xinetd 使用指南

可用的defaults属性
属性	适用范围
log_on_success	可以用=操作符改写或用+ =或 - =操作符修改
log_on_failure
only_from
no_access
passenv
instances	可以用=操作符改写
log_type
disabled	注释掉的服务
enabled	指定启用的服务

 disabled与enabled：

前者的参数是禁用的服务列表，后者的参数是启用的服务列表。他们的共同点是格式相同（属性名 服务名列表，服务中间用空格分开，例如：disabled = in.tftpd in.rexecd）；此外，它们都是作用于全局的。如果指定了disabled列表被指定，那么无论包含在列表中的服务是否有配置文件和如何设置，都将被禁用；如果enabled列表被指定，那么只有列表中的服务才可启动，如果enabled没有被指定，那么disabled指定的服务之外的所有服务都可以启动。

我们首先看一个简单的例子。例1是配置文件/etc/xinetd.conf的一个范例。这两种服务的定义看上去像/etc/inetd.conf的原因是因为它们是用itox工具从/etc/inetd.conf转换得来的，只把/etc/inetd.conf项对应转换成适当的xinetd语法。这样，这些属性（在大括号中的=号的左边）意义是非常直接的，其相关值（在大括号中的=号的右边）也是如此。

例1　文件/etc/xinetd.conf中的一部分

Serice ftp

{

Socket_type=stream

　　 protocol=tcp

　　 wait=no

　　 user=root

　　 server=root

　　 Server_args= - 1　- a

}

Service telnet

{

　　 Socket_type=stream

　　 protocol=tcp

　　 wait=tcp

　　 user=root

　　 server=/usr/sbin/in.telnetd
}

创建/etc/xinetd.conf文件最容易的方法是用itox工具（该例假定当前工作目录是xinetd的编译目录）：

＃ xinetd/itox　-daemon_dir /usr/sbin　/etc/xinetd.conf。itox的参数-daemon_dir /usr/sbin指定服务程序的目录位置，如果实现了TCP_Wrappers，从/etc/inetd.conf中是不能确定它的，转换完成以后，就开始增加属性和值，以限制访问并增加登记，最后要手工修改/etc/xinetd.conf以充分利用xinetd的特性；否则，如果只把/etc/inetd.conf转换为/etc/xinetd.conf， xinetd的行为就和inetd一样了。

表1详述了在/etc/xinetd.conf中最常使用的一些属性和值。当然还有许多其他属性，详细配置选项可以在安装xinetd以后通过man xinetd.conf来得到。在本小节后面的“配置实例”中，将用一些例子阐明其中的许多属性。

表2中给出only_from和no_access表的语法，定义了指定主机名，IP地址和网络的语法。注意表2中最后一项netmask的语法和之前看到的有所不同。它没有采用传统的十进制或十六进制netmask的表示方法，而是采用一个整数表示从netmask（用二进制表示）的最高位（最左端）开始起每位都为1的位数。因此，给定例子的netmask值设置为20，意味着其最左端的20位都设置为1，而余下12位设置为0，或

11111111　　　 11111111　　　11110000　　　00000000

它是十进制netmask255.255.240.0的二进制表示。

表2 /etc/xinetd.conf的访问控制表的语法

语　　法
描　　述

hostname
可解析的主机名。使用和这个主机名相关的所有IP地址

IPaddress
点和十进制形式的标准IP地址，如192.168.0.1

Net_name
/etc/networks中的网络名

x.x.x.0　x.x.0.0

x.0.0.0　0.0.0.0
0作为通配符看待。如项88.3.92.0匹配从88.3.92.0到88.3.92.255的所有IP地址。项0.0.0.0匹配所有地址

x.x.x.{a，b，…}

x.x{a，b，…}

x.{a，b，…}
指定主机表。如172.19.32.{1，56，59}意味着含IP地址172，19.32.1，172.19.32.56和172.19.32.59的表

Ipaddress/netmask　
定义要匹配的网络或子网。如172.19.16.0/20匹配从172.19.16.0到172.19.31.255的所有地址

在看了这些基本属性之后，下面我们仔细讨论那些必需的属性，特定服务和一些配置实例。

必需的属性

对每种服务都必须指定某些属性。一些服务比其他服务需要更多属性，因为它们不被缺省定义（即不在/etc/services或/etc/rpc中）。表3列出了必需的属性。

表3　必需的属性

语　法
描　述

Socket_type
所有服务

Wait
所有服务

User
在/etc/services或/etc/rpc中列出的服务

Server
非内部服务

Port
不在/etc/services中的非RPC服务

Protocol
不在/etc/services中的所有RPC服务和所有其他服务

Rpc_version
所有RPC服务

Rpc_number
不列在/etc/rpc中的任何RPC服务

特定的xinetd服务　/etc/xinetd.conf文件中有4个特殊项。它们分别是defaults， servers，services和xadmin。Defaults项不是一项服务，且不需要前置service关键字（否则它会被当成称为defaults的服务对待）。这些特殊项在以下4小段中描述。

Defaults项

/etc/xinetd.conf文件中的defaults项是实现为该文件中的所有服务指定某些属性的默认值。这些默认值可被每个服务项取消或修改。表4中列出可在defaults项中指定的属性。这个表也指明了具体服务项中可以修改哪些属性。

