generelle Frage: inetd oder Runlevel ?
![](https://seccdn.libravatar.org/avatar/e0e4f08b1da86196634e7b0548f0f252.jpg?s=120&d=mm&r=g)
Ich beschäftige z.Zt. mit der Sicherheit meines Suse Systems. Nachdem ich nun alle unnötigen Services deaktiviert habe stellt sich mir die Frage wie die restlichen am besten gestartet werden sollten. Da ich gerne den tcp-wrapper Mechanismus nutzen würde (w. Log-Feature) würde ich gerne inetd bzw. (x)inetd die alleinige Kontrolle überlassen. Außerdem stört mich, das ein Teil über die Runlevel Skripte, und der Rest über inetd gestartet wird. Bevor ich jetzt die inetd.conf editiere würde ich gerne wissen ob irgendwas dagegen spricht alles über inetd laufen zu lassen, oder ob es überhaupt funzt. Ich denke da z.b an sshd oder sendmail. Für ein Feedback wäre ich dankbar! Gruß Fido
![](https://seccdn.libravatar.org/avatar/c65f0a9d70486d425ffd4799ddb379fc.jpg?s=120&d=mm&r=g)
* Fido schrieb am 26.Mär.2002:
Ich beschäftige z.Zt. mit der Sicherheit meines Suse Systems. Nachdem ich nun alle unnötigen Services deaktiviert habe stellt sich mir die Frage wie die restlichen am besten gestartet werden sollten. Da ich gerne den tcp-wrapper Mechanismus nutzen würde (w. Log-Feature) würde ich gerne inetd bzw. (x)inetd die alleinige Kontrolle überlassen. Außerdem stört mich, das ein Teil über die Runlevel Skripte, und der Rest über inetd gestartet wird. Bevor ich jetzt die inetd.conf editiere würde ich gerne wissen ob irgendwas dagegen spricht alles über inetd laufen zu lassen, oder ob es überhaupt funzt.
Du mußt doch erst einmal ein Netzwerk haben, bevor Du überhaupt inetd verwenden kanst. Daher wird schon einiges über die Runlevelskripte laufen müssen. Zum Beispiel der Start von inetd selber. Was spricht dagegen daß etwas über die Runlevelskripte läuft? Bernd
![](https://seccdn.libravatar.org/avatar/e0e4f08b1da86196634e7b0548f0f252.jpg?s=120&d=mm&r=g)
Du mußt doch erst einmal ein Netzwerk haben, bevor Du überhaupt inetd verwenden kanst. Daher wird schon einiges über die Runlevelskripte laufen müssen. Zum Beispiel der Start von inetd selber. Was spricht dagegen daß etwas über die Runlevelskripte läuft?
Oh, sorry! Ich meinte natürlich keine Services die zur Initialisierung des Netzwerks benötigt werden. Der Start von inetd selbst ist auch klar. Aber alles was nach Netzwerk Initialisierung und dem Start von inetd kommt, sprich..... sendmail, sshd, ftp, Apache, Squid u.s.w Fido
![](https://seccdn.libravatar.org/avatar/c49a1b37769784e302f9b6c2f15fb979.jpg?s=120&d=mm&r=g)
On Tue, Mar 26, 2002 at 11:08:30PM +0100, Fido wrote:
Bevor ich jetzt die inetd.conf editiere würde ich gerne wissen ob irgendwas dagegen spricht alles über inetd laufen zu lassen, oder ob es überhaupt funzt.
Es haengt von der Masse an Zugriffen ab, die du erwartest. inted hat den Vorteil, das nur Speicher belegt wird wenn der Dienst benutzt wird, aber den Nachteil das die Daemonen noch gestartet werden muessen.
Ich denke da z.b an sshd oder sendmail.
Die neueren SuSE-Versionen der beiden Pakete unterstuetzen die tcp-wrapper direkt. Peter
![](https://seccdn.libravatar.org/avatar/e0e4f08b1da86196634e7b0548f0f252.jpg?s=120&d=mm&r=g)
Hi Peter, vorweg erstmal danke für deinen Support.
Es haengt von der Masse an Zugriffen ab, die du erwartest. inted hat den Vorteil, das nur Speicher belegt wird wenn der Dienst benutzt wird, aber den Nachteil das die Daemonen noch gestartet werden muessen.
Stimmt.., das hatte ich auch in einem Artikel bei linuxfocus.org zu diesem Thema gelesen. Aber mir ging es dabei nicht um die Anzahl der offnen Prozesse, sondern eher darum ob es generell möglich ist alles das, was man über ein Runlevel Verzeichnis starten kann auch über den tcpd starten zu lassen. Mir geht's ja eher um die Sicherheit in Bezug auf Zugriffe von aussen die man ja bei Verwendung des tcpd wenigstens mittels >spawn< loggen kann. Ursprünglich wollte ich ja (x)inetd verwenden da man ja dort sogar die Services an ein bestimmtes Interface binden kann. So wie ich es verstanden habe kann man dann sogar den tcpd ganz deaktivieren. Leider verhielt sich der (x)inetd auf meinem System sehr eigenartig. Aber da will ich eigentlich hin!
Die neueren SuSE-Versionen der beiden Pakete unterstuetzen die tcp-wrapper direkt.
Alles klar, hab ich schon in Henning seiner Mail gelesen. Aber unter Verwendung von (x)inetd wäre man doch auf die Unterstützung von tcp-wrapper garnicht angewiesen, oder hab ich das falsch verstanden? Gruß Fido
participants (3)
-
B.Brodesser@t-online.de
-
Fido
-
Peter Wiersig