AIX中與安全相關(guān)的服務(wù)

./服務(wù)守護(hù)程序如下啟動(dòng)功能注釋inetd/bootpsinetd/etc/inetd.conf用于無(wú)盤(pán)客戶(hù)機(jī)的bootp服務(wù)對(duì)于"網(wǎng)絡(luò)安裝管理"〔NIM和系統(tǒng)遠(yuǎn)程引導(dǎo)是必需的與tftp一起工作在大多數(shù)情況下禁用inetd/chargeninetd/etc/inetd.conf字符發(fā)生器〔僅測(cè)試可用作TCP與UDP服務(wù)為"拒絕服務(wù)"攻擊提供機(jī)會(huì)除非正在測(cè)試網(wǎng)絡(luò),否則禁用inetd/cmsdinetd/etc/inetd.conf日歷服務(wù)〔CDE使用以root用戶(hù)身份運(yùn)行,因此涉及安全性除非用CDE申請(qǐng)?jiān)摲?wù),否則禁用在庫(kù)房數(shù)據(jù)庫(kù)服務(wù)器上禁用inetd/comsatinetd/etc/inetd.conf通知接收的電子以root用戶(hù)身份運(yùn)行,因此涉及安全性很少需要的禁用inetd/daytimeinetd/etc/inetd.conf廢棄時(shí)間服務(wù)〔僅測(cè)試以root用戶(hù)身份運(yùn)行可用作TCP與UDP服務(wù)為"拒絕服務(wù)PING"攻擊提供機(jī)會(huì)廢棄服務(wù)并僅對(duì)測(cè)試使用禁用inetd/discardinetd/etc/inetd.conf/dev/nullservice〔僅測(cè)試可用作TCP與UDP服務(wù)在"拒絕服務(wù)攻擊"中使用廢棄服務(wù)并僅對(duì)測(cè)試使用禁用inetd/dtspcinetd/etc/inetd.confCDE子過(guò)程控制此服務(wù)由inetd守護(hù)程序自動(dòng)啟動(dòng)以響應(yīng)CDE客戶(hù)機(jī),該客戶(hù)機(jī)請(qǐng)求在守護(hù)程序的主機(jī)上啟動(dòng)進(jìn)程。這使它易受攻擊在沒(méi)有CDE的庫(kù)房數(shù)據(jù)庫(kù)服務(wù)器上禁用沒(méi)有該服務(wù)CDE可能會(huì)起作用除非絕對(duì)需要,否則禁用inetd/echoinetdetc/inetd.conf回傳服務(wù)〔只測(cè)試可用作TCP與UDP服務(wù)可用于"拒絕服務(wù)或Smurf"攻擊用于回送信號(hào)給其他人從而穿過(guò)防火墻或啟動(dòng)數(shù)據(jù)傳輸禁用inetd/execinetd/etc/inetd.conf遠(yuǎn)程執(zhí)行服務(wù)以root用戶(hù)身份運(yùn)行要求輸入無(wú)保護(hù)傳遞的用戶(hù)標(biāo)識(shí)和密碼該服務(wù)是非常容易遭到監(jiān)聽(tīng)的禁用inetd/fingerinetd/etc/inetd.conf在用戶(hù)處進(jìn)行取數(shù)以root用戶(hù)身份運(yùn)行給出有關(guān)您的系統(tǒng)與用戶(hù)的信息禁用inetd/ftpinetd/etc/inetd.conf文件傳輸協(xié)議以root用戶(hù)身份運(yùn)行用戶(hù)標(biāo)識(shí)與口令未加保護(hù)地傳送,因此易受監(jiān)聽(tīng)禁用此服務(wù)并使用公共安全shell套件inetd/imap2inetd/etc/inetd.conf因特網(wǎng)訪問(wèn)協(xié)議確保您正使用該服務(wù)器的最新版本只當(dāng)您運(yùn)行服務(wù)器時(shí)才必需。