表4 defaults可用的属性

属性
服务修改

Log_on_success

Log-on_failure

　 Only_from

　 No_access

　 Passenv
可以用=操作符改写或用+ =或 - =操作符修改

Instances

Log_type
可以用=操作符改写

disabled
可注释掉的服务，但disabled属性可用于某个服务项内

例2是defaults项的一个实例。从中看到对所有服务而言，登记消息将通过loca14.info有选择地送到syslogd进程。对成功的服务连接，将登记PID，客户机IP地址，中止状态和连接时间。对不成功的连接企图，将登记客户机IP地址。每项服务的最大实例数设置为8。禁止两项服务：in.tftpd和in.rexecd。

defaults项从本质上提供了在整个文件中建立某些属性的默认值，它应用于没有设置这些属性的所有服务。

例2 /etc/xinetd.conf中defaults项的示例

Defaults
{
Log_type = SYSLOG loca14 info
Log_on_success = PID HOST EXIT DURATION
Log_on_failure = HOST
Instances =8
Disabled = in.tftpd in.rexecd
}

注:如果在/etcxinetd.conf文件中没有defaults项，且之后决定增加这一项，你必须中止和重新启动xinetd以使defaults生效。这对任何要增加到/etc/xinetd.conf中的新服务也是正确的。它可以如下完成。

＃ kill-TERM xinetd

#/ usr/sbin/xinetd

或者如果使用了启动脚本，则只需要简单执行。

＃/etc/rc.d/init.d/xinetd restart

Servers项 servers特殊服务是实现提供当前运行在服务器上的进程表，以及有关这些进程的确切信息。换句话说，它提供了活动连接的列表。这对排除故障和检查xinetd状态是个有用机制。例3显示了/etc/xinetd.conf文件中的一个实例servers项。注意这项服务的类型是INTERNAL，UNLISTED，这意味着它是xinetd的内部功能，且不列在/etc/services中。使用的端口是完全任意的。

例3　servers项的示例

Service servers
{
　　　　 type = INTERNAL UNLISTED
　　　　 Socket_type = stream
　　　　 Protocol = tcp
　　　　 Port = 9997
　　　　 Wait = no
　　　　 Only_from = 172.17.33.111
　　　　 Wait = no
}

注意这项服务仅用于特定IP地址172.17.33.111，它是服务器自身的IP地址。这表示不允许任何其他主机从这个服务器获得当前运行在服务器上的进程列表。这样做的原因是显而易见的：如果这条信息可被其他系统上的主机获取，基于对当前正在运行的进程的了解就加以利用。除用于调试之外，一般不要运行该服务，因为172.17.33.111上的任何用户通过执行例4中的telnet 172.17.33.111　9997都能获取这条信息。注意xinetd仅提供这条信息就退出，不提供交互连接。例4中的输出告诉我们有两个正在运行的telnet进程（第5行和第31行），一个进程PID为5931，另一个为5961（分别为第6行和第32行），有一个ftp进程（第18行），其运行PID为5960（第19行）。

例4　servers服务的输出示例

1　$ telnet topcat 9997
2　Trying 172.17.33.111……
3　Connected to topcat
4　Escape character is ‘^]'
5　telnet server
6　Pid=5931
7　Start_time=Sat Apr 17 10:32:15 1999
8　Connection info:
9　State=CLOSED
10 Service=telnet
11 Descriptor=20
12 Flags=9
13 Remote_address=10.48.3.2，39958
14 Alternative services=
15 Log_remote_user=YES
16 Writes_to_log=YES
17　
18 ftp server
19 Pid=5960
20 Start_time=Sat Apr 17 10:49:06　1999
21 Connection info:
22 State=CLOSED
23 Service=ftp
24 Descriptor=20
25 Flags=9
26 Remote_address=172.17.55.124，2320
27 Alternative services=
28 Log_remote_user=YES
29 Writes_to_log=YES
30
31 telnet server
32 Pid=5961
33 Start_time=Sat Apr 17 10:49:20　1999
34 Connection info:
35 State=CLOSED
36 Service=telnet
37 Descriptor=20
38 Flags=9
39 Remote_address=172.17.1.3，35461
40 Alternative services=
41 Log_remote_user=YES
42 Writes_to_log=YES
43
44 Connection closed by foreign host
45 $

Services项
　 services特定项的目的是提供可用服务的列表。对services特定项来说，这是个有用的排除故障工具，但为了上述同样的安全因素，可能不会去用它。尽管如此，还是要看一看它如何工作。

例5是 services项的一个示例。端口号的选择也是任意的。也应注意访问限制于topcat，这是服务器自身的主机名。

例5 /etc/xinetd.conf中services项示例

Service services
{
　　　 type = INTERNAL UNLISTED
　　　 Socket_type = stream
　　　 protocol = tcp
　　　 port = 8099
　　　 wait = no
　　　 Only_ from = topcat
}

对于servers服务来说，任何用户可执行telnet topcat 8099，并获得来自services服务的输出。例6给出了连接8099端口的实例信息信息。注意xinetd仅提供这条信息就退出，而不提供任何交互连接。

