS 8 Linux
- 3012
- 738
- Leroy Lebsack
XINETD, ou o Daemon Services de Internet estendido, é o chamado super servidor. Você pode configurá -lo para ouvir no local de muitos serviços e iniciar o serviço que deve lidar com uma solicitação de entrada somente quando ele realmente chegar ao sistema - salvando recursos. Embora isso possa não parecer um grande negócio em um sistema em que o tráfego é relativamente permanente, esse serviço na frente de outra abordagem tem algumas vantagens legais, como log ou controle de acesso.
Neste artigo, instalaremos o Xinetd em um Rhel 8 / CentOS 8, e colocaremos o sshd
Daemon sob seu cuidado. Depois de verificar a configuração, vamos ajustar a configuração um pouco para ver o controle de acesso em ação.
Neste tutorial, você aprenderá:
- Como instalar Xinetd
- Como configurar o SSHD no RHEL 8 / CENTOS 8 como um serviço XINETD
- Como permitir o acesso apenas de uma rede específica para o serviço SSHD de Xinetd
- Como auditar o tráfego das entradas de log do Xinetd
Requisitos de software e convenções usadas
Categoria | Requisitos, convenções ou versão de software usada |
---|---|
Sistema | RHEL 8 / CENTOS 8 |
Programas | xinetd 2.3.15-23, OpenSsh 7.8p1 |
Outro | Acesso privilegiado ao seu sistema Linux como raiz ou através do sudo comando. |
Convenções | # - requer que os comandos Linux sejam executados com privilégios root diretamente como usuário root ou por uso de sudo comando$ - Requer que os comandos do Linux sejam executados como um usuário não privilegiado regular |
Como instalar o serviço XINETD em Red Hat 8 Instruções passo a passo
Xinetd
pode ser encontrado nos repositórios básicos após a criação dos repositórios oficiais de gerenciamento de assinaturas. O sshd
O servidor está instalado em qualquer Red Hat (e praticamente qualquer distribuição Linux) por padrão.
Tenha em mente que
sshd
será desligado durante esta configuração. Não tente concluir este guia em um sistema que você pode acessar apenas com SSH; caso contrário, você perderá sua conexão com o sistema no momento em que desligar o SSHD para iniciar o servidor Xinetd. - Punho precisamos instalar o
xinetd
Daemon. UsaremosDNF
:# dnf install xinetd
- Se, por algum motivo
OpenSsh
pacote da mesma maneira que acima:# dnf install OpenSsh
- Xinetd vem com um arquivo de configuração padrão
/etc/xinetd.conf
, bem como alguns exemplos interessantes no/etc/xinetd.d/
diretório, todos desativados por padrão. Com um editor de texto comovi
ouNano
, Vamos criar um novo arquivo de texto/etc/xinetd.d/ssh
com o conteúdo a seguir (observe que a nova linha após o nome do serviço é obrigatório):
cópia deServiço ssh desabille = no soket_type = stream protocol = porta tcp = 22 wak
- Se o
sshd
O servidor está em execução no sistema, precisamos detê -lo, caso contrárioxinetd
Não é possível vincular à porta TCP 22. Este é o passo em que você será desconectado se estiver conectado via SSH.# SystemCtl Stop sshd
Se planejarmos usar o sshd em Xinetd a longo prazo, também podemos desativar o
Systemd
Serviço para isso, para impedir que ele comece na hora da inicialização:SystemCTL Desative SSHD
- Agora podemos começar
xinetd
:# SystemCtl Start Xinetd
E Startup de ativação opcional na hora da inicialização:
# SystemCtl Ativar xinetd
- Após o início do XINETD, podemos fazer login com SSH, pois nossa configuração básica não contém nenhuma restrição adicional. Para testar o serviço, pedimos login
LocalHost
:# ssh localhost root@senha do localhost: Último login: sol 31 de março 17:30:07 2019 de 192.168.1.7 #
- Vamos adicionar outra linha a
/etc/xinetd.d/ssh
, pouco antes da pulseira de fechamento:[…] Servidor =/usr/sbin/sshd server_args = -i somente_from = 192.168.0.0
Com esta configuração, restringimos o acesso apenas do segmento de rede 192.168.*.*. Precisamos reiniciar o XINETD para essa mudança de configuração para entrar em vigor:
# SystemCtl reiniciar xinetd
- Nossa máquina de laboratório tem mais de uma interfaces. Para testar a restrição acima, tentaremos conectar -se para conectar a uma interface que não é permitida pela configuração do XINETD e uma que é realmente permitida:
# HostName -i Fe80 :: 6301: 609f: 4a45: 1591%ENP0S3 Fe80 :: 6F06: DFDE: B513: 1A0E%ENP0S8 10.0.2.15 192.168.1.14 192.168.122.1
Tentaremos abrir a conexão do próprio sistema, para que nosso endereço IP de origem seja o mesmo que o destino para o qual estamos tentando nos conectar. Portanto, quando tentamos nos conectar a
10.0.2.15
, Não temos permissão para conectar:# SSH 10.0.2.15 SSH_EXCHANGE_IDENTIFICAÇÃO: Leia: Redefinição de conexão por pares
Enquanto o endereço
192.168.1.14
está dentro do intervalo de endereço permitido. Obteremos o prompt de senha e podemos fazer o login:# SSH 192.168.1.14 [email protected] de 14:
- Como não alteramos a configuração padrão de registro, nossas tentativas de login (ou com outras palavras, nossas tentativas de acessar o serviço XINETD) serão registradas para
/var/log/mensagens
. As entradas de log podem ser encontradas com um simplesgrep
:gato/var/log/mensagens | Grep Xinetd 31 de março 18:30:13 RHEL8LAB XINETD [4044]: Iniciar: SSH PID = 4048 de = :: ffff: 10.0.2.15 mar 31 18:30:13 RHEL8LAB XINETD [4048]: Falha: endereço ssh de = :: ffff: 10.0.2.15 mar 31 18:30:13 rhel8lab xinetd [4044]: saída: status ssh = 0 pid = 4048 duração = 0 (s) mar 31 18:30:18 rhel8lab xinetd [4044]: start: ssh pid = 4050 de = de = de = :: ffff: 192.168.1.14
Essas mensagens facilitam a saber como nossos serviços acessados. Embora existam muitas outras opções (incluindo a limitação de conexões concorrentes ou definir timeouts após conexões fracassadas para impedir os ataques do DOS), essa configuração simples mostra o poder deste super-servidor que pode facilitar a vida do Sysadmin-especialmente lotado e voltado para a Internet, voltado para a Internet, voltado para a Internet, voltado para a Internet, voltado para a Internet, que pode sistemas.
Tutoriais do Linux relacionados:
- Coisas para instalar no Ubuntu 20.04
- Uma introdução à automação, ferramentas e técnicas do Linux
- Manipulação de big data para diversão e lucro Parte 1
- Comparando Linux Apache Prefork vs Worker MPMS
- Como configurar um servidor OpenVPN no Ubuntu 20.04
- Loging e auditoria avançados no Linux
- Coisas para fazer depois de instalar o Ubuntu 20.04 fossa focal linux
- Mint 20: Melhor que o Ubuntu e o Microsoft Windows?
- Como exportar repositórios com o Git-Daemon
- Mastering Bash Script Loops
- « Instale e configure o Haproxy no RHEL 8 / CENTOS 8 Linux
- Como atualizar o Ubuntu para 19.04 DUCO DINGO »