否則,禁用用戶(hù)標(biāo)識(shí)與密碼未加保護(hù)地傳遞inetd/klogininetd/etc/inetd.confKerberos登錄如果您的站點(diǎn)使用Kerberos認(rèn)證則啟用inetd/kshellinetd/etc/inetd.confKerberosshell如果您的站點(diǎn)使用Kerberos認(rèn)證則啟用inetd/logininetd/etc/inetd.confrlogin服務(wù)易于遭受IP欺騙與DNS欺騙數(shù)據(jù)〔包括用戶(hù)標(biāo)識(shí)與密碼未加保護(hù)地傳遞以root用戶(hù)身份運(yùn)行使用安全shell代替該服務(wù)inetd/netstatinetd/etc/inetd.conf當(dāng)前網(wǎng)絡(luò)狀態(tài)報(bào)告如在您的系統(tǒng)上運(yùn)行,可能潛在地把網(wǎng)絡(luò)信息給黑客禁用inetd/ntalkinetd/etc/inetd.conf允許用戶(hù)相互交談以root用戶(hù)身份運(yùn)行不需要產(chǎn)品或庫(kù)房服務(wù)器除非絕對(duì)需要,否則禁用inetd/pcnfsdinetd/etc/inetd.confPCNFS文件服務(wù)如果不是當(dāng)前在使用則禁用服務(wù)如果需要與此類(lèi)似的服務(wù),考慮Samba,pcnfsd守護(hù)程序早于Microsoft的SMB規(guī)的發(fā)行版inetd/pop3inetd/etc/linetd.conf郵局協(xié)議用戶(hù)標(biāo)識(shí)與密碼未加保護(hù)地發(fā)送如果您的系統(tǒng)是服務(wù)器并且擁有使用僅支持POP3的應(yīng)用程序的客戶(hù)機(jī)時(shí)才需要如果您的客戶(hù)機(jī)使用IMAP,則用其作為替代,或使用POP3服務(wù)。該服務(wù)有安全套接字層〔SSL報(bào)文封裝如果您不在運(yùn)行服務(wù)器或有需要POP服務(wù)的客戶(hù)機(jī),則禁用inetd/rexdinetd/etc/inetd.conf遠(yuǎn)程執(zhí)行以root用戶(hù)身份運(yùn)行用on命令監(jiān)視禁用的服務(wù)使用rsh與rshd作為替代inetd/quotadinetd/etc/inetd.conf文件限額的報(bào)告〔對(duì)于NFS客戶(hù)機(jī)如果您正在運(yùn)行NFS文件服務(wù)才需要除非需要對(duì)quota命令提供應(yīng)答,否則禁用該服務(wù)如果需要使用該服務(wù),保持該服務(wù)的所有的補(bǔ)丁和修正包為最新的inetd/rstatdinetd/etc/inetd.conf核統(tǒng)計(jì)信息服務(wù)器如果需要監(jiān)視系統(tǒng),使用SNMP并禁用該服務(wù)需要使用rup命令inetd/rusersdinetd/etc/inetd.conf關(guān)于用戶(hù)登錄的信息這不是基本的服務(wù)。禁用以root用戶(hù)身份運(yùn)行給出系統(tǒng)上當(dāng)前用戶(hù)的列表并用rusers監(jiān)視inetd/rwalldinetd/etc/inetd.conf寫(xiě)給所有用戶(hù)以root用戶(hù)身份運(yùn)行如果系統(tǒng)有交互式用戶(hù),可能需要保持該服務(wù)如果系統(tǒng)為產(chǎn)品或數(shù)據(jù)庫(kù)服務(wù)器,這就不需要禁用inetd/shellinetd/etc/inetd.confrsh服務(wù)如可能則禁用該服務(wù)。使用"安全shell"作為替代如果必須使用該服務(wù),則使用TCP護(hù)封來(lái)停止電子欺騙與限制暴露需要Xhier軟件分布程序inetd/spraydinetd/etc/inetd.confRPC噴射測(cè)試以root用戶(hù)身份運(yùn)行可能不需要NFS網(wǎng)絡(luò)問(wèn)題的診斷如果不在運(yùn)行NFS則禁用inetd/systatinetd/etc/inted.conf"ps-ef"狀態(tài)報(bào)告允許遠(yuǎn)程站點(diǎn)察看系統(tǒng)上的進(jìn)程狀態(tài)該服務(wù)缺省情況下禁用。