例6　查询services内部服务的输出

$ telnet topcat 8099
Trying 172.17.33.111……
Connected to topcat.
Escape character is ‘^]'
Servers tcp 9997
Services tcp 8099
ftp tcp 21
telnet tcp 23
Shell tcp 514
Login tcp 513
Talk udp 517
Ntalk udp 518
Pop-2 tcp 109
Pop-3 tcp 110
Imap tcp 143
Linuxconf tcp 98
Connection closed by foreign host.
$

Xadmin项

这个特定服务项提供以交互方式获得services特定服务所提供信息的方法。例7是/etc/xinetd.conf项的一个示例（端口号的选择也是任意的），类似于services和servers服务，这项服务也没有口令或其他保护，所以要谨慎设置服务的only_from项，以增强安全性。

例7 xadmin项

Service xadmin
{
　　　 type = INTERNAL UNLISTED
　　　 socket_type = stream
　　　 protocol = tcp
　　　 port = 9967
　　　 wait = no
　　　 Only_from = topcat
}

对前两个特定服务类型来说，你只需telnet到所列端口上，即telnet topcat 9967。和前两项服务不同，xadmin提供了一个交互环境。一旦连接到xadmin服务器上，就可执行5个命令。它们是help，show， run，bye和exit。Help命令显示其他命令以及一个简短的用法消息。Bye和exit命令都关闭这个连接。Show run和show avail命令分别提供servers和services提供的信息。

警告:像前3段中指出的一样，这些特定服务servers， services和xadmin产生的信息可用于攻击系统。可能不需要一直运行这些服务，或许只当你调试时才需要。在任何时候，如果的确运行了这些服务，要确信用access_from和/或no_access配置了访问控制。也可以为这些服务使用bind属性以进一步限制访问。

配置实例
　 这节中将看到一些不同的例子，与之相关的行为以及它们产生的登记消息。

访问控制

从一个简单的访问控制例子开始。在例10中，服务器topcat的login服务项允许IP地址以172开始但不以172.19开始的任何系统访问。这个例子包括了defaults部分。假定这一项用于login服务，且从客户机上用rlogin命令激活，让我们检查成功和不成功企图，以及它们产生的登记。

假定主机underdog和IP地址是172.18.5.9。那么当Mary执行rlogin登记topcat时，会给予她访问权。这相成功的登录如例11所示。尽管例11说明了Mary的动作产生的log内容。如例12所示，该例中的最后一项反映了当Mary拆除登录时的退出情况。可用PID跟踪某次会话的退出，只要你指明这个PID将在/etc/xinetd.conf中登记。登记项如下：每个xinetd登记项记录日期和时间戳，之后服务器主机名，然后是xinetd，之后在括号中是xinetd的PID。例12中的第一条记录以start关键字开始，表明这个会话的开始，之后识别的激活进程（login），然后激活进程的PID，最后是客户机地址。

例10　在/etc/xinetd.conf中rlogin service项的示例

Defaults
{
　　　 Log_type=SYSLOG loca14 info
　　　 Log_on_success=PID HOST EXIT DURATION
　　　 Log_on_failure=HOST
　　　 instances=8
}

Service login
{
　　　 Socket_type=stream
　　　 protocol=tcp
　　　 wait=no
　　　 user=root
　　　 flags=REUSE
　　　 Only_from=172.0.0.0
　　　 No_access=172.19.0.0
　　　 Olg_on_success+=USERID
　　　 Olg_on_failure+=USERID
　　　 server=/usr/sbin/in.ftpd
　　　 Server_args=-1 –a
}

例11 成功的rlogin企图

[mary@underdog]$ rlogin topcat
passWord:
last login:Wed Apr 14 17:45:02 from roadrunner
[mary@topcat]$

例12　和例11相关的登记项
Apr 15 11:01:46 topcat xinetd[1402]:START:login pid=1439
From=172.18.5.9
Apr 15 11:01:46 topcat xinetd[1439]:USERID:login OTHER:mary
…

…
apr 15 11:39:31 topcat xinetd[1402]:EXIT:login status:1 pid=1439 dura-tion=2265(sec)

第2项以USERID关键字开始，表明成功地发出了RFC1413调用。之后是服务名（login），远程系统对RFC1413调用（此时为OTHER）的响应，最后远程用户名（mary）。

这些log项的含义是很清楚的，但表4提供了这些关键字（如START，USERID和EXIT）和其含义的解释。

现在假定Joe想在主机sly.no.good.org(IP地址为19.152.1.5)上使用rlogin。例13显示了这一结果。看上去Joe连接被拒绝，或者可能他想强入。让我们看一看例14中的这三次企图所产生的登记项。注意登记项不包括远程用户名，尽管我们在例10中用log_on_failure属性特别请求那个信息。这是因为远程主机sly.no.good.org没有运行identd或类似进程。因为主机sly.no.good.org不在例10中的only_from表中，尽管在login服务项中增加了flags=IDONLY一项，它不会记录sly.no.good.org没有运行identd的事实。仅当主机得到许可时，这样一项登记记录才会出现。

表4 xinetd登记项的描述

登记关键词
格式和描述

START
START：service_id[pid=PID][from=Ipaddress]

当启动一项服务时记录该项。Service_id是服务名，像id属性指定的一样（如果不明确设置这个属性，它采用该服务参数的值：参看表10.10）；PID是被激活进程的标识符，或者如果没有进程被激活，就为0（仅不灵log_on_

