9.6. Суперсервер inetd

9.6. Суперсервер `inetd`

Inetd (часто называемый «Интернет-суперсервером») — это сервер серверов. Он запускает редко используемые серверы по требованию, так что им не приходится работать постоянно.

В файле /etc/inetd.conf перечисляются эти серверы и обычно используемые ими порты. Команда inetd слушает их все; когда она обнаруживает соединение с любым таким портом, она запускает соответствующую серверную программу.

ПОЛИТИКА DEBIAN Регистрация сервера в inetd.conf

Пакеты часто хотят выполнить регистрацию своих новых сервисов в файле /etc/inetd.conf, но Политикой Debian запрещено изменять чужие конфигурационные файлы любому пакету. Изменять файлы конфигурации имеет право только тот пакет, кто является их владельцем. Это объясняет, почему был создан сценарий update-inetd (в пакете с похожим именем): он управляет файлом настройки, и другие пакеты могут таким образом использовать этот сценарий для регистрации нового сервиса в файле настройки «Интернет-суперсервера».

Каждая значащая строка файла /etc/inetd.conf описывает сервер в сми полях (разделённых пробелами):

Номер порта TCP или UDP или имя сервиса (которое преобразуется в стандартный номер порта с помощью информации, содержащейся в файле /etc/services).
Тип сокета: stream для TCP-соединения, dgram для UDP-датаграмм.
Протокол: tcp или udp.
Опции: два возможных значения — wait или nowait, сообщающих inetd, следует ли ждать завершения запущенного процесса прежде чем принимать новое соединение. Для TCP-соединений, которые легко мультиплексируются, обычно можно использовать nowait. Для программ, отвечающих через UDP, следует использовать nowait только если сервер способен управляться с несколькими соединениями параллельно. В конце этой опции можно добавить точку, и после неё указать максимально разрешённое число сединений в минуту (по умолчанию используется ограничение в 256 соединений).
Имя пользователя, от имени которого будет запускаться сервер.
Полный путь к серверной программе, которую нужно запустить.
Аргументы: полный список аргументов программы, включая её собственное имя ((argv[0] в Си).

Следующий пример иллюстрирует наиболее распространённые случаи:

Пример 9.1. Выдержка из /etc/inetd.conf

talk   dgram  udp wait    nobody.tty /usr/sbin/in.talkd in.talkd
finger stream tcp nowait  nobody     /usr/sbin/tcpd     in.fingerd
ident  stream tcp nowait  nobody     /usr/sbin/identd   identd -i

Программа tcpd часто используется в файле /etc/inetd.conf. Она позволяет ограничить входящие сообщения, применяя правила контроля доступа, описанные на странице руководства hosts_access(5) и настраиваемые в файлах /etc/hosts.allow и /etc/hosts.deny. Когда подтверждается, что соединение разрешено, tcpd запускает настоящий сервер (in.fingerd в нашем примере). Для tcpd ничего не стоит определить, какой сервис следует запустить, по имени, под которым он был вызван (которое является первым аргументом, argv[0]). Поэтому список аргументов должен начинаться не с tcpd, а с программы, для которой он служит обёрткой.

СООБЩЕСТВО Виетс Венема

Виетс Венема, чья компетенция в области безопасности сделала его известным программистом, является автором программы tcpd. Он также и главный разработчик Postfix, модульного сервера электронной почты (SMTP, Simple Mail Transfer Protocol), спроектированного так, чтобы быть более безопасным и надёжным, чем sendmail, имевший долгую историю уязвимостей.

АЛЬТЕРНАТИВА Другие команды inetd

Хотя по умолчанию в Debian устанавливается openbsd-inetd, есть и немало альтернативных решений: упомянем inetutils-inetd, micro-inetd, rlinetd и xinetd.

Эта последняя инкарнация суперсервера предоставляет очень интересные возможности. Самой примечательной из них является возможность разбивки конфигурации на несколько файлов (хранящихся, разумеется, в каталоге /etc/xinetd.d/), что может облегчить жизнь администратора.

Last but not least, it is even possible to emulate inetd's behaviour with systemd's socket-activation mechanism (see Раздел 9.1.1, «Система инициализации systemd»).