Linux入門（服務）

LInux入門之 服務

服務介紹

常駐在內存中的程序，且能夠提供一些系統或網絡功能，那就是服務。好比：

apache提供web服務

ftp提供文件下載上傳服務

ssh提供了遠程鏈接服務

防火牆提供了安全防禦服務等等

  Linux服務器的主要任務就是爲本地或遠程用戶提供各類服務。一般Linux系統上提供服務的程序是由運行在後臺的守護進程（Daemon）來執行。一個實際運行中的Linux系統通常會有多個這樣的程序在運行。這些後臺守護進程在系統開機後就運行了，而且在時刻地監聽前臺客戶地服務請求，一旦客戶發出了服務請求，守護進程便爲它們提供服務。

  系統初始化進程是一個特殊的的守護進程，其PID爲1，它是全部其餘守護進程的父進程或者祖先進程。也就是說，系統上全部的守護進程都是由系統初始化進程進行管理的（如啓動、中止等）。

rhel7以前採用的是systemV，rhel7開始採用的是systemd來管理服務

  系統上全部的守護進程都是由系統初始化進程進行管理的（如啓動、中止等）。

SystemV

  啓動系統服務的管理方式被稱爲 SysV 的 init, 同時init也是惟一一個由內核直接啓動的進程 ， 而後 init 去喚醒全部的系統所須要的服務，不管是本地服務仍是網絡服務。

• 服務的啓動、關閉與查看等方式：

全部的服務啓動腳本統統放置於 /etc/init.d/ 底下，基本上都是使用 bash shell script 所寫成的腳本程序，須要啓動、關閉、從新啓動、觀察狀態時，能夠經過以下的方式來處理：
啓動：/etc/init.d/daemon start
關閉：/etc/init.d/daemon stop   
從新啓動：/etc/init.d/daemon restart
狀態查看：/etc/init.d/daemon status

• 服務的依賴關係：

  服務是會有依賴關係的,例如，你想使用nfs服務,在使用以前你必須啓動portmap/rpcbind服務,不然nfs沒法正常使用.init是沒法幫管理員實現協同啓動的,管理員必須時刻記得這些依賴關係

• 運行級別的分類：

  上面說到 init 是由內核啓動的， 而後 init 能夠根據用戶自定義的運行級別 (runlevel) 來喚醒不一樣的服務，以進入不一樣的操做界面。基本上 Linux 提供 7 個運行級別，分別是 0, 1, 2…6 ，

比較重要的是

1 單人維護模式、

3 純文本模式、

5 文字加圖形界面。

  而各個運行級別的啓動腳本是經過 /etc/rc.d/rc[0-6]/SXXdaemon 連結到 /etc/init.d/daemon ， 連結名 (SXXdaemon) 的功能爲： S爲啓動該服務，XX是數字，爲啓動的順序。因爲有 SXX 的設置，所以在開機時能夠『依序執行』全部須要的服務， 同時也能解決相依服務的問題。

• 制定運行級別默認要啓動的服務：

若要創建如上提到的 SXXdaemon 的話，不須要管理員手動創建連結， 經過以下的命令能夠來處理默認啓動、不啓動以及查看啓動狀態 使用方法爲:

默認啓動： chkconfig daemon on

默認不啓動： chkconfig daemon off

查看啓動狀態： chkconfig —list daemon

默認不啓動： chkconfig daemon off

查看啓動狀態： chkconfig —list daemon

• 運行級別的切換行爲：

  當你要從純文本界面 (runlevel 3) 切換到圖形界面 (runlevel 5)， 不須要手動啓動、關閉該運行級別的相關服務，只要（init 5 ）便可切換

Systemd

• 並行處理全部服務，加速開機流程：

  舊的 init 啓動腳本是串行啓動的模式，所以不相依的服務也是得要一個一個的等待。但目前咱們的硬件主機系統與操做系統幾乎都支持多核心架構了， systemd 就是可讓全部的服務同時啓動，所以你會發現到，系統啓動的速度變快了！