Success指定了PID时才记录）：Ipaddress是客户机的IP地址（仅当HOST是log_on_success时才记录）

EXIT
EXIT：service_id[type=s][pid=PID][duration=#(sec)]

仅当为log_on_success指定了EXIT时，若进程终止就记录这项。Service_id和PID项和以前一样。Type项记录退出状态或产生终止的信号。Duration捕获会话时间（秒数）且需要在log_on_success中说明DURATION选项

FAIL
FAIL：service_id reason[from=Ipaddress]

当失败的请求发生且至少为log_on_success属性指定了一个值时生成该项。Service_id如前。Reason是一个解释失败原因的简单词或短语。Ipaddress是客户机地址且需要为log_on_success属性设置HOST值才出现。

DATA
DATA：service_id data

仅当为log_on_failure指定了RECORD时才记录。Service_id如前。记录的data取决于服务，但通常包括远程用户名（如果可得到）和状态信息

USERID
USERID:service_id text

仅当为log_on_success或log_on_failure或者指定了USERID时，才记录这个住处。Service_id如前。Text包括客户机对RFC1413调用的响应且特别是远程用户名

NOID
NOID:service_id Ipaddress reason

仅当为flags属性设置了IDONLY值且至少为log_on_success或log_on_failure设置了USERID值时该项出现。Service_id如前。给出的Ipaddress是主机地址。Reason是失败状态

例13 来自未授权主机的失败rlogin企图

Sly.no.good.org $ rlogin topcat
Topcat:Connection reset by peer
Sly.no.good.org $ rlogin –1 paul topcat
Topcat:Connection reset by peer
Sly.no.good.org $ rlogin –1 mary topcat
Topcat:Connection reset by peer
Sly.no.good.org $

例 14 和例10-50相关的登记项

Apr 15 12:08:40 topcat xinetd[1402]:FAIL:login address from-19.152.1.5
Apr 15 12:08:52 topcat xinetd[1402]:FAIL:login address from-19.152.1.5
Apr 15 12:08:49 topcat xinetd[1402]:FAIL:login address from-19.152.1.5

有一个最后登记项要检查。注意例10中的instances属性设置为8。对第9个登录会话会发生什么？当第9个用户试图rlogin到topcat时，那个用户会看到下列错误消息

rcmd:topcat:address already in use

并且topcat中为这一事件记录的登记项是

Apr 15 13:37:33 topcat xinetd(1402):FAIL:login service_limit from-172.17.55.124

把这个记录和表4中的描述相对照，FAIL关键字之后是服务名，然后是对失败的解释（此时为service_limit），最后是客户机地址。

使用bind属性
　 bind属性允许把一个特定接口的IP地址和一个特定的服务关联。假定有一个内部ftp服务器，它通过匿名ftp为公司职员提供只读资源。再假定这个ftp服务器有两个接口，一个连接在公司环境中，另一个连接到专用内部网，通常只有在那个特定组中工作的职员可访问它。尽这个例子中只考虑基于接口提供两个不同ftp服务的需求。例15在/etc/xinetd.conf中说明了两个ftp服务项。它可以实现所期望的功能。出于完整性再次提供了defaults部分。

注意每个ftp服务项有一个唯一的id属性。对有相同名字的服务数目没有任何限制，只要每个有唯一的标识符。在这个例子中，为内部ftp服务器设置id属性为ftp，为外部匿名服务器设置id属性为ftp_chroot。注意在后一种情况下，激活的进程是/usr/sbin/anon/in.aftpd(对TCP_Wrappers来说是twist)，这和以前的服务是不同的。

例15　把服务绑定到特定地址上

Defaults
{
　　　 Log_type=SYSLOG loca14 info
　　　 Log_on_success=PID HOST EXIT DURATION
　　　 Instances=8
}

Service ftp
{
　　　 id=ftp
　　　 Socket_type=stream
　　　 protocol=tcp
　　　 wait=no
　　　 user=root
　　　 Only_from=172.17.0.0 172.19.0.0/20
　　　 bind=172.17.1.1
　　　 Log_on_success+=USERID
　　　 Log_on_failure+=USERID
　　　 server=/usr/sbin/in.ftpd
　　　 Server_args=-1 –a
}

Service ftp
{
　　　 id=ftp_chroot
　　　 Socket_type=stream
}

Service telnet
{
　　　 Socket_type=stream
　　　 Wait=no
　　　 flags=REUSE
　　　 user=root
　　　 bind=172.17.33.111
　　　 server=usr/sbin/in.telnetd
　　　 Log_on_success=PID HOST EXIT DURATION USERID
　　　 Log_on_failure=RECORD HOST
}

Service telnet
{
　　　 Socket_type=stream
　　　 protocol=tcp
　　　 wait=no
　　　 flags=REUSE
　　　 user=root
　　　 bind=201.171.99.99
　　　 redirect=172.17.1.1 23
　　　 Log_on_success=PID HOST EXIT DURATION USERID
　　　 LOG_ON_FAILURE=record host
}

例　16 redirect的结果

$ telnet 201.171.99.99
Trying 201.171.99.99
Connected to 201.171.99.99
Escape character is‘^]'
Unix(r) System V Release 4.0 (foghorn)
Login:

因为Linux对每个物理端口最多支持256个逻辑接口，因此理论上可以为系统上的每个物理地址代理256个不同的地址。

尽管redirect机制可能是非常有用的，但实现它时要小心。要确保在代理服务器和终端系统上进行登记。可是在高度受控的内部网络中，这个实现可能是方便的。

包含TCP_Wrappers　

/etc/xinetd.conf中包含TCP_Wrappers功能是如此简单,TCP_Wrappers的所有功能可通过xinetd包括进去，就像通过inetd一样。例17是/etc/xinetd.conf文件的一个实例，它为许多服务使用了TCP_Wrappers。当属性服务器设置为/usr/sbin/tcpd后，那个服务将被包裹。注意这样的项总是把server_args属性设置为要激活的进程（全路径）。载讨论xinetd的编译时，用到了libwrap配置选项，但是无论是否用libwrap编译，例17中的配置文件都能发挥作用。用libwrap编译的作用是包含/etc/hosts.allow和/etc/hosts.deny中的访问限制。例7所示提供了TCP_Wrappers的一组完整特征，banners，spawn，twist等。

例 17 在/etc/xinetd.conf中使用TCP_Wrappers

Defaults
{
　　　 Log_type=SYSLOG loca14 info
　　　 Log_on_success=PID HOST EXIT DURATION
　　　 Log_on_failure=HOST
　　　 instances=8
}
Service ftp
{
　　　 id=ftp
　　　 Socket_type=stream
　　　 protocol=tcp
　　　 wait=no
　　　 user=root
　　　 Only_from=172.17.0.0
　　　 Log_on_success+=USERID
　　　 Log_on_failure+=USERID
　　　 Access_times=8:00-16:30
　　　 server= /usr/sbin/tcpd
　　　 Server_args= /usr/sbin/in.ftpd –1 –a
}

Service telnet
{
　　　 Socket_type=stream
　　　 wait=no
　　　 flags=NAMEINARGS REUSE
　　　 User=root
　　　 Bind=172.17.33.111
　　　 server= /usr/sbin/tcpd
　　　 Server_args= /usr/sbin/in.telnetd
　　　 Log_on_success=PID HOST EXIT DURATION USERID
　　　 Log_on_failure=RECORD HOST
}

Service telnet
{
　　　　 Socket_type=stream
　　　　 protocol=tcp
　　　　 wait=no
　　　　 flags=REUSE
　　　　 user=root
　　　　 bind=201.171.99.99
　　　　 redirect=172.17.1.1 23
　　　　 Log_on_success=PID HOST EXIT DURATION USERID
　　　　 Log_on_failure=RECORD HOST
}
…

…

xinetd进程

xinetd进程接受若干参数。这些参数可被特定服务default中的属性改写，或在一个或多个服务的单个属性项改写。然而，这里给出的所有参数或它们的缺省值控制xinetd自身的行为。例如，如果filelog标记指定为xinetd，那么将在那里登记所有状态转换消息，尽管 /etc/xinetd.conf文件中为和服务相关消息指定了其他登记位置。可用参数列在表5中。

应注意xinetd报告的所有状态信息，总是出现在-syslog或-filelog标记指定的登记文件中，不管设置如何，即通过defaults还是在/etc/xinetd.conf中。如果要在一个文件中捕获xinetd的PID，可以用

xinetd –pid 2> /var/run.xinetd.pid

和xinetd一起使用的可用信号　xinetd进程也基于收到的信号采取特定的行动。表16描述了它接受的每个信号的功能。注意每当增加了新服务或defaults项，或每当改变了任何服务的如下属性：protocol，socket_type，type或wait时，必须用SIGTERM(或更简单的TERM)信号中止xIEntd。每当给xinetd发布一个软性或硬性重配置信号时，将写入例19中所示类型的登记项。这个特定例子是硬性重配置的结果。注意这次硬性重配置的结果是中止了一项服务（用dropped=1标识）。

表 5　xinetd的标记

标　记
描　述

-d
调试模式。输出可和调试器如gdb一起使用

-sysllog facility
指定syslogd工具。是daemon， auth， user和loca10-7其中之一

-filelog file
指定登记写到file而不是syslog中。必须是完整路径名

-fconfig_file
指定配置文件。必须是完整路径名。缺省是/etc/xinetd.conf

-pid
把PID写入标准错误中

-loop rate
指定每秒钟分叉的进程数。缺省是10.对较快机器来说可能希望改变它

-reuse
设置可重用的TCP socket，这意味着以前的实例运行时也可启动其他进程。当和flags属性一起使用时，有更特殊的服务控制（参看表10.10）

-limit numproc
限制由xinetd启动的同时运行的进程总数为numproc

-
限制同时发生的RFC1413请求数为limit

-shutdownprocs limit
当log_on_failure属性中使用了RECORD值时，xinetd分叉称为shutdown的服务以收集服务终止时的信息。该选项限制同时运行的shutdown进程总数为limit

-cc interval
使xinetd每隔interval秒运行对其内部状态的一致性检查。用killall –IOT xinetd可手工实现

表18 xinetd信号

信　号
作　用

SIGUSR1
软性重配置。重读/etc/xinetd.conf并作相应调整

SIGUSR2
硬性重配置。重读/etc/xinetd.conf并杀死和配置文件中的建立准则不再匹配的所有进程。例如，如果一个客户机连接到这个服务器且又增加到no_access表中，那么这个信号会终止该客户机的会话