必須周期性地檢查來(lái)確保未啟用該服務(wù)inetd/talkinetd/etc/inetd.conf在網(wǎng)上兩個(gè)用戶(hù)間建立分區(qū)屏幕不是必需服務(wù)與talk命令一起使用在端口517提供UDP服務(wù)除非對(duì)于UNIX用戶(hù)您需要多個(gè)交互式交談會(huì)話,否則禁用inetd/ntalkinetd/etc/inetd.conf"newtalk"在網(wǎng)上兩個(gè)用戶(hù)間建立分區(qū)屏幕不是必需服務(wù)與talk命令一起使用在端口517提供UDP服務(wù)除非對(duì)于UNIX用戶(hù)您需要多個(gè)交互式交談會(huì)話,否則禁用inetd/telnetinetd/etc/inetd.conftelnet服務(wù)支持遠(yuǎn)程登錄會(huì)話,但未加保護(hù)地傳遞密碼和標(biāo)識(shí)如果可能,禁用該服務(wù)并使用遠(yuǎn)程訪問(wèn)"安全shell"作為替代inetd/tftpinetd/etc/inetd.conf瑣碎文件傳送在端口69提供UDP服務(wù)以root用戶(hù)身份運(yùn)行并且可能危及安全由NIM使用除非您正使用NIM或必須引導(dǎo)無(wú)盤(pán)工作站,否則禁用inetd/timeinetd/etc/inetd.conf廢棄時(shí)間服務(wù)由rdate命令使用的inetd的部功能。可用作TCP與UDP服務(wù)有時(shí)在引導(dǎo)時(shí)用于同步時(shí)鐘該服務(wù)是過(guò)時(shí)的。使用ntpdate作為替代只有在您禁用該服務(wù)來(lái)測(cè)試系統(tǒng)而未發(fā)現(xiàn)問(wèn)題之后,才能禁用該服務(wù)inetd/ttdbserverinetd/etc/inetd.conf工具－交談數(shù)據(jù)庫(kù)服務(wù)器〔用于CDErpc.ttdbserverd以root用戶(hù)身份運(yùn)行,且可能危及安全為CDE規(guī)定作為需要的服務(wù),但CDE沒(méi)有它也能工作不應(yīng)該在庫(kù)房服務(wù)器或涉及安全性的任何系統(tǒng)上運(yùn)行inetd/uucpinetd/etc/inetd.confUUCP網(wǎng)絡(luò)除非有使用UUCP的應(yīng)用程序,否則禁用inittab/dtinit/etc/rc.dtscriptinthe/etc/inittab桌面登錄到CDE環(huán)境在控制臺(tái)啟動(dòng)X11服務(wù)器支持"X11顯示管理員控制協(xié)議"〔xdcmp,這樣其它X11站能登錄到同一機(jī)器應(yīng)該只在個(gè)人工作站使用服務(wù)。避免把它用于庫(kù)房系統(tǒng)inittab/dt_nogbinit/etc/inittab桌面登錄到CDE環(huán)境〔無(wú)圖形引導(dǎo)直到系統(tǒng)充分地啟動(dòng)后才有圖形顯示與inittab/dt涉及容相同inittab/httpdliteinit/etc/inittab用于docsearch命令的Web服務(wù)器文檔搜索引擎的缺省Web服務(wù)器除非您的機(jī)器是文檔服務(wù)器,否則禁用inittab/i4lsinit/etc/inittab許可證管理員服務(wù)器針對(duì)開(kāi)發(fā)機(jī)器啟用針對(duì)生產(chǎn)機(jī)器禁用針對(duì)有許可證需要的庫(kù)房數(shù)據(jù)庫(kù)機(jī)器啟用為編譯器、數(shù)據(jù)庫(kù)軟件或任何其它得到許可的產(chǎn)品提供支持inittab/imnssinit/etc/inittabdocsearch命令的搜索引擎用于文檔搜索引擎的缺省Web服務(wù)器的一部分除非您的機(jī)器是文檔服務(wù)器,否則禁用inittab/imqssinit/etc/inittab用于"文檔搜索"的搜索引擎用于文檔搜索引擎的缺省Web服務(wù)器的一部分除非您的機(jī)器是文檔服務(wù)器,否則禁用inittab/lpdinit/etc/inittabBSD行式打印機(jī)界面從其它的系統(tǒng)接受打印作業(yè)可以禁用該服務(wù)但仍然發(fā)送作業(yè)到打印服務(wù)器在確認(rèn)打印不受影響后,禁用該服務(wù)inittab/nfsinit/etc/inittab網(wǎng)絡(luò)文件系統(tǒng)／網(wǎng)絡(luò)信息服務(wù)基于建立在UDP/RPC上的NFS與NIS服務(wù)認(rèn)證是最小的對(duì)庫(kù)房機(jī)器禁用此項(xiàng)inittab/piobeinit/etc/inittab打印機(jī)I/O后端〔用于打印處理由qdaemon提交的作業(yè)的調(diào)度、假脫機(jī)與打印如果因?yàn)槟l(fā)送打印作業(yè)到服務(wù)器而不從您的系統(tǒng)打印,則禁用