AIX中與安全相關(guān)的服務(wù)

./服務(wù)守護程序如下啟動功能注釋inetd/bootpsinetd/etc/inetd.conf用于無盤客戶機的bootp服務(wù)對于"網(wǎng)絡(luò)安裝管理"〔NIM和系統(tǒng)遠(yuǎn)程引導(dǎo)是必需的與tftp一起工作在大多數(shù)情況下禁用inetd/chargeninetd/etc/inetd.conf字符發(fā)生器〔僅測試可用作TCP與UDP服務(wù)為"拒絕服務(wù)"攻擊提供機會除非正在測試網(wǎng)絡(luò),否則禁用inetd/cmsdinetd/etc/inetd.conf日歷服務(wù)〔CDE使用以root用戶身份運行,因此涉及安全性除非用CDE申請該服務(wù),否則禁用在庫房數(shù)據(jù)庫服務(wù)器上禁用inetd/comsatinetd/etc/inetd.conf通知接收的電子以root用戶身份運行,因此涉及安全性很少需要的禁用inetd/daytimeinetd/etc/inetd.conf廢棄時間服務(wù)〔僅測試以root用戶身份運行可用作TCP與UDP服務(wù)為"拒絕服務(wù)PING"攻擊提供機會廢棄服務(wù)并僅對測試使用禁用inetd/discardinetd/etc/inetd.conf/dev/nullservice〔僅測試可用作TCP與UDP服務(wù)在"拒絕服務(wù)攻擊"中使用廢棄服務(wù)并僅對測試使用禁用inetd/dtspcinetd/etc/inetd.confCDE子過程控制此服務(wù)由inetd守護程序自動啟動以響應(yīng)CDE客戶機,該客戶機請求在守護程序的主機上啟動進程。這使它易受攻擊在沒有CDE的庫房數(shù)據(jù)庫服務(wù)器上禁用沒有該服務(wù)CDE可能會起作用除非絕對需要,否則禁用inetd/echoinetdetc/inetd.conf回傳服務(wù)〔只測試可用作TCP與UDP服務(wù)可用于"拒絕服務(wù)或Smurf"攻擊用于回送信號給其他人從而穿過防火墻或啟動數(shù)據(jù)傳輸禁用inetd/execinetd/etc/inetd.conf遠(yuǎn)程執(zhí)行服務(wù)以root用戶身份運行要求輸入無保護傳遞的用戶標(biāo)識和密碼該服務(wù)是非常容易遭到監(jiān)聽的禁用inetd/fingerinetd/etc/inetd.conf在用戶處進行取數(shù)以root用戶身份運行給出有關(guān)您的系統(tǒng)與用戶的信息禁用inetd/ftpinetd/etc/inetd.conf文件傳輸協(xié)議以root用戶身份運行用戶標(biāo)識與口令未加保護地傳送,因此易受監(jiān)聽禁用此服務(wù)并使用公共安全shell套件inetd/imap2inetd/etc/inetd.conf因特網(wǎng)訪問協(xié)議確保您正使用該服務(wù)器的最新版本只當(dāng)您運行服務(wù)器時才必需。否則,禁用用戶標(biāo)識與密碼未加保護地傳遞inetd/klogininetd/etc/inetd.confKerberos登錄如果您的站點使用Kerberos認(rèn)證則啟用inetd/kshellinetd/etc/inetd.confKerberosshell如果您的站點使用Kerberos認(rèn)證則啟用inetd/logininetd/etc/inetd.confrlogin服務(wù)易于遭受IP欺騙與DNS欺騙數(shù)據(jù)〔包括用戶標(biāo)識與密碼未加保護地傳遞以root用戶身份運行使用安全shell代替該服務(wù)inetd/netstatinetd/etc/inetd.conf當(dāng)前網(wǎng)