SIGQUIT
终止xinetd但不终止它分叉的任何进程

SIGTERM
终止xinetd分叉的所有进程；然后终止xinetd

SIGHUP
把xinetd状态信息写到/tmp/xinetd.dump中

SIGIOT
检查内部数据库毁坏情况并报告结果

例19　xinetd硬性重配置的登记记录

Apr 15 14:42:31 topcat xinetd[1402]:Starting hard reconfiguration
Apr 15 14:42:31 topcat xinetd[1402]:readjusting service servers
Apr 15 14:42:31 topcat xinetd[1402]:readjusting service servces
Apr 15 14:42:31 topcat xinetd[1402]:readjusting service telnet
Apr 15 14:42:31 topcat xinetd[1402]:readjusting service shell
Apr 15 14:42:31 topcat xinetd[1402]:readjusting service login
Apr 15 14:42:31 topcat xinetd[1402]:readjusting service talk
Apr 15 14:42:31 topcat xinetd[1402]:readjusting service ntalk
Apr 15 14:42:31 topcat xinetd[1402]:readjusting service pop-2
Apr 15 14:42:31 topcat xinetd[1402]:readjusting service pop-3
Apr 15 14:42:31 topcat xinetd[1402]:readjusting service imap
Apr 15 14:42:31 topcat xinetd[1402]:readjusting service linuxconf
Apr 15 14:42:31 topcat xinetd[1402]:readjusting service ftp
Apr 15 14:42:31 topcat xinetd[1402]:Reconfigured:new=1 old=12 dropped=1 (services)

注:确定某个修改的/etc/xinetd.conf文件被读的最可靠方式是停止并重启动xinetd进程。最好用SIGTERM信号中止xinetd。如这节中描述的，发给xzinetd一个SIGTERM使它中止（用SIGKILL或信号号9）其控制之下的每个进程。有时在xinetd的子进程中止之前有一个延时，这意味着如果杀死并立即重启动xinetd，它不可能绑定所有端口（对此xinetd的登记文件----而不是这项服务指定的登记文件----中含一个错误消息）。这就是为什么sleep3命令出现在例中的stop和start命令间的脚本中。对TCP服务如telnet和ftp用flags=REUSE属性及其值或指定xinetd自身的-reuse选项可完全消除这个问题。

信阳师范学院 孙慧平
---- 1999年4月,英特尔为超值低价电脑推出了新型810芯片组,其中集成了I752图形加速芯片。I752为超值低价电脑设计,它集成了三维AGP图形加速功能,并支持基于软件的音频、调制解调器和DVD功能。英特尔810芯片组集成了以往需要专门的硬件插入卡才能实现的功能,为超值低价电脑带来了更高的性能与新技术。

---- 但在实际使用Intel 810集成主板中也带来了一些问题，因为其推出时间短，驱动程序较少，安装操作系统比较麻烦，令许多用户颇为头疼。如安装Win98时，在一般的计算机上,Win98可以识别出大部分硬件设备，安装系统可以一气呵成，而810芯片组却不能被Win98识别，因而必须安装完Win98后，再安装相应的主板驱动程序，Win98才可识别出其主板设备，然后是安装显卡，声卡，Moderm等外设。

---- 在新兴的Linux 操作系统中，如何安装X Server更是困扰了许多用户,大家抱怨只能进入Linux的CLI(Command Line Interface)，而无法进入GUI图形环境。本文就此在微星的810主板上安装Red Hat Linux 6.0 的X Server提供以下两种方法。

---- 第一种方法：因为Red Hat Linux 6.0的图形安装界面相当友好，在安装过程中就可以配置X Server。只要将显卡设置为"Unlisted Card",使用 "VGA16 Server",其后可设置相应的Monitor类型，在重新启动Linux 时，即可达到600*480 的图形界面了。可以进入 GNOME , KDE 等Linux 的GUI界面了。如果已经安装设定了X,但无法使用，可使用Xconfigurator命令修改上述设置或直接修改/etc/X11/XF86Config文件。

---- 在此种方法中，显示效果虽较差，810芯片组中i752的功能也未得到相应的发挥，但已基本上已经可以摆脱单纯的CLI界面了。

---- 第二种方法：在使用上述方法的基础上，使用近期Intel发布的Linux版i810驱动程序1.0版本，安装该驱动程序后，可以使您的机器达到 1600x1200 的分辨率，并支持8，16，24 位色彩加速，但安装该驱动程序需要具备以下几个条件：

---- XFree86-3.3.5 （1999年8月）或 更高版本

---- Kernel Version: 2.2.X 或 更高版本

---- Glibc 2.1 或 更高版本

---- 1. 对于基于Intel 810的计算机，Linux Kernal 2.2.X一般并不能自动识别其内存数量，所以，可使用cat /proc/meminfo 查看系统内存数量。

---- 系统指示的内存数量应为实际内存数量减去1或2M的810显存。如不相符，可以在 /etc/lilo.conf文件中设定。例如系统实际内存为32M, 显卡使用1M内存，则系统指示内存量应为31M,则在lilo.conf文件中label=linux语句后加入append="mem=31M"语句,再运行/sbin/lilo指令使其生效,Linux就可识别其内存数量了。

---- 2. 安装Xfree86 3.3.5

---- 使用X -version来查看XFree86版本，一般Red Hat 6.0的XFree86版本是 3.3.3.1，在另外一些版本中为3.3.4。所以需要下载XFree86 3.3.5版本或在最新的Linux系统中寻找。其网址为http://www.xfree86.org。安装时将X Server设为vga16.支持的分辨率可以达到 640x480.

