計算サーバーへのログインとデフォルトパスワードの変更を参照してください。
このサービスを lockd(1M) と同時に使用すると、NFS 上のロックサービスにクラッシュおよび回復機能が提供されます。
# svcadm disable svc:/network/nfs/status
NFS ロックマネージャーでは、NFSv2 および NFSv3 の NFS ファイル上でのレコードロック操作がサポートされています。
# svcadm disable svc:/network/nfs/nlockmgr
NFS クライアントサービスは、システム上のファイルが NFS サーバーからマウントされている場合にのみ必要です。詳細は、mount_nfs(1M) のマニュアルページを参照してください。
# svcadm disable svc:/network/nfs/client
NFS サーバーサービスでは、NFS バージョン 2、3、および 4 上のクライアントファイルシステム要求が処理されます。このシステムが NFS サーバーでない場合は、サービスを無効にします。
# svcadm disable svc:/network/nfs/server
フェデレーテッドファイルシステム (FedFS) クライアントサービスでは、FedFS 情報を格納する LDAP サーバーに関するデフォルトおよび接続情報が管理されます。
# svcadm disable svc:/network/nfs/fedfs-client
remote 割り当てサーバーは、NFS 上でマウントされているローカルファイルシステムのユーザーに対する割り当てを返します。結果を quota(1M) で使用すると、リモートファイルシステムに対するユーザー割り当てが表示されます。通常、rquotad(1M) デーモンは inetd(1M) から呼び出されます。このデーモンによって、悪意のある可能性があるユーザーにネットワークに関する情報が提供されます。
# svcadm disable svc:/network/nfs/rquota
cbd サービスでは、NFS Version 4 プロトコル用の通信エンドポイントが管理されます。nfs4cbd(1M) デーモンは、NFS Version 4 クライアント上で実行され、コールバック用のリスナーポートを作成します。
# svcadm disable svc:/network/nfs/cbd
NFS ユーザーとグループ ID とのマッピングデーモンサービスでは、NFS バージョン 4 の識別属性 owner および owner_group と、NFS バージョン 4 クライアントとサーバーの両方で使用されるローカル UID および GID 番号間がマップされます。
# svcadm disable svc:/network/nfs/mapid
FTP サービスでは、暗号化されていないファイル転送サービスが提供され、プレーンテキスト認証が使用されます。セキュアなコピープログラム scp(1) では、暗号化された認証およびファイル転送が提供されるため、ftp の代わりに、このプログラムを使用してください。
# svcadm disable svc:/network/ftp:default
リムーバブルボリュームマネージャーは、リムーバブルメディアとホットプラグ可能なストレージを自動的にマウントおよびアンマウントできる HAL 対応のボリュームマネージャーです。ユーザーが悪質のあるプログラムをインポートしたり、システムから機密データを転送したりする可能性があります。詳細は、rmvolmgr(1M) のマニュアルページを参照してください。
このサービスは、大域ゾーンでのみ実行されます。
# svcadm disable svc:/system/filesystem/rmvolmgr
smserver サービスは、リムーバブルメディアデバイスにアクセスするために使用されます。
# svcadm disable rpc/smserver:default
デフォルトでは、r-protocols、rlogin(1)、および rsh(1) などの旧バージョンのサービスはインストールされません。ただし、これらのサービスは /etc/pam.d で定義されています。旧バージョンのサービスが有効になっている場合に、/etc/pam.d からサービスの定義を削除すると、その他のサービス (SSH など) がサービスで使用されます。
# cd /etc/pam.d # cp rlogin rlogin.orig # pfedit rlogin auth definitive pam_deny.so.1 auth sufficient pam_deny.so.1 auth required pam_deny.so.1 # cp rsh rsh.orig # pfedit rsh auth definitive pam_deny.so.1 auth sufficient pam_deny.so.1 auth required pam_deny.so.1
keyserv サービスでは、nobody ユーザー鍵を使用できません。デフォルトでは、ENABLE_NOBODY_KEYS の値は YES です。
# pfedit /etc/default/keyserv . . . ENABLE_NOBODY_KEYS=NO
すべてのユーザーが FTP ファイル転送を使用できる必要はありません。これを使用するには、権限を持つユーザーの名前とパスワードを指定する必要があります。一般に、システムユーザーには FTP の使用を許可しないようにしてください。このチェックでは、FTP の使用が許可されないように、システムアカウントが /etc/ftpd/ftpusers ファイルに含まれていることが確認されます。
/etc/ftpd/ftpusers ファイルは、ユーザーによる FTP サービスの使用を禁止するために使用されます。少なくとも、すべてのシステムユーザー (root、bin、adm など) を含めてください。
# pfedit /etc/ftpd/ftpusers .... root daemon bin ...
FTP サーバーでは、必ずしもユーザーのシステムファイル作成マスクを使用する必要はありません。FTP umask を設定すると、FTP 経由で転送されたファイルで強固なファイル作成 umask が使用されます。
# pfedit /etc/proftpd.conf Umask 027
エコー要求への応答を無効にすることが重要です。ICMP 要求は、ipadm コマンドを使用して管理されます。
このように設定することで、ネットワークトポロジに関する情報が流布されることが回避されます。
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4 # ipadm set-prop -p _respond_to_echo_broadcast=0 ip
ルーターは ICMP リダイレクトメッセージを使用して、ホストに宛先へのより直接的なルートを通知します。不正な ICMP リダイレクトメッセージによって、中間者攻撃を受ける可能性があります。
# ipadm set-prop -p _ignore_redirect=1 ipv4
# mesg -n
デフォルトでは、ネットワークパケットを送受信できる唯一のネットワークサービスは ssh(1) です。
# svcadm disable FMRI_of_unneeded_service