Inetd

Inetd se conoce como el "Super Servidor de Internet" debido a que gestiona las conexiones de varios demonios. Los demonios son programas que proporcionan servicios de red. Presente en la mayoría de los sistemas Unix, inetd actúa como un servidor de gestión de otros demonios. Cuando inetd recibe una conexión se determina que demonio debería responder a dicha conexión, se lanza un proceso que ejecuta dicho demonio y se le entrega el "socket". La ejecución de una única instancia de inetd reduce la carga del sistema en comparación con lo que significaría ejecutar cada uno de los demonios que gestiona de forma individual.

Activación de Inetd

Inetd se inicializa a través del fichero /etc/rc.conf en tiempo de arranque. La opción inetd_enable posee el valor NO por defecto, pero a menudo la aplicación sysinstall la activa cuando se utiliza la configuración de perfil de seguridad medio. Estableciendo inetd_enable="YES" o inetd_enable="NO" dentro de /etc/rc.conf se puede activar o desactivar la ejecución de inetd en el arranque del sistema.

Configuración

La configuración de inetd se realiza a través del fichero de configuración /etc/inetd.conf. Cuando se realiza una modificación en el fichero /etc/inetd.conf se debe obligar a inetd a releer dicho fichero de configuración, lo cual se realiza enviando una señal "HANGUP" al proceso inetd como se muestra a continuación: kill -HUP `cat /var/run/inetd.pid` Cada línea del fichero de configuración especifica un demonio individual. Los comentarios se preceden por el carácter "#". El formato del fichero de configuración /etc/inetd.conf es el siguiente:

service-name

socket-type

protocol

{wait|nowait}[/max-child[/max-connections-per-ip-per-minute]]

user[:group][/login-class]

server-program

server-program-arguments

A continuación se muestra una entrada de ejemplo para el demonio ftpd para IPv4:

ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l

Seguridad

Dependiendo del perfil de seguridad establecido cuando se instaló el sistema, varios demonios de inetd pueden estar desactivados o activados. Si no se necesita un demonio determinado, no lo active. Especifique un "#" al comienzo de la línea del demonio que quiere desactivar y envíe una señal hangup a inetd. No se aconseja ejecutar algunos demonios determinados (un caso típico es fingerd) porque pueden proporcionar información valiosa para un atacante. Algunos demonios no presentan ninguna característica de seguridad y poseen grandes o incluso no poseen tiempos de expiración para los intentos de conexión. Esto permite que un atacante sature los recursos de nuestra máquina realizando intentos de conexión a una tasa relativamente baja contra uno de estos ingenuos demonios. Puede ser una buena idea protegerse de esto utilizando las opciones max-connections-per-ip-per-minute y max-child para este tipo de demonio.

Referencias

http://es.tldp.org/Paginas-manual/man-pages-es-extra-0.8a/man8/inetd.8.html

http://www.ibiblio.org/pub/linux/docs/LuCaS/Manuales-LuCAS/doc-unixsec/unixsec-html/node196.html

http://www.freebsd.org/doc/es/books/handbook/network-inetd.html

http://www.wikilearning.com/tutorial/guia_de_administracion_de_redes_con_linux-el_super_servidor_inetd/9586-96