inittab/qdaemoninit/etc/inittab將守護(hù)程序排入隊(duì)列〔用于打印提交打印作業(yè)到piobe守護(hù)程序如果不從系統(tǒng)打印則禁用inittab/uprintfdinit/etc/inittab核消息通常不是必需的禁用inittab/writesrvinit/etc/inittab寫(xiě)注釋到ttys只由交互式的UNIX工作站用戶(hù)使用對(duì)服務(wù)器、庫(kù)房數(shù)據(jù)庫(kù)與開(kāi)發(fā)機(jī)器禁用該服務(wù)對(duì)工作站啟用該服務(wù)inittab/xdminit/etc/inittab傳統(tǒng)的"X11顯示管理"請(qǐng)不要在庫(kù)房生產(chǎn)或數(shù)據(jù)庫(kù)服務(wù)器上運(yùn)行請(qǐng)不要在開(kāi)發(fā)系統(tǒng)上運(yùn)行,除非X11顯示管理是需要的如果需要圖形,則可以在工作站上運(yùn)行rc.nfs/automountd/etc/rc.nfs自動(dòng)文件系統(tǒng)如果使用NFS,為工作站啟用該服務(wù)不要把自動(dòng)安裝器用于開(kāi)發(fā)或庫(kù)房服務(wù)器rc.nfs/biod/etc/rc.nfs阻攔IO守護(hù)程序〔NFS服務(wù)器所必需的只為NFS服務(wù)器啟用如果不是NFS服務(wù)器,連同nfsd與rpc.mountd禁用該服務(wù)rc.nfs/keyserv/etc/rc.nfs安全RPC密鑰服務(wù)器管理安全RPC所需要的密鑰對(duì)NIS+來(lái)說(shuō)很重要如果您不在使用NFS、NIS與NIS+,則禁用此服務(wù)rc.nfs/nfsd/etc/rc.nfsNFS服務(wù)〔NFS服務(wù)器所所必需的認(rèn)證為弱能提供其本身堆棧幀崩潰如果在NFS文件服務(wù)器上則啟用如果禁用該服務(wù),那么一起禁用biod、nfsd與rpc.mountdrc.nfs/rpc.lockd/etc/rc.nfsNFS文件鎖定如果不在使用NFS,禁用此服務(wù)如果不通過(guò)網(wǎng)絡(luò)使用文件鎖定則禁用此服務(wù)在"SANS十種最大安全性威脅"中提到lockd守護(hù)程序rc.nfs/rpc.mountd/etc/rc.nfsNFS文件安裝〔NFS服務(wù)器所必需的認(rèn)證為弱能提供其本身堆棧幀崩潰應(yīng)該僅在NFS文件服務(wù)器上啟用如果禁用該服務(wù),那么一起禁用biod與nfsdrc.nfs/rpc.statd/etc/rc.nfsNFS文件鎖定〔來(lái)恢復(fù)它們通過(guò)NFS實(shí)現(xiàn)文件鎖定除非在使用NFS否則禁用該服務(wù)rc.nfs/rpc.yppasswdd/etc/rc.nfsNIS密碼守護(hù)程序〔用于NIS主控機(jī)用來(lái)操作本地密碼文件只有當(dāng)有問(wèn)題的機(jī)器是NIS主控機(jī)時(shí)才是必需的,在所有其它情況下禁用rc.nfs/ypupdated/etc/rc.nfsNIS更新守護(hù)程序〔用于NIS從屬機(jī)接收由NIS主控機(jī)推進(jìn)的NIS數(shù)據(jù)庫(kù)映射只有當(dāng)有問(wèn)題的機(jī)器是主NIS服務(wù)器的NIS從屬機(jī)時(shí)才是必需的rc.tcpip/autoconf6/etc/rc.tcpipIPv6界面除非在運(yùn)行IPV6,否則禁用rc.tcpip/dhcpcd/etc/rc.tcpip動(dòng)態(tài)主機(jī)配置協(xié)議〔客戶(hù)機(jī)庫(kù)房服務(wù)器不應(yīng)該依賴(lài)于DHCP。