扩展的Internet服务（xinetd）属性列表

属性

描述

id

该属性被用来唯一地指定一项服务。因为有些服务的区别仅仅在于使用不同的协议，因此需要使用该属性加以区别。默认情况下id和服务名相同。如echo同时支持dgram和streama服务。设置id=echo_dgram和id=echo_streams来分别唯一标识两个服务

type

可以是下列一个或多个值：

RPC： RPC类型的服务

INTERNAL：由xinetd自身提供的服务，如echo

UNLISTED：没有列在标准系统文件如/etc/rpc或/etc/service中的服务

flags

可以是以下一个或多个选项的任意组合：

REUSE：设置TCP/IP socket可重用。也就是在该服务socket中设置SO_REUSEADDR标志。当中断时重新启动xinetd

INTERCEPT ： 截获数据报进行访问检查，以确定是否来自于允许进行连接的位置。INTERNAL服务和多线程服务不可使用该属性值

NORETRY ： 如果fork失败，不重试

IDONLY ：  只有在远程端识别远程用户时才接受该连接(也就是远程系统必须运行ident服务器)，该标记只适用于面向连接的服务。若没有使用USERID记录选项则该标记无效，log_on_success或log_on_failure属性设置USERID值以使该值生效。仅用于多线程的流服务

NAMEINARGS ： 允许server_args属性中的第一个参数是进程的完全合法路径，此时，server属性时采用inetd的方式来指定。（注释：我的理解是，此标签的作用是表明该服务采用tcpd的方式来处理，而不是tcp wrapper。参见NOLIBWRAP标记。）

NODELAY ： 若服务为tcp服务，并且NODELAY标记被设置，则TCP_NODELAY标记将被设置。若服务不是tcp服务则该标记无效

DISABLE：具有DISABLE标记的服务表示被禁用。该标记将覆盖enable的指定。也就是说，如果即使你指定了”enable=foo”，如果foo具有DISABLE标记，那么foo仍将被禁用。使用了该标记的服务不会被提醒。

KEEPALIVE：如果一个TCP服务设置了KEEPALIVE标记，那么该服务的SOCKET将被设置SO_KEEPALIVE标记，对非TCP类型的服务设置该标记无任何作用。

NOLIBWRAP：禁用tcpwrap 库来决定一个服务的请求访问控制。象xinetd，需要长时间的运行（系统启动后一直运行），一直调用libwrap函数库是不可取的，这种类型的服务就需要设置该标记，他们可以直接调用而无需调用libwrap函数库来控制访问请求（参见NAMEINARGS标记）。

SENSOR：该标记的作用是使用一个传感器（SENSOR）来代替当前的服务。使用该标记你需要注意几个问题：其一，你应当确认该服务是你不需要的或者说是你不想提供该服务；其二；它不能觉察秘密的扫描动作；其三：它将觉察对该服务指定端口的请求并记录到作用于全局的no_access列表中，这就使得请求过该服务的IP在deny_time指定的时间过期之前一直都拒绝访问；其四：它还使得xinetd认为该服务的server属性是INTERNAL；其五：如果使用了该标记的服务设置的socket_type为stream，你需要设置wait为no。

disable

可以设置为yes或no，设置为yes将禁用一个服务，详见flags的disable标签

socket_type

使用的TCP/IP socket类型，值可能为stream(TCP)， dgram(UDP)， raw和seqpacket(可靠的有序数据报)

protocol

指定该服务使用的协议，其值必须是在/etc/protocols中定义的。如果不指定，使用该项服务的缺省协议。

wait

这个属性有两个可能的值。如果是yes，那么xinetd会启动对方请求的进程并停止处理该项服务的其他请求直到该进程终止，适合于这是个单线程服务；如果是no，那xinetd会为每个请求启动的一个进程，而不管先前启动的进程的状态，适合于多线程服务。

