Какой комплекс демона нужно запустить через inetd?
Каково общее правило, для которого демоны должны запускаться через inetd? В настоящее время на моем сервере sshd, apache а также sendmail настроены на постоянную работу, когда простые службы *NIX настроены на запуск inetd.
Я единственный, кто использует ssh на моем компьютере, и попытки взлома не проблема, потому что он работает на нестандартном порту, и мой HTTP-сервер получает, возможно, 5 обращений в день, которые не являются GoogleBot,
Мой вопрос заключается в том, каковы преимущества по сравнению с падениями производительности, связанными с запуском сложного демона, такого как sshd или apache, через демон суперсервера, и какие успехи или неудачи были у вас при запуске ваших собственных демонов таким образом?
2 ответа
Ситуация будет зависеть от обстоятельств. Вообще говоря, если у вас нет особой причины для запуска на супер-сервере, лучше этого не делать. Запуск на супер-сервере добавляет дополнительные издержки при высокой нагрузке, так как каждое соединение порождает новый процесс.
Apache предназначен для работы всегда. Он пронизывает и разумно управляет системными ресурсами.
Изначально inetd и другие супер-серверы лучше подходили для демонов, которые не имели возможности взаимодействовать с сокетами в своем собственном коде.
Сложность демона на самом деле не проблема. Частота использования есть. xinetd позволяет вам увеличить количество журналов и, в зависимости от конфигурации, дополнительный уровень безопасности. В некоторых конфигурациях все упомянутые вами демоны могут быть запущены под супер-сервером.
Если вы редко используете демон, попробуйте запустить его под супер-сервером. Это позволит вам уменьшить количество запущенных демонов и связанные с этим издержки.
В inetd и xinetd встроены некоторые очень простые сервисы. Эти сервисы должны быть отключены без необходимости. Другие сервисы не имеют интерфейса демона, поэтому должны запускаться супер-сервером. Многие сервисы, которые имеют возможности сетевого демона, имеют флаги, которые сообщают им, что они работают под inetd.
Перед запуском демонов на супер-сервере вы должны учесть издержки запуска и стабильность конфигурации. Сильные накладные расходы при запуске - это одна из причин запуска редко используемой службы в качестве демона. Перечисленные вами службы обычно относительно интенсивно используются при установке, поэтому работают как демоны.
Apache оптимизирован для работы в качестве демона. Если это используется много, лучше всего бежать как демон.
Почтовые серверы обычно разветвляют новый сервер для каждого входящего звонка, который имеет низкую нагрузку на большинство ОС. Если он не используется в качестве почтового концентратора или доставки с удаленных сайтов, он не должен прослушивать ни один адрес, кроме localhost. Это не нужно делать, если на сервере не запущены программы, использующие TCP/IP для отправки электронной почты через localhost.
У sshd относительно низкие накладные расходы при запуске, за исключением случайных данных для шифрования. Это требует достаточного количества случайных данных, которые могут быть недоступны при работе на супер-сервере.