kennt jemand den unterschied zwischen inetd und xinetd?
habe proftpd installiert (start via inetd) und debconf hat darauf hingewiesen dass xnitd die anzahl der sessions kontrollieren, waehrend inetd das nicht koenne.
xinet versus inetd
-
feltel
- Webmaster
- Beiträge: 10368
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
http://packages.debian.org/stable/net/xinetd.html hat geschrieben:xinetd has access control mechanisms, extensive logging capabilities, the ability to make services available based on time, and can place limits on the number of servers that can be started, among other things.
It has the ability to redirect TCP streams to a remote host and port. This is useful for those of that use ip masquerading, or NAT, and want to be able to reach your internal hosts.
It also has the ability to bind specific services to specific interfaces. This is useful when you want to make services available for your internal network, but not the rest of the world. Or to have a different service running on the same port, but different interfaces.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
-
feltel
- Webmaster
- Beiträge: 10368
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Mag sein, nur ist der inetd unter Linux halt standard und manche Programme können halt nur mit dem inetd (was natürlich nicht an xinetd sondern an den Programmen selbst liegt). Ich hab auf meinem System keinen von beiden drauf und es funzt trotzdem allesBelgarad hat geschrieben:danke - ich nehme an das heisst das xinetd die besseres wahl ist..
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
nun, ich wollte einen rechner ins internet stelle, und dachte dass es die sicherheit erhoeht inet bzw. xinetd zu verwenden.
ist das vom grundsatz richtig und sinnvoll?
dazwischen ist noch eine hw-firewall, auf der ich dann successive ports freigeben wollte. mein endziel ist es mit iptables eine fw zu realisieren - doch da fehlts mir noch ein wenig an erfahrung...
ist das vom grundsatz richtig und sinnvoll?
dazwischen ist noch eine hw-firewall, auf der ich dann successive ports freigeben wollte. mein endziel ist es mit iptables eine fw zu realisieren - doch da fehlts mir noch ein wenig an erfahrung...
-
feltel
- Webmaster
- Beiträge: 10368
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Nunja, inetd/xinetd ist nicht per se schlecht oder unsicher. Der ist halt so sicher, wie der Admin fähig ist.Belgarad hat geschrieben:nun, ich wollte einen rechner ins internet stelle, und dachte dass es die sicherheit erhoeht inet bzw. xinetd zu verwenden.
Ich habs bisher immer so gehalten, das ich sowenig Software wie möglich installiere und alle Dienste (FTP, Web, ...) als Daemon laufen lassen. Daher ist ein inetd, der nichts zu tun hat überflüssig und ich hab ihn deinstalliert.ist das vom grundsatz richtig und sinnvoll?
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
-
pdreker
- Beiträge: 8298
- Registriert: 29.07.2002 21:53:30
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Nürnberg
Ich hatte 'mal xinetd auf meinem Gateway Router, habe das dann aber wieder runtergeworfen, weil viele Debian Pakete nicht richtig damit klarkamen (die haben halt immer nur den inetd automatisch konfiguriert). Ist jetzt allerdings schon über 1,5 Jahre her, kann also sein, dass sich da was geändert hat.
Allgemein: Ich frage mich, was die Leute immer so an Internetbedrohungen, für Ihre privaten Netze sehen? Grundsätzlich gibt es 3 Arten von Attacken: 1) automatisierte Angriffe (Würmer und Scriptkiddies) 2) handgemachte Angriffe (bessere Scriptkiddies oder richtige Hacker... entschuldigung: Cracker) 3) DoS Angriffe
Unter diesen gibt es teilweise fliessende Übergänge, aber die einzelnen Risiken beurteile ich persönlich wie folgt:
1) Gegen Würmer und Scriptkiddies sollte man einfach immer die aktuellen Sicherheitspatches draufhaben, und notfalls (falls man keinen Patch hat, oder noch keiner erschienen ist) kann man den Service vorübergehend deaktivieren. Das ergibt schon eine sehr hohe Sicherheit, da Würmer ihre Strategien nicht anpassen können, und die wenigsten Scriptkiddies in der Lage sind ein gepatchtes System auch nur ansatzweise zu analysieren. Der "5pLo17" (Exploit) funktioniert halt nicht und wiedersehen. Erledigt.