絡(luò)狀態(tài)報告如在您的系統(tǒng)上運行,可能潛在地把網(wǎng)絡(luò)信息給黑客禁用inetd/ntalkinetd/etc/inetd.conf允許用戶相互交談以root用戶身份運行不需要產(chǎn)品或庫房服務(wù)器除非絕對需要,否則禁用inetd/pcnfsdinetd/etc/inetd.confPCNFS文件服務(wù)如果不是當(dāng)前在使用則禁用服務(wù)如果需要與此類似的服務(wù),考慮Samba,pcnfsd守護程序早于Microsoft的SMB規(guī)的發(fā)行版inetd/pop3inetd/etc/linetd.conf郵局協(xié)議用戶標(biāo)識與密碼未加保護地發(fā)送如果您的系統(tǒng)是服務(wù)器并且擁有使用僅支持POP3的應(yīng)用程序的客戶機時才需要如果您的客戶機使用IMAP,則用其作為替代,或使用POP3服務(wù)。該服務(wù)有安全套接字層〔SSL報文封裝如果您不在運行服務(wù)器或有需要POP服務(wù)的客戶機,則禁用inetd/rexdinetd/etc/inetd.conf遠(yuǎn)程執(zhí)行以root用戶身份運行用on命令監(jiān)視禁用的服務(wù)使用rsh與rshd作為替代inetd/quotadinetd/etc/inetd.conf文件限額的報告〔對于NFS客戶機如果您正在運行NFS文件服務(wù)才需要除非需要對quota命令提供應(yīng)答,否則禁用該服務(wù)如果需要使用該服務(wù),保持該服務(wù)的所有的補丁和修正包為最新的inetd/rstatdinetd/etc/inetd.conf核統(tǒng)計信息服務(wù)器如果需要監(jiān)視系統(tǒng),使用SNMP并禁用該服務(wù)需要使用rup命令inetd/rusersdinetd/etc/inetd.conf關(guān)于用戶登錄的信息這不是基本的服務(wù)。禁用以root用戶身份運行給出系統(tǒng)上當(dāng)前用戶的列表并用rusers監(jiān)視inetd/rwalldinetd/etc/inetd.conf寫給所有用戶以root用戶身份運行如果系統(tǒng)有交互式用戶,可能需要保持該服務(wù)如果系統(tǒng)為產(chǎn)品或數(shù)據(jù)庫服務(wù)器,這就不需要禁用inetd/shellinetd/etc/inetd.confrsh服務(wù)如可能則禁用該服務(wù)。使用"安全shell"作為替代如果必須使用該服務(wù),則使用TCP護封來停止電子欺騙與限制暴露需要Xhier軟件分布程序inetd/spraydinetd/etc/inetd.confRPC噴射測試以root用戶身份運行可能不需要NFS網(wǎng)絡(luò)問題的診斷如果不在運行NFS則禁用inetd/systatinetd/etc/inted.conf"ps-ef"狀態(tài)報告允許遠(yuǎn)程站點察看系統(tǒng)上的進程狀態(tài)該服務(wù)缺省情況下禁用。必須周期性地檢查來確保未啟用該服務(wù)inetd/talkinetd/etc/inetd.conf在網(wǎng)上兩個用戶間建立分區(qū)屏幕不是必需服務(wù)與talk命令一起使用在端口517提供UDP服務(wù)除非對于UNIX用戶您需要多個交互式交談會話,否則禁用inetd/ntalkinetd/etc/inetd.conf"newtalk"在網(wǎng)上兩個用戶間建立分區(qū)屏幕不是必需服務(wù)與talk命令一起使用在端口517提供UDP服務(wù)除非對于UNIX用戶您需要多個交互式交談會話,否則禁用inetd/telnetinetd/etc/inetd.conftelnet服務(wù)支持遠(yuǎn)程登錄會話,但未加保護地傳遞密碼和標(biāo)識如果可能,禁用該服務(wù)并使用遠(yuǎn)程訪問"安全shell"作為替代inetd/tftpinetd/etc/inetd.conf瑣碎文件傳送在端口69提供UDP服務(wù)以root用戶身份運行并且可能危及安全由NIM使用除非您正使用NIM或必須引導(dǎo)無盤工作站,否則禁用inetd/timeinetd/etc/inetd.conf廢棄時間服務(wù)由rdate命令使用的inetd的部功能?？