禁用該服務(wù)如果主機(jī)不在使用DHCP,則禁用rc.tcpip/dhcprd/etc/rc.tcpip動(dòng)態(tài)主機(jī)配置協(xié)議〔中繼奪取DHCP廣播并發(fā)送它們到另一網(wǎng)絡(luò)的服務(wù)器在路由器上查找到的服務(wù)的副本如果不在使用DHCP或依賴(lài)于在網(wǎng)絡(luò)間發(fā)送信息,則禁用rc.tcpip/dhcpsd/etc/rc.tcpip動(dòng)態(tài)主機(jī)配置協(xié)議〔服務(wù)器在引導(dǎo)時(shí)從客戶(hù)機(jī)應(yīng)答DHCP請(qǐng)求；給予客戶(hù)機(jī)信息,例如IP名稱(chēng)、、網(wǎng)掩碼、路由器與廣播地址如果不在使用DHCP,則禁用該服務(wù)在生產(chǎn)與庫(kù)房服務(wù)器連同不在使用DHCP的主機(jī)上禁用rc.tcpip/dpid2/etc/rc.tcpip過(guò)期的SNMP服務(wù)除非需要SNMP,否則禁用rc.tcpip/gated/etc.rc.tcpip接口間控制的路由仿真路由器功能禁用該服務(wù)并使用RIP或路由器替代rc.tcpip/inetd/etc/rc.tcpipinetd服務(wù)徹底地保護(hù)系統(tǒng)則可以禁用該服務(wù),但這通常是不實(shí)際的禁用該服務(wù)會(huì)禁用一些與Web服務(wù)器需要的遠(yuǎn)程shell服務(wù)rc.tcpip/mrouted/etc/rc.tcpip多播路由仿真路由器在網(wǎng)段間發(fā)送多點(diǎn)廣播信息包的功能禁用此服務(wù)。使用路由器替代rc.tcpip/names/etc/rc.tcpipDNS名稱(chēng)服務(wù)器只有如果您的機(jī)器是DNS名稱(chēng)服務(wù)器的話,使用此項(xiàng)對(duì)工作站、開(kāi)發(fā)與生產(chǎn)機(jī)器禁用rc.tcpip/ndp-host/etc/rc.tcpipIPv6主機(jī)禁用,除非使用IPV6rc.tcpip/ndp-router/etc/rc.tcpipIPv6路由禁用,除非使用IPV6?？紤]使用路由器替代IPv6rc.tcpip/portmap/etc/rc.tcpipRPC服務(wù)必需的服務(wù)RPC服務(wù)器用portmap守護(hù)程序注冊(cè)。需要定位RPC服務(wù)的客戶(hù)機(jī)要求portmap守護(hù)程序告訴它們特定的服務(wù)位于何處只有當(dāng)您已成功減少RPC服務(wù),從而唯一剩余的是portmap時(shí),禁用rc.tcpip/routed/etc/rc.tcpip接口間的RIP路由仿真路由器功能禁用如果您有用于網(wǎng)絡(luò)間的信息包的路由器rc.tcpip/rwhod/etc/rc.tcpip遠(yuǎn)程"who"守護(hù)程序收集并廣播數(shù)據(jù)來(lái)監(jiān)視同一網(wǎng)絡(luò)上的服務(wù)器禁用該服務(wù)rc.tcpip/sendmail/etc/rc.tcpip服務(wù)以root用戶(hù)身份運(yùn)行禁用該服務(wù),除非該機(jī)器用作服務(wù)器如果禁用,那么做以下的一項(xiàng)：在crontab放置一項(xiàng)來(lái)清除隊(duì)列。使用/usr/lib/sendmail-q命令配置DNS服務(wù)器,從而傳送服務(wù)器的到某些其它的系統(tǒng)rc.tcpip/snmpd/etc/rc.tcpip簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議如果您不在通過(guò)SNMP工具監(jiān)視該系統(tǒng),則禁用在關(guān)鍵服務(wù)器上可能需要SNMPrc.tcpip/syslogd/etc/rc.tcpip事件的系統(tǒng)日志不建議禁用該服務(wù)傾向于拒絕服務(wù)攻擊任何系統(tǒng)必需rc.tcpip/timed/etc/rc.tcpip舊的時(shí)間守護(hù)程序禁用該服務(wù)并使用xntp代替rc.tcpip/xntpd/etc/rc.tcpip新的時(shí)間守護(hù)程序在sync中保持系統(tǒng)上的時(shí)鐘禁用該服務(wù)。配置其它系統(tǒng)為時(shí)間服務(wù)器并通過(guò)使用調(diào)用ntpdate的cron作業(yè)讓其它系統(tǒng)與其同步dtlogin/usr/dt/config/Xaccess未限制的CDE如果不提供CDE登錄到X11站的組,可以限制dtlogin到控制臺(tái)。匿名FTP協(xié)議服務(wù)userrmuser-p<username>匿名FTP協(xié)議匿名FTP協(xié)議能力使您不能跟蹤某個(gè)特定用戶(hù)FTP的使用如果用戶(hù)存在,則除去用戶(hù)ftp,按如下操作：