（2）xinetd模式

    从守护进程的概念可以看出，对于系统所要通过的每一种服务，都必须运行一个监听某个端口连接所发生的守护进程，这通常意味着资源浪费。为了解决这个问题，Linux引进了“网络守护进程服务程序”的概念。Redhat Linux 9.0使用的网络守护进程是xinted（eXtended InterNET daemon）。和stand－alone模式相比xinted模式也称 Internet Super－Server（超级服务器）。xinetd能够同时监听多个指定的端口，在接受用户请求时，他能够根据用户请求的端口不同，启动不同的网络服务进程来处理这些用户请求。可以把xinetd看做一个管理启动服务的管理服务器，它决定把一个客户请求交给那个程序处理，然后启动相应的守护进程。xinetd模式工作原理见图6。

图6 xinetd工作模式

    和stand－alone工作模式相比，系统不想要每一个网络服务进程都监听其服务端口。运行单个xinetd就可以同时监听所有服务端口，这样就降低了系统开销，保护系统资源。但是对于访问量大、经常出现并发访问时，xinetd想要频繁启动对应的网络服务进程，反而会导致系统性能下降。察看系统为Linux服务提供那种模式方法在Linux命令行可以使用pstree命令可以看到两种不同方式启动的网络服务。一般来说系统一些负载高的服务：sendmail、Apache服务是单独启动的。而其他服务类型都可以使用xinetd超级服务器管理。守护进程的分类：系统守护进程：如atd、crond、lpd、syslogd、login等。网络守护进程：如sshd、httpd、sendmail、xinetd等。

    查看目前运行的守护进程树可以使用命令：“pstree”。pstree指令用ASCII字符显示树状结构，清楚地表达程序间的相互关系。如果不指定程序识别码或用户名称，则会把系统启动时的第一个程序视为基层，并显示之后的所有程序。若指定用户名称，便会以隶属该用户的第一个程序当作基层，然后显示该用户的所有程序。主要命令选型：

　-a 　显示每个程序的完整指令，包含路径，参数或是常驻服务的标示。
　-c 　不使用精简标示法。
　-G 　使用VT100终端机的列绘图字符。
　-h 　列出树状图时，特别标明现在执行的程序。
　-H<程序识别码> 　此参数的效果和指定"-h"参数类似，但特别标明指定的程序。
　-l 　采用长列格式显示树状图。
　-n 　用程序识别码排序。预设是以程序名称来排序。
　-p 　显示程序识别码。
　-u 　显示用户名称。
　-U 　使用UTF-8列绘图字符。
  pstree 输出界面见图7()内是进程号。

图7 pstree 输出界面

    xinetd提供类似于inetd+tcp_wrapper的功能，但是更加强大和安全。xinetd(eXtended InterNET services daemon)提供类似于inetd+tcp_wrapper的功能，但是更加强大和安全。它能提供以下特色：

• 支持对tcp、ucp、RPC服务(但是当前对RPC的支持不够稳定) 。
• 基于时间段的访问控制 。
• 功能完备的log功能，即可以记录连接成功也可以记录连接失败的行为。 
• 能有效的防止DoS攻击(Denial of Services) 。
• 能限制同时运行的同意类型的服务器数目 。
• 能限制启动的所有服务器数目 。
• 能限制log文件大小 。
• 将某个服务绑定在特定的系统接口上，从而能实现只允许私有网络访问某项服务 。
• 能实现作为其他系统的代理。如果和ip伪装结合可以实现对内部私有网络的访问。

    原则上任何系统服务都可以使用xinetd，然而，我认为，最适合应该是哪些常用的internet服务，同时，这个服务的请求数目和频繁程度不会太高。象DNS和Apache就不适合采用这种方式，而象Ftp、telnet、 SSH等就很适合使用xinetd方式，系统默认使用xinetd的服务可以分为如下几类：

　　1、标准internet服务：telnet ftp
　　2、信息服务：finger netstat systat
　　3、邮件服务：imap imaps pop2 pop3 pops
　　4、RPC服务：rquotad rstatd rusersd sprayd walld
　　5、BSD服务：comsat exec login ntalk shell talk
　　6、内部服务：chargen daytime echo servers services time
　　7、安全服务：irc
　　8、其他服务：name uucp

    Red Hat 中xinetd 的配置文件：主配置文件：/etc/xinetd.conf，每一个由xinetd启动的服务在目录/etc/xinetd.d/下都有一个以服务名称命名的配置文件。在主配置文件/etc/xinetd.conf中将/etc/xinetd.d目录下的所有文件的内容使用 includedir /etc/xinetd.d语句包含进来。xinetd的配置选项见表－1。

表 1. xinetd的指示符

    xinetd能有效的防止拒绝服务攻击(Denial of Services)原理：

    （a）限制同时运行的进程数：

    通过设置instances选项设定同时运行的并发进程数：
instances＝20
    当服务器被请求连接的进程数达到20个时，xinetd将停止接受多出部分的连接请求。直到请求连接数低于设定值为止。

    （b）限制一个IP地址的最大连接数：

    通过限制一个主机的最大连接数，从而防止某个主机独占某个服务。
per_source＝5
    这里每个IP地址可以连接单个IP地址的连接数是5个。

    （c）限制负载：

    xinetd还可以使用限制负载的方法防范拒绝服务攻击。用一个浮点数作为负载系数，当负载达到这个数目的时候，该服务将暂停处理后续的连接：
max_load = 2.8
    上面的例子中当一项系统负载达到2.8时，所有服务将暂时中止，直到系统负载下降到设定值以下。说明要使用这个选项，编译时要加入--with-loadavg ，xinetd将而已处理max-load配置选项。从而在系统负载过重时关闭某些服务进程，来实现某些拒绝服务攻击。

    （d）限制所有服务器数目（连接速率）：

    xinetd可以使用cps选项设定连接速率，下面的例子：
cps = 25 60
    第一个参数表示每秒可以处理的连接数，如果超过了这个连接数之后进入的连接将被暂时停止处理；第二个参数表示停止处理多少秒后继续处理先前暂停处理的连接。即服务器最多启动25个连接，如果达到这个数目将停止启动新服务60秒。在此期间不接受任何请求。