user

设置服务进程的UID，但是若xinetd的有效UID不是0，该属性无效

group

设置进程的GID。若xinetd的有效UID不是0，这个属性无效

instances

接受一个大于或等于1的整数或UNLIMITED。设置可同时运行的最大进程数。UNLIMITED意味着xinetd对该数没有限制

nice

指定进程的nice值。它决定了服务的优先级，参数值是某个数字，也可以为负数

server

要激活的进程，必须指定完整路径

server_args

指定传送给该进程的参数，但是不包括服务程序名

only_from

用空格分开的允许访问服务的客户机列表。如果不为该属性指定一个值，就拒绝任何人访问这项服务。该属性支持所有操作符。访问控制表的语法如下：

a)      用数字表示的IP地址，格式为：%d. %d. %d. %d。如果最右边的一位是0，将被看作通配符。举例来说，10.35.1.0表示10.35.1段内的任何地址都满足条件；如果地址是0.0.0.0，则匹配所有的IP地址。

b)      分解列出的IP地址，格式为%d. %d. %d.{ %d. %d……}。当然，并不是一定要四个部分都列出，例如%d. %d.{ %d. %d…}这样的格式也是可以的，然而，被分解列出的部分必须在最后面，例如%d.{ %d. %d…}.%d.%d；这样的格式是不允许的。

c)      网络名。/etc/networks中的网络名。

d)      主机名或域名。当一个IP地址连接到xinetd上的时候，它会对这个IP进行反向解析出相应的主机名，然后与你指定的主机名进行比较，查看是否匹配。当然你也可以使用域名，道理是一样的。

e)      网络/子网。格式为IP Address/netmask，例如1.2.3.4/32。

no_access

用空格分开的拒绝访问服务的客户机表。该属性支持所有操作符，访问控制表的语法参见only_from。

Only_from和no_access决定了一个远程连接能否访问某个服务。如果这两个属性都没有设置，那么任何人都可以请求该服务；如果都设置了，那么，最匹配的那个记录优先。例如，你在only_from中设定了10.35.1.0可以访问，然后又在no_access中设定10.35.1.10禁止访问，那么，10.35.1段内除了10.35.1.10外的IP地址都可以访问。

access_time

设置服务的可用时段，也就是说，在哪一段时间里可以使用本服务。格式是hh:mm_hh:mm; 如08：00-18：00意味着从8A.M到6P.M.可使用这项服务

log_type

指定服务log记录方式，可以为：

SYSLOG facility[level]：设置该工具为daemon，auth，user或local0-7。设置level是可选的，可用的level值为emerg，alert，crit，err，warning，notice， info， debug，默认值为info

file[soft[hard]]：指定用file记录log，而不是syslog。限度soft和hard用KB指定（可选）。一旦达到soft限，xinetd就登记一条消息。一旦达到hard限，xinetd停止登记使用该文件的所有服务。如果不指定hard限，它成为soft加1％，但缺省时不超过20MB，.缺省soft限是5MB

log_on_success

指定成功时登记的信息，缺省时不登记任何信息。该属性支持所有操作符。

可能的值是：

PID ：进程的PID。如果一个新进程没被分叉，PID设置为0。

HOST ：客户机主机IP地址

USERID ：通过RFC1413调用捕获客户机用户的UID。只可用于多线程流服务。

EXIT ：登记进程终止和状态

DURATION ：登记会话持续期

log_on_failure

指定失败时登记的信息。总是登记表明错误性质的消息。可能的值是：

ATTEMPT：记录一次失败的尝试。所有其他值隐含为这个值。

HOST：客户机主机IP地址

USERID：通过RFC1413调用捕获客户机用户的UID。只可用于多线程流服务。

RECORD：记录附加的客户机信息如本地用户，远程用户和终端的类型。缺省时不登记任何信息。该属性支持所有操作符。

rpc_version

指定RPC版本号或服务号。版本号可以是一个单值或者一个范围中如2-3

rpc_number

如果RPC程序号不在/etc/rpc中，就指定它

env

用空格分开的VAR=VALUE表，其中VAR是一个shell环境变量，VALUE是其设置值。这些设置在服务被激活时被追加到服务的环境变量中。这个属性支持=和+=操作符

