可重新配置的设置

使用缺省配置安装 Solaris for ISPs 平台扩展和服务，将覆盖安装它们的主机上的缺省服务特性。这个过程创建了一个更加安全的服务器，因为它禁止了对于在系统上安装的 Solaris for ISPs 软件来说并非必要的 Solaris 网络实用程序。

在配置主机过程中，您必须复审，并且若有必要还可能要修改缺省配置。

若您接受缺省安装设置，即意味着这些 Solaris 服务将被禁止，除非另有说明。虽然并不要求禁止这些服务，可我们建议禁止这些服务以 避免潜在的安全漏洞以及保护资源。要变更这些服务的值，inetd.conf 将被修改，除非另有说明。要回复这些变更，请转向 "回复变更"

堵住潜在的安全漏洞

我们建议禁止下列服务以确保对口令的保护和限制未经授权的个人对主机的访问。

若您接受缺省设置，您将不再能够使用这些被禁止的 "r" 命令访问主机。

• rexecd: 禁止该服务以终止对通过 rexec(3N) 执行远程命令功能的支持，该功能以明文形式传递口令。

• rlogind: 禁止该服务以确保口令的安全，因为它在远程记录时依靠 .rhosts 和 hosts.equiv 进行无口令鉴别。

• rshd: 禁止该服务以保护口令，因为它在执行远程命令时依靠 .rhosts 和 hosts.equiv 进行无口令鉴别。

  ---

  注意：

  若您接受缺省设置，下列服务将启用。您必须复审并有可能要修改设置。

  ---

• telnetd: 若您接受缺省安装设置，注意该服务会被启用，因为它启用远程登录机制。

• ftpd: 若您接受缺省安装设置，注意该服务会被启用，因为它提供对远程网络站点之间以不安全性最低的方式传送文件的支持。若您选择 Sun Internet FTP Server 进行安装，该服务将被禁止。

  ---

  注意：

  若您需要 telnet 和 FTP 服务的安全性，请将您的网络设置成文件传送请求只在网络内部进行。

  ---

我们建议禁止下列服务，以防止未经授权的用户访问信息。禁止这些服务将会增强系统的安全性，并通过阻止主机对这些网络请求做出响应而限制对系统信息的访问。

• fingerd: 禁止该服务以使某个基于网络的 finger 请求无法接触信息。

• netstat: 禁止该服务以确保各种与网络有关的数据结构的内容不被远程调用 netstat 所暴露。

• rstatd: 禁止该服务以防止对系统统计信息的访问。

• rusersd: 禁止该服务以保护有关已登录用户的信息。

• systat: 禁止该服务以中止对在主机上远程运行 ps 的支持。

• routing: 禁止该服务以确保主机未当作路由器来操作。若被禁止，则创建文件 /etc/notrouter。

• sendmail: 禁止该服务以防止“拒绝服务”攻击以及禁止对接收和发送 邮件的支持。 S88sendmail 被修改。

• sprayd: 禁止该服务以中止对测试网络和记录由 spray 发送的包的支持。

保护资源

我们建议禁止下列 CDE 和 OpenWindows 服务，除非您的环境需要它们。禁止这些服务将增强系统的性能。

• cmsd: 禁止该服务，因为仅当 CDE 日历位于主机上时才需要它。

• dtspcd: 禁止该服务以中止对 CDE 会话的支持。

• kcms_server: 禁止该服务以中止对远程访问 OpenWindows KCMS 简要表的支持。

• ttdbserverd: 禁止该服务以中止对适当的 CDE 操作所要求的 Tooltalk 数据库服务器的支持。

我们建议禁止下列网络 (inetd) 服务，除非您的环境要求它们。禁止这些服务将会释放资源并增强系统性能。若您需要下面列出的任何网络实用程序，请修改缺省配置。

• chargen: 禁止该服务以中止对测试 inetd 和生成字符的支持。

• discard: 禁止该服务以中止丢弃来自正在测试的 inetd 的全部输入。

• echo: 禁止该服务以中止对来自正在测试的 inetd 的所有输入回显 (echo back) 的支持。

• fs.auto: 禁止该服务以禁用字体服务器。

  ---

  注意：

  若您接受缺省设置，下列服务将被启用。您必须复审，还有可能要修改设置。

  ---

• time: 若您接受缺省安装设置，注意该服务将被启用，因为它阻止某人远程查询系统的时间。它返回机器可读的时间。

• cachefsd: 若您接受缺省安装设置，注意该服务将被启用。这是 cacheFS 守护程序。

我们建议禁止下列服务，除非它对于您的环境必不可少。禁止这些服务将增强系统的性能。如果您需要下面列出的任何服务，请修改缺省配置。

• automountd: 禁止该服务，因为它仅仅支持自动装配而非普通 NFS 装配。要变更其值，S74autofs 将被修改。

• comsat: 禁止该服务以中止在主机上新邮件的 biff(1) 通知。

• daytime: 禁止该服务以中止对返回当前时间的支持。

• rquotad: 禁止该服务以确保主机未被当作支持其文件系统上的磁盘限额的 NFS 服务器来操作。

• sadmind: 禁止该服务以中止对用 Solstice AdminSuite 来执行分布式系统管理操作的支持。

• talkd: 禁止该服务以中止对运行交互式谈话程序的支持。

• tnamed: 禁止该服务以中止对 DARPA 名称服务器协议的支持。

• lpd: 禁止该服务以确保主机未被当作 BSD 打印服务器来操作。这并不禁止系统 V 打印服务器。

• uucpd: 禁止该服务并中止支持将以源文件自变量命名的文件复制到以目标文件自变量命名的文件。

• walld: 禁止该服务并中止对由 wall 发送消息的支持。

• Xaserver: 禁止该服务并中止对基于 X 的音频的支持。

您也可以在主机配置过程中参考联机帮助，以获得有关启用或禁用 Solaris 服务方面的帮助。