¿Xinetd sigue siendo el mejor método para permitir que demonios no root escuchen en puertos privilegiados?

¿Xinetd sigue siendo el mejor método para permitir que demonios no root escuchen en puertos privilegiados?

Cuando necesito usarMonitoreo SNMP para aplicaciones java, existe la necesidad de que esa aplicación (generalmente ejecutada como usuario demonio) escuche en el puerto snmp.

Si no hay otra alternativa, por supuesto que puedo usar otro puerto, digamos 11161.

Pero puedo usar XInetd para redirigir el puerto 161 al 11161.

Mi pregunta es: ¿es este el mejor método? ¿Es mejor la redirección de puertos de iptables?

Respuesta1

En general, xinetdes una buena solución. Para casos puntuales, suelo utilizarbalancesolo porque todo se puede configurar en la línea de comando, pero si necesita hacerlo más de una vez, xinetdes una mejor opción.

La redirección a través de iptables funciona bien, pero adolece de falta de transparencia. Si alguien más tiene que mantener el sistema, es posible que no conozca las reglas de redireccionamiento, mientras que las soluciones proxy como xinetd aparecen en la salida de varios comandos de diagnóstico estándar como netstatetc.

Respuesta2

En primer lugar, la descripción de Oracle apesta. La forma correcta de utilizar SNMP para una aplicación (Java es una aplicación con respecto al sistema operativo) es registrarla como subagente del servicio OS-snmp (en el caso de Linux: snmpd).

Tiene que haber una manera de lograrlo. Luego puede usar la configuración de seguridad de SNMPD (consulte las páginas de manual de snmpd) para restringir el acceso a esa parte de la MIB.

información relacionada