[opensuse-es] Run level editor y Xinetd
Buenos días a tod@s. Me gustaria saber que diferencias existen entre levantar un servicio, Pure-ftp por ejemplo a traves de Run level editor y Xinetd, si las hubiere; si son exclusivos, es decir si debo elegir un método u otro; o si son inclusivos, debo configurar ambos métodos. En Xinetd he visto que algunos servicios se ejecutan con privilegios de root, ¿estos servicios pueden, una vez iniciados, descender privilegios, por ejemplo, al usuario ftp? Gracias por su tiempo y espero pasen un día bonito. -- "El cielo es para los dragones lo que el agua es para las ninfas" -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2010-10-15 a las 11:16 +0200, David Moreno escribió:
Buenos días a tod@s.
Me gustaria saber que diferencias existen entre levantar un servicio, Pure-ftp por ejemplo a traves de Run level editor y Xinetd, si las hubiere; si son exclusivos, es decir si debo elegir un método u otro; o si son inclusivos, debo configurar ambos métodos.
Sí, debes elegir.
En Xinetd he visto que algunos servicios se ejecutan con privilegios de root, ¿estos servicios pueden, una vez iniciados, descender privilegios, por ejemplo, al usuario ftp?
Pueden, si esos servicios son capaces de hacerlo. Es decir, si su programador lo ha previsto. A ver, un servicio levantado en init.d está arrancado siempre, en principio consumiendo algún recurso. Un servicio en xinet es arrancado en el momento en que llega un paquete destinado a ese servicio, por lo que no consume recursos hasta que sea necesario, pero por contra es más lento en empezar, tiene que leer la configuración, etc. Es más dificil de controlar cosas como número de usuarios activos por ftp, por ejemplo. xinet se usa para servicios más esporádicos. - -- Saludos Carlos E. R. (desde 11.2 x86_64 "Emerald" en Telcontar) -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.12 (GNU/Linux) iEYEARECAAYFAky4JLgACgkQtTMYHG2NR9W/yQCfeCRf04gKVdtHL+m4sN6MCD3U HNQAnRBKQc6TwhtIa9x8QWRjLuWeN/GP =ELvv -----END PGP SIGNATURE-----
Muchas gracias Carlos, ahora tengo un poco mas clara la diferencia entre ambos.
El "drop" de permisos debe ser preparado por el diseñador del progama
que a ser ejecutado.
Por ejemplo si para poder habrir un puerto, socket.... se necesita
privilegios de root, y yo le digo a Xinetd "levanta el servicio X" con
privilegios de usuario el servicio no funcionara bien. Debe ser el
programa el que una vez arrancado descienda en la escala de
privilegios....
Gracias de nuevo.
El 15/10/10, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Sí, debes elegir.
Pueden, si esos servicios son capaces de hacerlo. Es decir, si su programador lo ha previsto.
A ver, un servicio levantado en init.d está arrancado siempre, en principio consumiendo algún recurso. Un servicio en xinet es arrancado en el momento en que llega un paquete destinado a ese servicio, por lo que no consume recursos hasta que sea necesario, pero por contra es más lento en empezar, tiene que leer la configuración, etc. Es más dificil de controlar cosas como número de usuarios activos por ftp, por ejemplo.
xinet se usa para servicios más esporádicos.
- -- Saludos Carlos E. R. (desde 11.2 x86_64 "Emerald" en Telcontar)
-----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.12 (GNU/Linux)
iEYEARECAAYFAky4JLgACgkQtTMYHG2NR9W/yQCfeCRf04gKVdtHL+m4sN6MCD3U HNQAnRBKQc6TwhtIa9x8QWRjLuWeN/GP =ELvv -----END PGP SIGNATURE-----
-- "El cielo es para los dragones lo que el agua es para las ninfas" -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Fri, 15 Oct 2010 12:48:04 +0200, David Moreno escribió:
Muchas gracias Carlos, ahora tengo un poco mas clara la diferencia entre ambos. El "drop" de permisos debe ser preparado por el diseñador del progama que a ser ejecutado. Por ejemplo si para poder habrir un puerto, socket.... se necesita privilegios de root, y yo le digo a Xinetd "levanta el servicio X" con privilegios de usuario el servicio no funcionara bien. Debe ser el programa el que una vez arrancado descienda en la escala de privilegios....
Exacto, de hecho la mayoría de servicios que permiten configurar el usuario/grupo con el que se va a ejecutar, primero necesita que se inicie el servicio como "root" y luego pierde los privilegios. Mira, un ejemplo del "avahi-daemon" en Debian: stt008:~# cat /var/log/syslog* | grep drop Oct 15 07:47:13 stt008 avahi-daemon[2689]: Successfully dropped root privileges. Oct 15 07:47:13 stt008 avahi-daemon[2689]: Successfully dropped remaining capabilities Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Muchas gracias camaleón por tu respuesta.
Saludos.
El 15/10/10, Camaleón
Exacto, de hecho la mayoría de servicios que permiten configurar el usuario/grupo con el que se va a ejecutar, primero necesita que se inicie el servicio como "root" y luego pierde los privilegios.
Mira, un ejemplo del "avahi-daemon" en Debian:
stt008:~# cat /var/log/syslog* | grep drop Oct 15 07:47:13 stt008 avahi-daemon[2689]: Successfully dropped root privileges. Oct 15 07:47:13 stt008 avahi-daemon[2689]: Successfully dropped remaining capabilities
Saludos,
-- Camaleón
-- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-- "El cielo es para los dragones lo que el agua es para las ninfas" -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (3)
-
Camaleón
-
Carlos E. R.
-
David Moreno