• 當即響應的啓動方式：

  systemd 所有就是僅有一個 systemd 服務搭配 systemctl 命令來處理，無須其餘額外的命令來支持。不像 systemV 還要 init, chkconfig, service… 等等命令。 此外， systemd 因爲常駐內存，所以任何要求均可以當即響應

• 服務依賴性的自我檢查：

  因爲 systemd 能夠自定義服務依賴性的檢查，所以若是 B 服務是在 A 服務上面啓動的，那當你在沒有啓動 A 服務的狀況下僅手動啓動 B 服務時， systemd 會自動幫你啓動 A 服務

• 依 daemon 功能分類：

  systemd管理的服務很是多，爲了理清全部服務的功能，所以，首先 systemd 先定義全部的服務爲一個服務單位 (unit)，並將該 unit 歸類到不一樣的服務類型 (type) 去。 舊的 init 僅分爲 stand alone 與 super daemon，systemd 將服務單位 (unit) 區分爲 service, socket, target, path, snapshot, timer 等多種不一樣的類型(type)， 方便管理員的分類與記憶。

• 將多個 daemons 集合成爲一個羣組：

  如同 systemV 的 init 裏頭有個 runlevel 的特點，systemd 亦將許多的功能集合成爲一個所謂的 target 項目，這個項目主要在設計操做環境的建置， 因此是集合了許多的 daemons，亦便是執行某個 target 就是執行好多個 daemon 的意思！

• 向下兼容舊有的 init 服務腳本：

  基本上， systemd 是能夠兼容於 init 的啓動腳本的，所以，舊的 init 啓動腳本也可以經過 systemd 來管理，只是更高級的 systemd 功能就沒有辦法支持就是了。

  雖然如此，不過 systemd 也是有些地方沒法徹底取代 init 的！

包括：

1）在 runlevel 的對應上，大概僅有 runlevel 1, 3, 5 有對應到 systemd 的某些 target 類型而已，沒有所有對應

2）所有的 systemd 都用 systemctl 這個管理程序管理，而 systemctl 支持的語法有限制，不像 /etc/init.d/daemon 就是純腳本能夠自定義參數，systemctl 不可自定義參數。

3）若是某個服務啓動是管理員本身手動執行啓動，而不是使用 systemctl 去啓動的 (例如你本身手動輸入 crond 以啓動 crond 服務)，那麼 systemd 將沒法偵測到該服務，而沒法進一步管理。

4）systemd 啓動過程當中，沒法與管理員互動！所以，自行編寫 systemd 的啓動設置時，務必要取消互動機制

獨立的服務和基於xinetd服務的區別：

獨立的服務：服務獨立的運行在內存中，服務響應速度快，但佔用更多內存。

基於xinetd服務： xinetd服務是超級守護進程的一種。xinetd服務自己獨立存在，管理一些服務。用戶經過xinetd服務請求其管理的一些服務，而後xinetd返回請求服務的回覆給用戶，xinetd服務至關於proxy同樣的角色。xinetd服務逐步被淘汰，大多數服務都是獨立的服務。

• 獨立服務

  從CentOS7 Linux開始，系統裏的網絡服務啓動已經從傳統的service改爲了systemctl（一個systemd工具，主要負責控制systemd系統和服務管理器），管理開機自啓動的命令也從chkconfig改成了systemctl，由systemctl一個命令代替了CentOS7之前系統中的service和chkconfig兩個命令。

  系統服務的腳本也從傳統的路的/etc/init.d(/etc/rc.d/init.d/)，改到了/usr/lib/systemd(除此以外還有/etc/systemd/system)，須要自啓動運行的程序，通常存在這個系統服務目錄下，即：/usr/lib/systemd/system目錄，每個服務以「服務名.service」結尾，該文件的內容通常分爲3部分：