---- 3. 下载并安装810的驱动程序

---- Intel提供了两种Linux驱动，一种为RPM文件，一种为TAR文件，本文谨以RPM文件为例，说明其安装方法。在Intel的网址下，下载RPM驱动程序，（I810Gtt-0.1-5.src.rpm (11.9k), XFCom-i810-glibc2.1-1.0.0-rh60.i386.rpm(1M)）以root权限执行以下安装命令：

rpm -Uvh XFCom-i810*.i386.rpm
rpm --rebuild I810Gtt*.src.rpm
rpm -Uvh /usr/src/redhat
/RPMS/i386/I810Gtt*.i386.rpm

---- 4. 修改/etc/X11/XF86Config文件
---- 将该文件备份，再用vi编辑修改该文件的Device Section，Screen Section 和Monitor Section。按照显示器能够支持的模式去修改Monitor Section。在Device Section中加上

Section "Device"
IdentifIEr "i810"
EndSection
再将Screen Section中将"svga"
screen sections部分修改如下：
Section "Screen"
Driver "svga"
Device "i810"
Monitor "Your_Monitor_Here"
Subsection "Display"
Depth 8
Modes "640x480" "800x600" "1024x768" "1280x1024"
ViewPort 0 0
EndSubsection
Subsection "Display"
Depth 16
Modes "640x480" "800x600"
"1024x768" "1280x1024"
ViewPort 0 0
EndSubsection
Subsection "Display"
Depth 24
Modes "640x480" "800x600"
ViewPort 0 0
EndSubsection
EndSection

---- 上述的"Modes"项应为显示器所能支持的颜色深度和分辨率。
---- 5. 连接X server

ln -sf /usr/X11R6/bin/XFCom_i810 /etc/X11/X
最后您就可以启动X server了
startx -- -bpp 16

---- 其中"-bpp 16"选项为指定以16位色彩深度启动X server.
---- 经过上述810驱动程序的安装，您就可以在您的810芯片组的计算机上使用相当精细的Linux GUI界面了，使用带有GUI界面的Linux,您会发现其实使用Linux并不如您以前想象的难。Liunx的GUI界面也一点不比Windows的差。

备份是一项重要的工作，但是很多人没有去做。一旦由于使用不当造成数据丢失，备份就成了真正的救命者。本文将讨论设置备份的策略和如何选择备份介质，并介绍用于备份的tar和cpio工具。

设置备份策略
　　 设置备份策略和计划可以增加进行备份的可能性。备份开始前，要确定备份哪些数据、备份的频率和使用什么样的介质进行备份。备份的时候，应该进行完全备份。

　　 备份通常安排在空闲时间进行。在大多数系统中，由于此时用户数量最少，所以打开的文件也最少。由于备份要占用一些系统资源，运行备份时用户会发现系统反应迟钝。

　　 如果Linux计算机只有一个使用者，可以一个星期或一个月对整个系统备份一次。如果有关键性的文件，就应该有计划地把这些文件拷贝到一个可移动的磁盘中。

　　 备份之前，首先要确保正确地设置备份设备。大多数磁带备份系统在安装时可以发现是否正确。系统启动后，打开一个终端窗口并且输入下面的命令：

　　 $dmeg | less

　　 滚动列表，并从中寻找你的磁带系统的驱动。如果没有发现，就需要加载一个组件驱动程序。

　　 如果运行Linux服务器，就要制定一个备份计划，但这并不意味着每天要对所有的东西都备份。系统中只有一部分东西需要每天备份，下面列出需要备份的项目：

　　 用户文件 每天都要对/home目录中的用户文件进行备份。

　　 配置文件 /etc和/var目录中的配置文件不需要频繁备份，每个星期或每月备份一次即可，主要取决于配置更改的频繁程度。

　　 程序文件 /usr和/opt目录中的程序文件很少发生变化，安装后做一次备份即可。通常情况下，程序文件可方便地从原始安装盘中恢复。

选择备份介质

　　 把备份存到哪里有多种选择。下面介绍一些可选择的备份介质：

　　 软盘 如果要把重要文件快速备份，或者将其带到家中，这时软盘仍旧是一种可选的备份介质。

　　 光盘写入器 随着光盘写入器变得越来越可靠，价格也越来越低，光盘本身也非常便宜。选用此项的一个好处是光盘不容易被损坏，它备份的可靠性很高。

　　 使用光盘写入器有两点不利因素：它们速度较慢，并且只能保存大约650MB。

　　 可重写的光盘 可重写光盘驱动器比光盘写入器要贵得多，工作方式与其类似。但是，这些光盘是可被重写的，并且它比只能写一次的光盘贵许多。可重写光盘其它的特性都与光盘写入器类似。

　　 Jaz和Zip Zip驱动器很流行，已经成为许多PC机的标准配置，同时它的磁盘和驱动器也都不贵。它一张磁盘可容纳100MB的数据，是一种用于快速、可移动备份的很好选择。

　　 Jaz磁盘可以容纳上G字节的数据，并且使用更先进的技术以获得更好的表现。Jaz驱动器和Jaz磁盘都比较贵。

　　 Jaz和Zip的缺陷是都容易损坏，并且保持时间相对要短。

　　 磁带机 磁带备份设备是大多数Linux服务器的标准配置。磁带是可靠的，并且很少出现错误，它几乎比其它介质存储时间都要长。

　　 对于点对点工作组网络和中型网络，Travan和高端数字音频磁带（DAT）通常是最好的选择。Travan驱动器经过压缩可以处理8GB数据，这对于具有5-10个PC机的小型网络来说足够了。DAT驱动器有更好的表现，可以处理24GB的数据。DAT驱动器比Travan驱动器昂贵，但它磁带的价格要比Travan QIC磁带卷便宜。

　　 高端磁带 选择高端磁带可能是相当贵的。与Travan或DAT相比，这种驱动器有更大的容量和更高的速度。三种广泛使用的驱动器类型是：Sony Advanced Intelliget Tape ( AIT ) 、Quantum Digital Linear Ta p e ( DLT )和Exabyte Mammoth 8mm。它们最少可以容纳20GB的不压缩数据，并且具有更高的数据传输能力。

用于备份的tar
　　 tar工具是以前备份文件的可靠方法，几乎可以工作于任何环境中，Linux老用户一般都信赖它。
　　 Linux中以.tar结尾的文件都是用tar创建的。它的使用超出了单纯的备份，可用来把许多不同文件放到一起组成一个易于分开的文件。tar是从Tape ARchiver备份工具起步的。
　　 包含在Linux中的GNU tar工具简便易用，包含了一个用来压缩的选项，且支持不断增加的备份。
　　 tar是一个命令行的工具，没有图形界面。使用Konsole或Kvt打开一个终端窗口，接下来是一个简单的备份命令：
　　 $tar cvf - /home > /temp/backup.tar
　　 这个命令在/tmp目录中创建一个backup.tar的文件，/home目录中所有内容都包含在其中。
　　 接下来可以把tar文件拷贝到备份磁盘中。使用简单备份时，如果要使用压缩功能，改为下面命令：
　　 $tar czvf - /home > /tmp/backup.tgz
　　 上面扩展名. tgz指出这是一个压缩文件。
　　 下一个例子可以用来直接备份到一个安装好的Jaz驱动器中，但这样做要确定有足够的空间：
　　 $tar czvf /mnt/jaz/backup.tgz - /home
　　 对于一个磁带驱动器，使用设备名称：
　　 $tar czvf /dev/st0/backup.tgz - /home
　　 如果有一个备份非常大，可以使用多卷选项。但是，这样做就不能使用压缩。当第一个磁盘或磁带填满后，tar将提示插入另一张：
　　 $tar cvMf /dev/st0/5mar2000.tar -home
　　 要恢复备份使用下面的命令，以Jaz磁盘为例：
　　 $tar xzvf /mnt/jaz/5mar2000.tgz /home
　　 表1列出了tar主要功能参数。此外还有很多可选参数，本文不再详述。

　　 表1 tar主要功能参数
　　 参数　　　　　　 描述
　　 -A　　　　 附加到另一个tar存档的后面
　　 -C　　　　 创建一个新的tar存档
　　 -d　　　　 找出tar存档和文件间的差别，用于一个文档的验证
　　 --delete 从存档删除文件，磁盘备份不能选用
　　 -r　　　　 把文件附加到tar存档的后面
　　 -t　　　　 列出tar存档的内容
　　 -u　　　　 只把比tar文档中的文件新的文件附加到存档中
　　 -x　　　　 解开一个tar存档
　　 tar备份可以用crontab工具设置成基于时间的有规律地运行。例如，每晚2点把/home目录备份到SCSI磁带驱动器中，只要将下面语句添加到root的crontab中即可：
　　 00 02 * * * tar cvf /dev/st0/homefiles.tar - /home

用于备份的cpio

　　 GNU cpio工具像tar一样从命令提示行启动程序。与tar相比cpio更复杂，但是也更为可靠。因为如果一个tar文件中某处有一个坏块，就不能对备份文件的其它部分进行访问，而使用cpio，只有坏块不能被访问。

　　 cpio创建一个称为copy-out mode的备份，备份存档中包含了文件和所有者、时间及访问许可等信息。cpio需要一个假定要备份的文件列表。创建列表的一个最方便的方法就是使用ls命令。例如，要把/home目录备份到SCSI磁带设备中，输入下面的命令：
　　 $ls /home | cpio -o > /dev/st0
　　 也可以使用find命令。它包括许多选项可以用来消减被存档文件的数量。例如，下面的命令对所有在上一个2 4小时内修改过的文件进行存档：
　　 $find /home -mtime 1 -type f -print | cpio -o > /dev/st0
　　 copy - in模式把文件从备份存档中解出来。下面的命令会恢复前两个备份例子中的所有文件：
　　 $cpio -i < /dev/st0
　　 你也可以对cpio的备份进行计划，用crontab工具设置成基于任何时间的有规律地运行。例如，要在每晚2点把/ home目录备份到SCSI磁带驱动器中，把下面的语句添加到root的crontab文件中即可：
　　 00 02 * * * ls /home | cpio -o > /dev/st0