.
セキュリティ / SSL => inetd (TCP Wrapper) について > 1.スーパーデーモン- inetd の仕組みと役割
Linux 活用ガイド:目次

サーバ構築ガイド

レンタル ガイド

ショップ 構築ガイド

情報漏洩対策

スーパーデーモン- inetd の仕組みと役割

Linux OS に初めて挑戦される方が最初に理解すべき事に、inetd の仕組みと役割を理解する事が挙げられると思います。Linux OS におけるサービス動作の仕組みを知る事は大切です。セキュリティにも密接に関係します。

TCP Wrapperの動作原理を知るには、Linuxサーバーがどのような仕組みでサービスを提供しているのか知る必要があります。Linuxサーバーをイン ストールすると様々なサービス(サーバープログラム)が提供されています。これらは常駐する(常に起動)サービスと、接続要求の度に起動するサービスに分けられます。

  • 常駐するサービスの代表
    • httpd (Apache Webサーバー) / named (BIND ドメインネームサービス) / inetd など
  • 接続要求の度に起動するサービスの代表
    • pop3d (メール受信サービス) / ftpd (ファイル転送サービス)etc

クライアントから特定のポートにTCP接続要求がある度にサーバープログラムを起動させる仕組みを提供しているのが inetd サービスです。当然ですが常に常駐するデーモンです。

他のサービス経由で別サービスを提供する仕掛けをWrapper(ラッパー)といいます。

メリットについて

クライアントから接続要求がある度に起動すると以下のメリットがあります。

  1. CPU メモリなど資源を節約できる
  2. サービスプログラムに障害が発生した場合、次の接続要求で新たに起動するため障害に強い
  3. サービスを起動する前にinetdサービス側でセキュリティポリシーを適用できる

DNSサービスや、HTTPサービスなど利用頻度の高いサーバープログラムをinetd経由で起動すると次々に立ち上がり、あっという間にサーバーはパン クしてしまう事は容易に想像できます。

サービスを提供する頻度や、セキュリティポリシーに応じてinetdを適宜使い分ける事になります。例えばFTP サービスを広域に提供する場合は、常駐するサービスとする必要も出てくるかも知れません。

最大のメリットは、クライアントからの要求に応じて起動するinetdにアクセス制限を設定することが出来る事です。inetdにより起動する、つまり、TCP経由で呼び出されるサーバープログラム最初のセキュリティ対策となります。

補足 2005年5月

現在、殆どのディストリビューションでは、xinetd を採用しています。これは inetd の後継、セキュリティを強化したバージョンで inetd と比べ設定できる条件も増えており、それぞれのサービス権限でWrapper処理を行えるため、セキュアです。

inetdサービスは、使用頻度の高いサービスであり、root権限で実行するためバッファオーバーフローの標的としてよく狙われます。

ここで紹介している内容はかなり古いです。xinetdはここで紹介する設定の仕方も異なりますが動作原理は同じです。

inetd (TCP Wrapper) とは

セキュア Linux 関連書籍

bottom_mark
ページ最上部
ページ最上部 前のページ