即 [Unit]、[Service]和[Install]。

[Unit]服務說明

Description: 描述服務

After: 描述服務類別

服務啓動程序文件

[Service] 服務運行參數的設置

Type=forking 是後臺運行的形式

ExecStart 爲服務的具體運行命令

ExecReload 爲重啓命令

ExecStop 爲中止命令

PrivateTmp=True 表示給服務分配獨立的臨時空間

注意：啓動、重啓、中止命令所有要求使用絕對路徑

[Install] 服務安裝的相關設置，可設置爲多用戶

WantedBy=multi-user.target

服務管理方式

systemctl [command] [unit]

command 主要有：

start：馬上啓動後面接的 unit。

stop：馬上關閉後面接的 unit。

restart：馬上關閉後啓動後面接的 unit，亦即執行 stop 再 start 的意思。

reload：不關閉 unit 的狀況下，從新載入配置文件，讓設置生效。

enabled：設置下次開機時，後面接的 unit 會被啓動。

disable：設置下次開機時，後面接的 unit 不會被啓動。

status：目先後面接的這個 unit 的狀態，會列出有沒有正在執行、開機時是否啓動等信息。

is-active：目前有沒有正在運行中。

is-enable：開機時有沒有默認要啓用這個 unit。

kill ：不要被 kill 這個名字嚇着了，它實際上是向運行 unit 的進程發送信號。

show：列出 unit 的配置。

mask：註銷 unit，註銷後你就沒法啓動這個 unit 了。

unmask：取消對 unit 的註銷。

• 非獨立服務

  Xinetd 託管服務。又名：超級守護進程，能夠把一些小服務放到xinetd裏進行託管。拖管後的好處就是可使用xinetd強大的參數來控制這些服務，而且加強安全性。（好比一個小服務沒有一些控制功能，但支持xinetd拖管，你就能夠拖管並使用xinetd的參數來控制它)。

  Xinetd提供相似於inetd + TCP Wrappers的功能，可是更增強大和安全。後面xinetd已經取代了inetd，而且提供了訪問控制、增強的日誌和資源管理功能。

  TCP Wrappers是一個應用層的訪問控制程序，其原理是在服務器向外提供的TCP服務上包裹一層安全檢測機制。外來的鏈接請求首先要經過這層安全檢測，得到認證以後才能被系統服務接收。TCP Wrappers的功能有兩種實現方式：一種是由tcpd守護進程實現的，常被用於inetd + TCP Wrappers的系統中（如FreeBSD等）；另外一種是經過每種服務程序調用libwrap.so連接庫實現的，即libwrap.so庫支持的網絡服務程序都能使用TCP Wrappers來實現訪問控制，經常使用於xinetd + TCP Wrappers的系統中（如CentOS等）。

  超級守護進程：銀行裏還有一種窗口，提供綜合服務，像匯款，轉帳，提款等業務；這種窗口附近也始終坐着一我的（xinet），她可能不提供具體的服務，提供具體服務的人在裏面閒着聊天啊，喝茶啊，可是當有人來匯款時他會大聲喊一句，小王，有人匯款啦，而後裏面管匯款的小王會立馬跑過來幫忙辦完匯款業務。其餘的人繼續聊天，喝茶。這些負責具體業務的人咱們就稱之爲超級守護進程。固然可能匯款人會有一些規則，可能不能往北京匯款，他就會提前告訴xinet，因此若是有人來匯款想匯往北京的話，管理員就直接告訴他這個咱們這裏辦不到的，因而就根本不會去喊匯款員了，至關於提供了一層管理機制。

xinetd服務的主配置文件： /etc/xinetd.conf —保持默認便可

用於存放被託管的服務的目錄：/etc/xinetd.d/

xinetd提供相似於inetd+tcp_wrapper的功能，可是更增強大和安全。它能提供如下特點：

• 支持對tcp、udp、RPC服務(可是當前對RPC的支持不夠穩定)

• 基於時間段的訪問控制

• 功能完備的log功能，便可以記錄鏈接成功也能夠記錄鏈接失敗的行爲

• 能有效的防止DoS攻擊(Denial of Services)