捎米鱐CP與UDP服務(wù)有時在引導(dǎo)時用于同步時鐘該服務(wù)是過時的。使用ntpdate作為替代只有在您禁用該服務(wù)來測試系統(tǒng)而未發(fā)現(xiàn)問題之后,才能禁用該服務(wù)inetd/ttdbserverinetd/etc/inetd.conf工具－交談數(shù)據(jù)庫服務(wù)器〔用于CDErpc.ttdbserverd以root用戶身份運行,且可能危及安全為CDE規(guī)定作為需要的服務(wù),但CDE沒有它也能工作不應(yīng)該在庫房服務(wù)器或涉及安全性的任何系統(tǒng)上運行inetd/uucpinetd/etc/inetd.confUUCP網(wǎng)絡(luò)除非有使用UUCP的應(yīng)用程序,否則禁用inittab/dtinit/etc/rc.dtscriptinthe/etc/inittab桌面登錄到CDE環(huán)境在控制臺啟動X11服務(wù)器支持"X11顯示管理員控制協(xié)議"〔xdcmp,這樣其它X11站能登錄到同一機器應(yīng)該只在個人工作站使用服務(wù)。避免把它用于庫房系統(tǒng)inittab/dt_nogbinit/etc/inittab桌面登錄到CDE環(huán)境〔無圖形引導(dǎo)直到系統(tǒng)充分地啟動后才有圖形顯示與inittab/dt涉及容相同inittab/httpdliteinit/etc/inittab用于docsearch命令的Web服務(wù)器文檔搜索引擎的缺省Web服務(wù)器除非您的機器是文檔服務(wù)器,否則禁用inittab/i4lsinit/etc/inittab許可證管理員服務(wù)器針對開發(fā)機器啟用針對生產(chǎn)機器禁用針對有許可證需要的庫房數(shù)據(jù)庫機器啟用為編譯器、數(shù)據(jù)庫軟件或任何其它得到許可的產(chǎn)品提供支持inittab/imnssinit/etc/inittabdocsearch命令的搜索引擎用于文檔搜索引擎的缺省Web服務(wù)器的一部分除非您的機器是文檔服務(wù)器,否則禁用inittab/imqssinit/etc/inittab用于"文檔搜索"的搜索引擎用于文檔搜索引擎的缺省Web服務(wù)器的一部分除非您的機器是文檔服務(wù)器,否則禁用inittab/lpdinit/etc/inittabBSD行式打印機界面從其它的系統(tǒng)接受打印作業(yè)可以禁用該服務(wù)但仍然發(fā)送作業(yè)到打印服務(wù)器在確認(rèn)打印不受影響后,禁用該服務(wù)inittab/nfsinit/etc/inittab網(wǎng)絡(luò)文件系統(tǒng)／網(wǎng)絡(luò)信息服務(wù)基于建立在UDP/RPC上的NFS與NIS服務(wù)認(rèn)證是最小的對庫房機器禁用此項inittab/piobeinit/etc/inittab打印機I/O后端〔用于打印處理由qdaemon提交的作業(yè)的調(diào)度、假脫機與打印如果因為您正發(fā)送打印作業(yè)到服務(wù)器而不從您的系統(tǒng)打印,則禁用inittab/qdaemoninit/etc/inittab將守護程序排入隊列〔用于打印提交打印作業(yè)到piobe守護程序如果不從系統(tǒng)打印則禁用inittab/uprintfdinit/etc/inittab核消息通常不是必需的禁用inittab/writesrvinit/etc/inittab寫注釋到ttys只由交互式的UNIX工作站用戶使用對服務(wù)器、庫房數(shù)據(jù)庫與開發(fā)機器禁用該服務(wù)對工作站啟用該服務(wù)inittab/xdminit/etc/inittab傳統(tǒng)的"X11顯示管理"請不要在庫房生產(chǎn)或數(shù)據(jù)庫服務(wù)器上運行請不要在開發(fā)系統(tǒng)上運行,除非X11顯示管理是需要的如果需要圖形,則可以在工作站上運行rc.nfs/automountd/etc/rc.nfs自動文件系統(tǒng)如果使用NFS,為工作站啟用該服務(wù)不要把自動安裝器用于開發(fā)或庫房服務(wù)器rc.nfs/biod/etc/rc.nfs阻攔IO守護程序〔NFS服務(wù)器所必需的只為NFS服務(wù)器啟用如果不是NFS服務(wù)器,連同nfsd與rpc.mountd禁用該服務(wù)rc.nfs/keyserv/etc/rc.nfs安全RPC密鑰服務(wù)器管理安全RPC所需要的密鑰對NIS+來說很重要如果您不在使用NFS、NIS與NIS+,則禁用此服務(wù)rc.nfs/nfsd/etc/rc.nfsNFS服務(wù)〔NFS服務(wù)器所所必需的認(rèn)證為弱能提供其本身堆棧幀崩潰如果在NFS文件服務(wù)器上則啟用如果禁用該服務(wù),那么一起禁用biod、nfsd與rpc.mountdrc.nfs/rpc.lockd/etc/rc.nfsNFS文件鎖定如果不在使用NFS,禁用此服務(wù)如果不通過網(wǎng)絡(luò)使用文件鎖定則禁用此服務(wù)在"SANS十種最大安全性威脅"中提到lockd守護程序rc.nfs/rpc.mountd/etc/rc.nfsNFS文件安裝〔NFS服務(wù)器所必需的認(rèn)證為弱能提供其本身堆棧幀崩潰應(yīng)該僅在NFS文件服務(wù)器上啟用如果禁用該服務(wù),那么一起禁用biod與nfsdrc.nfs/rpc.statd/etc/rc.nfsNFS文件鎖定〔來恢復(fù)它們通過NFS實現(xiàn)文件鎖定除非在使用NFS否則禁用該服務(wù)rc.nfs/rpc.yppasswdd/etc/rc.nfsNIS密碼守護程序〔用于NIS主控機用來操作本地密碼文件只有當(dāng)有問題的機器是NIS主控機時才是必需的,在所有其它情況下禁用rc.nfs/ypupdated/etc/rc.nfsNIS更新守護程序〔用于NIS從屬機接收由NIS主控機推進的NIS數(shù)據(jù)庫映射只有當(dāng)有問題的機器是主NIS服務(wù)器的NIS從屬機時才是必需的rc.tcpip/autoconf6/etc/rc.tcpipIPv6界面除非在運行IPV6,否則禁用rc.tcpip/dhcpcd/etc/rc.tcpip動態(tài)主機配置協(xié)議〔客戶機庫房服務(wù)器不應(yīng)該依賴于DHCP。禁用該服務(wù)如果主機不在使用DHCP,則禁用rc.tcpip/dhcprd/etc/rc.tcpip動態(tài)主機配置協(xié)議〔中繼奪取DHCP廣播并發(fā)送它們到另一網(wǎng)絡(luò)的服務(wù)器在路由器上查找到的服務(wù)的副本如果不在使用DHCP或依賴于在網(wǎng)絡(luò)間發(fā)送信息,則禁用rc.tcpip/dhcpsd/etc/rc.tcpip動態(tài)主機配置協(xié)議〔服務(wù)器在引導(dǎo)時從客戶機應(yīng)答DHCP請求；給予客