Paramètres reconfigurables

L'installation d'extensions de plate-forme et de services Solaris for ISPs avec leur configuration par défaut outrepassera le comportement des services par défaut sur les hôtes où ils sont installés. Cette procédure crée un serveur plus sécurisé en désactivant les utilitaires réseau Solaris qui ne sont pas essentiels au logiciel Solaris for ISPs installé sur le système.

Vous devez réviser et pouvez modifier, si nécessaire, la configuration par défaut pendant la configuration de l'hôte.

Si vous acceptez la configuration d'installation par défaut, ces services Solaris seront désactivés, sauf indication contraire. La désactivation de ce service n'est pas requise, mais nous la recommandons pour éviter d'éventuelles brèches à la sécurité et pour conserver les ressources. Pour changer la valeur de ces services, inetd.conf sera modifié, sauf indication contraire. Pour annuler ces modifications, passez à "Annulation des modifications"

Fermeture de brèches éventuelles à la sécurité

Nous recommandons de désactiver les services suivants pour assurer la protection des mots de passe et pour empêcher quiconque d'accéder sans autorisation aux hôtes.

Si vous acceptez la valeur par défaut, vous ne pourrez plus accéder à l'hôte avec ces commandes "r" désactivées.

• rexecd: Désactivez ce service pour arrêter le support d'exécution de commande distante par l'intermédiaire de la fonction rexec(3N), qui passe les mots de passe en clair.

• rlogind: Désactivez ce service pour assurer la sécurité des mots de passe parce qu'il repose sur .rhosts et hosts.equiv pour l'authentification sans mot de passe pendant la connexion à distance.

• rshd: Désactivez ce service pour protéger le mot de passe parce qu'il repose sur .rhosts et hosts.equiv pour une authentification sans mot de passe pendant l'exécution d'une commande à distance.

  ---

  Remarque :

  Si vous acceptez la valeur par défaut, les services suivants seront activés. Vous devez réviser et pouvez modifier le paramètre.

  ---

• telnetd: Si vous acceptez la valeur d'installation par défaut, sachez que ce service est activé et autorise les mécanismes de connexion distante.

• ftpd: Si vous acceptez la valeur d'installation par défaut, sachez que ce service est activé et assure le support du transfert de fichier vers et depuis les sites réseau distants dans un mode plus sécurisé. Ce service sera désactivé si vous sélectionnez Sun Internet FTP Server pour l'installation.

  ---

  Remarque :

  Si vous avez besoin de mécanismes de sécurité pour les services telnet et FTP, configurez votre réseau de façon à ce que les demandes de transfert de fichier soient effectuées à l'intérieur du réseau.

  ---

Nous vous recommandons de désactiver les services suivants pour protéger les informations contre tout utilisateur non autorisé. La désactivation de ces services améliore la sécurité du système et interdit l'accès aux informations du système en empêchant des réponses d'hôte à ces demandes réseau.

• fingerd: Désactivez ce service pour protéger les informations contre les demandes finger réseau.

• netstat: Désactivez ce service pour assurer que le contenu des diverses structures de données associées au réseau ne sont pas exposées à une invocation distante de netstat.

• rstatd: Désactivez ce service pour empêcher l'accès aux statistiques système.

• rusersd: Désactivez ce service pour protéger les informations sur les utilisateurs connectés.

• systat: Désactivez ce service pour arrêter le support de l'exécution à distance de ps sur l'hôte.

• routing: Désactivez ce service pour assurer que l'hôte ne fonctionne pas comme un routeur. Si ce service est désactivé, le fichier /etc/notrouter est créé.

• sendmail: Désactivez ce service pour le protéger contre les attaques refus de services et pour désactiver le support de réception et d'envoi de courrier électronique. S88sendmail est modifié.

• sprayd: Désactivez ce service pour arrêter le support du test du réseau et de l'enregistrement de progiciels envoyés par spray.

Conservation de ressources

Nous recommandons de désactiver les services CDE et OpenWindows suivants, sauf s'ils sont requis dans votre environnement. La désactivation de ces services améliore les performances du système.

• cmsd: Désactivez ce service puisqu'il est requis uniquement si des calendriers CDE se trouvent sur l'hôte.

• dtspcd: Désactivez ce service pour arrêter le support de sessions CDE.

• kcms_server: Désactivez ce service pour arrêter le support d'accès distant aux profils OpenWindows KCMS.

• ttdbserverd: Désactivez ce service pour arrêter le support du serveur de base de données Tooltalk requis pour un fonctionnement correct de CDE.

Nous recommandons la désactivation des services (inetd) réseau suivants, sauf s'ils sont requis dans votre environnement. La désactivation de ces services libérera des ressources et améliorera les performances du système. Modifiez la configuration par défaut si vous avez besoin des utilitaires réseau indiqués ci-dessous.

• chargen: Désactivez ce service pour arrêter le support du test d'inetd et de génération de caractères.

• discard: Désactivez ce service pour arrêter le rejet de toutes les entrées issues du test d'inetd.

• echo: Désactivez ce service pour arrêter le support de l'écho de toutes les entrées du test inetd.

• fs.auto: Désactivez ce service pour désactiver le serveur de polices.

  ---

  Remarque :

  Si vous acceptez la valeur par défaut, le service suivant sera activé. Vous devez réviser et pouvez modifier la valeur.

  ---

• time: Si vous acceptez la valeur d'installation par défaut, sachez que ce service sera activé et que personne ne pourra interroger l'heure du système à distance. Il renvoie l'heure machine.

• cachefsd: Si vous acceptez la valeur d'installation par défaut, sachez que ce service sera activé. Cela correspond au démon cacheFS.

Nous recommandons la désactivation des services suivants, sauf s'ils sont essentiels pour votre environnement. La désactivation de ces services améliore les performances du système. Veuillez modifier la configuration par défaut si vous avez besoin des services indiqués ci-dessous.

• automountd: Désactivez ce service puisqu'il supporte uniquement le montage automatique et non des montages NFS normaux. Pour changer sa valeur, S74autofs sera modifié.

• comsat: Désactivez ce service pour arrêter la notification biff(1) de nouveaux messages sur l'hôte.

• daytime: Désactivez ce service pour arrêter le support de renvoi de l'heure du jour.

• rquotad: Désactivez ce service pour garantir que l'hôte n'est pas utilisé comme un serveur NFS supportant des quotas de disque sur son système de fichiers.

• sadmind: Désactivez ce service pour arrêter le support d'exécution d'opérations d'administration système réparties utilisant Solstice AdminSuite.

• talkd: Désactivez ce service pour arrêter le support d'exécution du programme de parole interactive.

• tnamed: Désactivez ce service pour arrêter le support du protocole de serveur de noms DARPA.

• lpd: Désactivez ce service pour garantir que l'hôte n'est pas utilisé comme un serveur d'impression BSD. Cela ne désactive pas le serveur d'impression système V.

• uucpd: Désactivez ce service et arrêtez le support de copie de fichiers nommés par les arguments de fichier source dans l'argument de fichier destination.

• walld: Désactivez ce service et arrêtez le support d'envoi de message par wall.

• Xaserver: Désactivez ce service et arrêtez le support pour les fonctions audio X.

Vous pouvez également consulter l'aide en ligne pendant la configuration de l'hôte pour obtenir de l'aide sur l'activation ou la désactivation des services Solaris.