Amministrare GNU/Linux - Cia

8.1. LA GESTIONE DEI SERVIZI GENERICI 303Come mostrato nell’esempio precedente, anche la direttiva default prende degli attributi;in genere questi sono attributi generali che possono a loro volta essere rispecificati in manieradiversa per i singoli servizi. Nel nostro caso il primo attributo è instances che permette di porreun limite massimo al numero di istanze di uno stesso server che il programma può lanciare.Il secondo attributo è log_type, che permette di specificare le modalità con cui viene effettuatoil logging; queste possono essere FILE per specificare a seguire un file su cui salvaredirettamente i dati, o SYSLOG per specificare l’uso del syslog, indicando poi con l’ulteriore parametroauth quale facility utilizzare (è possibile anche specificare di seguito una priority, sediversa dal default info).I due attributi successivi, log_on_success e log_on_failure, permettono di specificarecosa scrivere nei log in caso rispettivamente di successo e fallimento di una connessione. Leindicazioni HOST e USERID sono comuni ad entrambi e permettono di registrare rispettivamentel’IP e l’utente (se è disponibile il servizio identd secondo l’RFC 1413) relativi alla connessioneda remoto; log_on_success permette anche di registrare lo stato di uscita del server (con EXIT),la durata della connessione (con DURATION) ed il numero del processo (con PID).Infine l’ultimo attributo, per_source, permette di stabilire un numero massimo per le connessionida un singolo IP (una forma per limitare eventuali denial of service). Un elenco degliattributi che possono essere specificati nella sezione defaults, con la relativa descrizione, è riportatoin tab. 8.1, l’elenco completo può essere trovato nelle pagine di manuale accessibili conman xinetd.conf.AttributoDescrizioneinstances Numero massimo di processi lanciati per ogni servizio. Un argomentointero.log_type Metodologia di registrazione dei log, su file o tramite syslog. OpzioniFILE o SYSLOG.log_on_success Cosa registrare per le connessioni riuscite. Uno o più fra PID, HOST,USERID, EXIT, DURATION.log_on_failure Cosa registrare per le connessioni fallite. Uno o più fra HOST, USERID,ATTEMPT.per_source Numero massimo di connessioni per IP sorgente. Un argomento intero.only_from Lista degli host da cui è possibile accedere. Indirizzi in forma dotteddecimal, CIDR o simbolica.no_access Lista degli host da cui è impossibile accedere. Indirizzi in forma dotteddecimal, CIDR o simbolica.access_times Intervallo temporale nel quale è possibile accedere ai servizi. Intervallotemporale nella forma HH:MM-HH:MM.cpsRate massimo di accesso. Un argomento decimale per indicare il limitesulle connessioni al secondo, ed un argomento intero per specificare ilnumero di secondi da aspettare prima di accettare nuove connessioniuna volta superato il limite.niceValore di nice da applicare ai demoni lanciati. Un argomento intero.max_load Carico massimo oltre il quale la macchina smetta di accettareconnessioni. Un argomento decimale.Tabella 8.1: Attributi specificabili in generale per tutti i servizi gestiti attraverso il superdemone xinetd.Come accennato il programma è in grado di implementare direttamente dei controllo diaccesso, che di utilizzare quelli eventualmente specificati tramite i file di controllo dei TCPwrappers 1 (vedi sez. ??), i due attributi only_from e no_access però sono in grado di specificaredirettamente le stesse condizioni all’interno del file di configurazione di xinetd. In questo casole sintassi supportate sono sia le forme dotted decimal (interpretando gli zeri finali come indirizzidi rete), che quelle CIDR, sia quelle espresse con indirizzi simbolici.1 Si tenga presente che l’uso dei TCP wrapper ha di norma la precedenza sul controllo interno, per cui se siabilita l’accesso con queste direttive, ma esso è negato dai TCP wrapper, questi ultimi avranno la meglio.