passenv

用空格分开的xinetd环境中的环境变量表，该表在激活时传递给服务程序。如果设置的值为空就不传送任何变量（除了在env中指定的变量）。该属性支持所有操作符

port

定义该项服务相关的端口号。如果该服务在/etc/services中列出，它们必须匹配

redirect

该属性语法为redirect=Ipaddress port。它把TCP服务重定向到另一个系统。如果使用该属性，就忽略server属性

bind

把一项服务绑定到一个特定界面。语法是bind=Ipaddress/interface。这意味着你的TELNET服务可以监听一个本地的安全的接口，而不是一个外部的界面。或者，同一个端口在某个网络界面上可以做某件事情，同时，在另一个界面上可以做完全不同的事情。

interface

等同于bind

banner

无论该连接是否被允许，当建立连接时就将该文件显示给客户机

banner_success

当连接授权通过时显示banner_success指定的文件包含的信息

banner_fail

当客户端的请求违反控制规则时显示banner_fail指定的文件包含的信息，以告知用户他们正在试图请求不被允许的服务

per_source

参数值可以为整数或者UNLIMITED关键字。它表示每一个IP地址上最多可以建立的实例数目。本属性也可以定义在default部分。

cps

用来设定进入连接的处理速度。它需要两个参数，第一个参数表示每秒可以处理的连接数，如果超过了这个连接数之后进入的连接将被暂时停止处理；第二个参数表示停止处理多少秒后继续处理先前暂停处理的连接。

max_load

用一个浮点数作为负载系数，当负载达到这个数目的时候，该服务将停止处理后续的连接。

groups

可以设置为yes或no.如果设置为yes，将允许该对该服务起作用的组中包含的用户来访问，如果设置为no，将没有这个补充。在BSD类的系统上，很多服务需要设置该属性为yes，这个属性也可以设置在defaults部分。

umask

设置服务所继承的umask。参数值应该是一个八进制数字，该属性也可以设置到defaults项中。xinetd自己的umask默认是022，如果你没有设置umask属性，那么所有xinetd的子进程的umask也将是022。

enabled

其参数值是一个服务名称的列表，表示该列表中的服务将被启用，其余的则不被启用。然而，如果某个服务设置使用了disable或者DISABLE 标记(flag)，即使该服务被设置在enabled列表中，也不会被启用。参见disable属性和flags的DISABLE标记。

disabled

只可用于defaults项（参看本小节后面的defaults项），指定被关闭的服务列表，是用空格分开的不可用服务列表来表示的。它和在/etc/xinetd.conf文件中注释掉该服务项有相同的效果

include

使用 “include /etc/xinetd.d/service_name”这样的格式来引入一个文件。这跟直接将引入文件的内容放到xinetd.conf中是不同的，因为哪里默认已经有了include指令。你需要注意的是，被引入文件的格式应该是跟xined.conf格式相同；其二，不可以在某个服务的声明部分使用此指令，你应当放在声明之外的地方。

includedir

使用“includedir /etc/xinetd.d”这样的格式引入一个目录作为xinetd配置文件的存放目录。指定目录下除了文件名包括点号（.）或者以引号（””）结束的文件都将视作xinetd的服务配置文件。跟include指令一样，该指令也不可以放在服务的声明部分。

rlimit_as

设置服务的地址资源限制。参数值应该是以字节为单位的正整数或者UNLIMITED关键字。由于libc malloc的实现机制，在LINUX系统上设置该属性比rlimit_rss、rlimit_data和rlimit_stack属性更加有效，这个资源限制的属性只可以在LINUX系统上设置。

rlimit_cpu

设置服务最多可占用的CPU秒数。参数值应该是以秒为单位的正整数或者UNLIMITED关键字。

rlimit_data

设置服务的最大数据量。参数值应该是以字节为单位的正整数或者UNLIMITED关键字。

rlimit_rss

设置服务的最大常驻内存。参数值应该是以字节为单位的正整数或者UNLIMITED关键字。

rlimit_stack

设置服务的最大堆栈大小。参数值应该是以字节为单位的正整数或者UNLIMITED关键字。

deny_time

设置对于所有IP对所有服务的访问被禁用的时间长度。参数值可以是以分钟为单位的正整数、FOREVER和NEVER。如果你设置为FOREVER，在xinetd重启之前一直有效；NEVER只对那些非法的IP地址有效；数字一般设置为60，设置为这个数值基本就可以防范DOS攻击了。你需要注意的是，这个标记必须与SENSOR标记(flags)结合使用。