戶機信息,例如IP名稱、、網(wǎng)掩碼、路由器與廣播地址如果不在使用DHCP,則禁用該服務(wù)在生產(chǎn)與庫房服務(wù)器連同不在使用DHCP的主機上禁用rc.tcpip/dpid2/etc/rc.tcpip過期的SNMP服務(wù)除非需要SNMP,否則禁用rc.tcpip/gated/etc.rc.tcpip接口間控制的路由仿真路由器功能禁用該服務(wù)并使用RIP或路由器替代rc.tcpip/inetd/etc/rc.tcpipinetd服務(wù)徹底地保護系統(tǒng)則可以禁用該服務(wù),但這通常是不實際的禁用該服務(wù)會禁用一些與Web服務(wù)器需要的遠(yuǎn)程shell服務(wù)rc.tcpip/mrouted/etc/rc.tcpip多播路由仿真路由器在網(wǎng)段間發(fā)送多點廣播信息包的功能禁用此服務(wù)。使用路由器替代rc.tcpip/names/etc/rc.tcpipDNS名稱服務(wù)器只有如果您的機器是DNS名稱服務(wù)器的話,使用此項對工作站、開發(fā)與生產(chǎn)機器禁用rc.tcpip/ndp-host/etc/rc.tcpipIPv6主機禁用,除非使用IPV6rc.tcpip/ndp-router/etc/rc.tcpipIPv6路由禁用,除非使用IPV6?？紤]使用路由器替代IPv6rc.tcpip/portmap/etc/rc.tcpipRPC服務(wù)必需的服務(wù)RPC服務(wù)器用portmap守護程序注冊。需要定位RPC服務(wù)的客戶機要求portmap守護程序告訴它們特定的服務(wù)位于何處只有當(dāng)您已成功減少RPC服務(wù),從而唯一剩余的是portmap時,禁用rc.tcpip/routed/etc/rc.tcpip接口間的RIP路由仿真路由器功能禁用如果您有用于網(wǎng)絡(luò)間的信息包的路由器rc.tcpip/rwhod/etc/rc.tcpip遠(yuǎn)程"who"守護程序收集并廣播數(shù)據(jù)來監(jiān)視同一網(wǎng)絡(luò)上的服務(wù)器禁用該服務(wù)rc.tcpip/sendmail/etc/rc.tcpip服務(wù)以root用戶身份運行禁用該服務(wù),除非該機器用作服務(wù)器如果禁用,那么做以下的一項：在crontab放置一項來清除隊列。使用/usr/lib/sendmail-q命令配置DNS服務(wù)器,從而傳送服務(wù)器的到某些其它的系統(tǒng)rc.tcpip/snmpd/etc/rc.tcpip簡單網(wǎng)絡(luò)管理協(xié)議如果您不在通過SNMP工具監(jiān)視該系統(tǒng),則禁用在關(guān)鍵服務(wù)器上可能需要SNMPrc.tcpip/syslogd/etc/rc.tcpip事件的系統(tǒng)日志不建議禁用該服務(wù)傾向于拒絕服務(wù)攻擊任何系統(tǒng)必需rc.tcpip/timed/etc/rc.tcpip舊的時間守護程序禁用該服務(wù)并使用xntp代替rc.tcpip/xntpd/etc/rc.tcpip新的時間守護程序在sync中保持系統(tǒng)上的時鐘禁用該服務(wù)。配置其它系統(tǒng)為時間服務(wù)器并通過使用調(diào)用ntpdate的cron作業(yè)讓其它系統(tǒng)與其同步dtlogin/usr/dt/config/Xaccess未限制的CDE如果不提供CDE登錄到X11站的組,可以限制dtlogin到控制臺。匿名FTP協(xié)議服務(wù)userrmuser-p<username>匿名FTP協(xié)議匿名FTP協(xié)議能力使您不能跟蹤某個特定用戶FTP的使用如果用戶存在,則除去用戶ftp,按如下操作：