обычное и ожидаемое поведение. qemu/kvm выделяет максимальное количество оперативной памяти до тех пор, пока не будет запущена служба всплывающих окон. после этого любая оперативная память, потребляемая службой воздушного шара, освобождается (от хоста pov)
Традиционная настройка заключается в использовании inetd
для открытия прослушиваемых сокетов, аналогично тому, что systemd делает с активацией сокетов сейчас, всего за тридцать лет до этого. inetd
безоговорочно запускает демон при установлении соединения.
Для некоторого элементарного контроля доступа вы должны настроить inetd
для запуска tcpd
вместо реального сервера. Эта программа проверит, разрешено ли соединение в соответствии с файлами hosts.allow
и hosts.deny
, и затем выполнит реальную службу, если это так.
Это значительно старше, чем iptables
или аналогичные решения на основе хоста -, поэтому оно также будет работать на стеках, которые вообще не имеют брандмауэра, таких как AmiTCP или Miami на AmigaOS.
Другим преимуществом является то, что настройка проверки исходного адреса является частью запуска службы, поэтому после ее настройки невозможно случайно открыть доступ к службам, сбросив правила брандмауэра.
Недостаток в том, что порт изначально открыт, поэтому сканирование сети покажет его, а соединение сразу закрывается после его установления.
Файлы hosts.allow
и hosts.deny
больше не поставляются, так как «отсутствующие» файлы означают «разрешить все подключения», поэтому они сами по себе формируют правильную конфигурацию, и любой, кто все еще их использует, вероятно, знает, что они делают..
Обратите внимание, что при использовании tcpd
для управления доступом вы теряете преимущества опции wait
в inetd
, где служба запускается с помощью сокета прослушивателя и отвечает за принятие дальнейших подключений после запуска (т. е. у вас есть только один экземпляр для нескольких параллельных подключений ).
Нет udpd
, так как невозможно проверить источник UDP-пакетов.