9.6. El superservidor inetd

9.6. El superservidor `inetd`

Inetd (frecuentemente llamado «superservidor de internet») es un servidor de servidores. Ejecuta a pedido servidores rara vez utilizados para que no tengan que ejecutar continuamente.

El archivo /etc/inetd.conf enumera estos servidores y sus puertos usuales. El programa inetd escucha en todos estos puertos y cuando detecta una conexión a uno de ellos ejecuta el programa servidor correspondiente.

DEBIAN POLICY Registrar un servidor en /etc/inetd.conf

Frecuentemente los paquetes desean registrar un nuevo servidor en el archivo /etc/inetd.conf, pero la Normativa Debian prohíbe que un paquete modifique un archivo de configuración que no le pertenece. Es por esto que se creó el script updated-inetd (en el paquete del mismo nombre): este script administra el archivo de configuración y otros paquetes pueden utilizarlo para registrar un nuevo servidor en la configuración del superservidor.

Cada línea significativa del archivo /etc/inetd.conf describe un servidor con siete campos (separados con espacios):

El número de puerto TCP o UDP o el nombre del servicio (asociado con un número de puerto estándar con la información en el archivo /etc/services).
El tipo de zócalo: stream para una conexión TCP, dgram para datagramas UDP.
El protocolo: tcp, tcp6, udp, o udp6.
Las opciones: dos valores posibles, wait o nowait para indicarle a inetd si debe esperar o no a que el proceso ejecutado finalice antes de aceptar una nueva conexión. Para conexiones TCP, fáciles de gestionar simultáneamente, utilizará generalmente nowait. Para programas que respondan sobre UDP debería utilizar nowait sólo si el servidor es capaz de gestionar varias conexiones en paralelo. Puede agregar un punto al final de este campo seguido de la cantidad máxima de conexiones autorizadas por minuto (el límite predeterminado es 256).
El nombre del usuario bajo el que ejecutará el servidor.. Opcionalmente se puede añadir el grupo también usando la sintaxis user.group.
La ruta completa al programa del servidor a ejecutar.
Los parámetros: esta es una lista completa de los parámetros del programa, incluyendo su propio nombre (argv[0] en C).

El siguiente ejemplo muestra algunos casos de uso después de la instalación talkd, nullidentd (ident-server), y fingerd:

Ejemplo 9.1. Extracto de /etc/inetd.conf

#:BSD: Shell, login, exec and talk are BSD protocols.
talk   dgram   udp     wait    nobody.tty   /usr/sbin/in.talkd      in.talkd
ntalk  dgram   udp     wait    nobody.tty   /usr/sbin/in.ntalkd     in.ntalkd

#:INFO: Info services
ident  stream  tcp     nowait  nobody       /usr/sbin/nullidentd    nullidentd
finger stream  tcp     nowait  nobody       /usr/sbin/tcpd          /usr/sbin/in.fingerd

Frecuentemente se utiliza el programa tcpd en el archivo /etc/inetd.conf. Permite limitar las conexiones entrantes aplicando reglas de control de acceso, documentadas en la página del manual hosts_access(5), y que puede configurar en los archivos /etc/hosts.allow y /etc/hosts.deny. Una vez que determinado que la conexión está autorizada, tcpd ejecuta el servidor real (en el ejemplo: in.fingerd). Vale la pena aclarar que tcpd necesita el nombre con el que se le invoca (que es el primer parámetro: argv[0]) para identificar el programa real a ejecutar. No debería iniciar la lista de parámetros con tcpd sino con el programa subyacente.

COMUNIDAD Wietse Venema

Wietse Venema, programador reconocido por su experiencia sobre seguridad, es el autor del programa tcpd. También es el creador principal de Postfix, el servidor de correo modular (SMTP, protocolo simple de transferencia de correo: «Simple Mail Transfer Protocol»), diseñado para ser más seguro y confiable que sendmail que tiene una larga historia de vulnerabilidades de seguridad. Podemos conocer mejor este servidor de correos en Sección 11.1, “Servidor de correo”.

ALTERNATIVA Otros programas inetd

Si bien Debian instala openbsd-inetd de forma predeterminada, no faltan alternativas: podemos mencionar inetutils-inetd, rlinetd, y xinetd, que todos proporcionan el paquete virtual inet-superserver.

La mayoría de estas alternativas comparten el mismo archivo de configuración /etc/inetd.conf.

Esta última muestra de un superservidor ofrece posibilidades muy interesantes. Notablemente, se puede dividir su configuración en varios archivos (almacenados, por supuesto, en el directorio /etc/xinetd.d/), lo que puede hacer más sencilla la vida del administrador. Se considera más poderoso, pero también más complejo.

Por último, pero no menos importante, es posible emular el comportamiento de inetd con el mecanismo de activación de zócalos de systemd (ver Sección 9.1.1, “El sistema de inicio systemd”).