2) Gegen diese Leute hat man kaum eine Chance, wenn die wirklich rein wollen. Es gibt soviele Möglichkeiten selbst eine Firewall zu umgehen, dass man daraus einen Fulltime Job machen könnte. Wenn man dennoch immer auf der aktuellen Software bleibt (Security Updates und Patches) und eine anständig konfigurierte Firewall (nur kontrollierte Services freigeben, und alles verdächtige loggen), dann ist man auch hier sehr sicher. Man sollte auch bedenken, dass in so einem Fall eine Attacke in Handarbeit sehr viel Arbeit bedeutet, so dass sich kaum ein Hacker mit einem DialUp (oder DSL) auseinandersetzt, weil es halt sehr gut sein kann, dass er den nach 2 Tagen nicht mehr wiederfindet. Entweder greifen diese Leute direkt Firmennetzwerke an, oder Netzwerke in denen sie entweder wertvolle/interessante Daten erwarten, oder die Ihnen eine zuverlässige Möglichkeit geben "weiterzuarbeiten".
3) DoS Attacken... was soll man dazu sagen. Wenn man ge-DoS-t wird hilft gar nix mehr. Insbesondere ist hier Packetflooding jeder Art gemeint. Das Problem tritt ausserhalb der eigenen Firewall auf, weil die Modem/DSL Leitung ausgelastet wird. Und? Wir haben hier ein DialUp. Verbindung zu machen, 30 Sekunden warten, neu einwählen und man hat eine neue IP. Problem erledigt, es sei denn der Angreifer kann den kompletten DSL Access Point dicht machen. Aber dann kann man nix machen.
SYN Flooding DoS (extrem viele Verbindungen aufmachen, damit der Server ausgelastet wird) kann man bei allen normalen Servern in der Konfig unterbinden. Apache kann man sagen, dass er maximal 100 Verbindungen (oder mehr oder weniger) aufrecht erhalten soll, proftpd kann das gleiche, SSH ist egal, da man ein Passwort braucht usw... Für Services bei denen das nicht geht, kann mit iptables eine maximale Connection Rate (limit match) angeben.
Alles in allem will ich die Risiken nicht kleinreden, aber realistisch gesehen braucht man an einem DialUp keinen Bunker mit Minenfeld, sondern Stacheldraht und eine Alarmanlage, und man sollte halt nicht vergessen die Türen und Fenster geschlossen zu halten.
Back on topic:
IMHO bietet xinetd verglichen mit dem Arbeitsaufwand nur sehr wenig Sicherheitsgewinn für ein HomeNet. Wenn Du ein grosses Firmennetz, oder einen "Wohnheimserver" betreibst, dann ist das eine Überlegung wert, vorher IMHO nicht.
Hmm, jetzt habe ich hier soviel geschrieben, vielleicht sollte ich das 'mal zum HomeNetworking Guide hinzufügen...
Patrick
Allgemein: Ich frage mich, was die Leute immer so an Internetbedrohungen, für Ihre privaten Netze sehen? Grundsätzlich gibt es 3 Arten von Attacken: 1) automatisierte Angriffe (Würmer und Scriptkiddies) 2) handgemachte Angriffe (bessere Scriptkiddies oder richtige Hacker... entschuldigung: Cracker) 3) DoS Angriffe
Unter diesen gibt es teilweise fliessende Übergänge, aber die einzelnen Risiken beurteile ich persönlich wie folgt:
1) Gegen Würmer und Scriptkiddies sollte man einfach immer die aktuellen Sicherheitspatches draufhaben, und notfalls (falls man keinen Patch hat, oder noch keiner erschienen ist) kann man den Service vorübergehend deaktivieren. Das ergibt schon eine sehr hohe Sicherheit, da Würmer ihre Strategien nicht anpassen können, und die wenigsten Scriptkiddies in der Lage sind ein gepatchtes System auch nur ansatzweise zu analysieren. Der "5pLo17" (Exploit) funktioniert halt nicht und wiedersehen. Erledigt.