• 能限制同時運行的同一類型的服務器數目

• 能限制啓動的全部服務器數目

• 能限制log文件大小

• 將某個服務綁定在特定的系統接口上，從而能實現只容許私有網絡訪問某項服務

• 能實現做爲其餘系統的代理。若是和ip假裝結合能夠實現對內部私有網絡的訪問

  它最大的缺點是對RPC支持的不穩定性，可是能夠啓動portmap，與xinetd共存來解決這個問題。

  原則上任何系統服務均可以使用xinetd，然 而最適合的應該是那些經常使用的網絡服務，同時，這個服務的請求數目和頻繁程度不會過高。像DNS和Apache就不適合採用這種方式，而像FTP、 Telnet、SSH等就適合使用xinetd模式，系統默認使用xinetd的服務能夠分爲以下幾類。

① 標準Internet服務：telnet、ftp。

② 信息服務：finger、netstat、systat。

③ 郵件服務：imap、imaps、pop二、pop三、pops。

④ RPC服務：rquotad、rstatd、rusersd、sprayd、walld。

⑤ BSD服務：comsat、exec、login、ntalk、shell、talk。

⑥ 內部服務：chargen、daytime、echo、servers、services、time。

⑦ 安全服務：irc。

⑧ 其餘服務：name、tftp、uucp。

部署一個非獨立服務Telnet

#yum -y install telnet-server telnet xinetd

#cat /etc/xinetd.d/telnet

service telnet         
{  
  flags = REUSE  
  socket_type = stream  
  wait = no  
  user = root  
  server =/usr/sbin/in.telnetd  
  log_on_failure += USERID  
  disable = no   
}
================
#能夠設置爲yes或no， 設置爲yes將禁用一個服務，詳見flags的disable標 籤
         disable = no
#指定 失敗時登記的信息。老是登記代表錯誤性質的消息，默認時不登記任何信息。該屬性支持全部操做符。USERID： 經過RFC1413調用捕獲客戶機用戶的UID。只可用於多 線程的流服務。
        log_on_failure += USERID
#使用的TCP/IP socket類型，值可能爲stream（TCP），dgram（UDP），raw和seqpacket（可 靠的有序數據包）    
        socket_type = stream
#指定 傳送給該進程的參數，可是不包括服務程序名
        server_args = --daemon
#用來 設定鏈接速率。它須要兩個參數，第一個參數表示每秒能夠處理的鏈接數，若是超過了這個鏈接數時，以後進入的 鏈接將被暫時中止處理；第二個參數表示中止處理多少秒後，繼續處理先前暫停處理的鏈接
        cps = 25 30
#指定該服務使用的協議，其值必須是在/etc/protocols中 定義的。若是不指定，使用該項服務的默認協議
        protocol = tcp
#這個屬性 有兩個可能的值。若是是yes，那麼xinetd會啓動對方 請求的進程，並中止處理該項服務的其餘請求直到該進程終止，適合於單線程服務；若是是no，那xinetd會 爲每一個請求啓動的一個進程，而無論先前啓動的進程的狀態，適合於多線程服務
        wait = no
#設置服務進程的UID。 若xinetd的有效UID不是0， 該屬性無效
        user = root
#要激 活的進程，必須指定完整的路徑
        server = /usr/sbin/sshd
#指定 傳送給該進程的參數，可是不包括服務程序名
        server_args = -i
#用空 格分開的容許訪問服務的客戶機列表。若是不爲該屬性指定一個值，就拒絕任何人訪問這項服務。該屬性支持全部操做符。
        only_from = 192.168.1.0/24
        no_access = 192.168.1.20 192.168.1.200
# 最大鏈接數爲3
        instances = 3
# 每一個源IP只能有1個鏈接                                   
        per_source = 1
# 只能9：00到18：00才能ssh鏈接                                  
        access_times = 9:00-18:00
# 指定日誌記錄到/var/log/xinetd_ssh.log裏                       
        log_type = file /var/log/xinetd_ssh.log         # 指定日誌記錄到/var/log/xinetd_ssh.log裏
#服務端口
    port = 7722

#systemctl restart xinetd

#netstat -ntpl 查看啓動狀況