2) Gegen diese Leute hat man kaum eine Chance, wenn die wirklich rein wollen. Es gibt soviele Möglichkeiten selbst eine Firewall zu umgehen, dass man daraus einen Fulltime Job machen könnte. Wenn man dennoch immer auf der aktuellen Software bleibt (Security Updates und Patches) und eine anständig konfigurierte Firewall (nur kontrollierte Services freigeben, und alles verdächtige loggen), dann ist man auch hier sehr sicher. Man sollte auch bedenken, dass in so einem Fall eine Attacke in Handarbeit sehr viel Arbeit bedeutet, so dass sich kaum ein Hacker mit einem DialUp (oder DSL) auseinandersetzt, weil es halt sehr gut sein kann, dass er den nach 2 Tagen nicht mehr wiederfindet. Entweder greifen diese Leute direkt Firmennetzwerke an, oder Netzwerke in denen sie entweder wertvolle/interessante Daten erwarten, oder die Ihnen eine zuverlässige Möglichkeit geben "weiterzuarbeiten".
3) DoS Attacken... was soll man dazu sagen. Wenn man ge-DoS-t wird hilft gar nix mehr. Insbesondere ist hier Packetflooding jeder Art gemeint. Das Problem tritt ausserhalb der eigenen Firewall auf, weil die Modem/DSL Leitung ausgelastet wird. Und? Wir haben hier ein DialUp. Verbindung zu machen, 30 Sekunden warten, neu einwählen und man hat eine neue IP. Problem erledigt, es sei denn der Angreifer kann den kompletten DSL Access Point dicht machen. Aber dann kann man nix machen.
SYN Flooding DoS (extrem viele Verbindungen aufmachen, damit der Server ausgelastet wird) kann man bei allen normalen Servern in der Konfig unterbinden. Apache kann man sagen, dass er maximal 100 Verbindungen (oder mehr oder weniger) aufrecht erhalten soll, proftpd kann das gleiche, SSH ist egal, da man ein Passwort braucht usw... Für Services bei denen das nicht geht, kann mit iptables eine maximale Connection Rate (limit match) angeben.
Alles in allem will ich die Risiken nicht kleinreden, aber realistisch gesehen braucht man an einem DialUp keinen Bunker mit Minenfeld, sondern Stacheldraht und eine Alarmanlage, und man sollte halt nicht vergessen die Türen und Fenster geschlossen zu halten.
Back on topic:
IMHO bietet xinetd verglichen mit dem Arbeitsaufwand nur sehr wenig Sicherheitsgewinn für ein HomeNet. Wenn Du ein grosses Firmennetz, oder einen "Wohnheimserver" betreibst, dann ist das eine Überlegung wert, vorher IMHO nicht.
Hmm, jetzt habe ich hier soviel geschrieben, vielleicht sollte ich das 'mal zum HomeNetworking Guide hinzufügen...
Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de
Jabber: pdreker@debianforum.de
ist noch immer so dass debs dem inetd den vorzug geben. weil ich zu dusselig bin/war, bekam ich beispielseise mein courier-impa mit xinetd nicht ans rennen, mit inetd gings dann.pdreker hat geschrieben:Ich hatte 'mal xinetd auf meinem Gateway Router, habe das dann aber wieder runtergeworfen, weil viele Debian Pakete nicht richtig damit klarkamen (die haben halt immer nur den inetd automatisch konfiguriert). Ist jetzt allerdings schon über 1,5 Jahre her, kann also sein, dass sich da was geändert hat.
Danke fuer die erklaerung und ja - das koenntest du schon dem homenetworking guide hinzufuegen.Hmm, jetzt habe ich hier soviel geschrieben, vielleicht sollte ich das 'mal zum HomeNetworking Guide hinzufügen...
Patrick
im uebrigen sehe ich das so wie du. fuer ein heimnetz mit dynamischer ip gelten sicherlich andere anforderungen als fuer das firmennetzwerk von 3com oder mercedes benz
auf der anderen seite interessiert mich schon wie man ein netz sicher macht bzw. was es unsicher macht. aus neugier und wisensdurst. und wo kann man besser ueben als im eigenen netz?