禁用不必要的服务（计算服务器）

语言：

如果系统不是 NFS 客户机或服务器，则禁用 NFS 状态监视器。
该服务与 lockd(1M) 进行交互来为 NFS 上的锁定服务提供崩溃恢复功能。
```
# svcadm disable svc:/network/nfs/status
```

如果根本不使用 NFS 或使用的是 NFSv4，则禁用 NFS 锁定管理器服务。
NFS 锁定管理器在 NFSv2 和 NFSv3 中支持对 NFS 文件执行记录锁定操作。
```
# svcadm disable svc:/network/nfs/nlockmgr
```

如果系统不会挂载文件，则可以禁用 NFS 客户机服务或卸载其软件包。
仅当系统从 NFS 服务器挂载文件时才需要 NFS 客户机服务。有关更多信息，请参阅 mount_nfs(1M) 手册页。
```
# svcadm disable svc:/network/nfs/client
```

在不是 NFS 文件服务器的系统上禁用 NFS 服务器服务。
NFS 服务器服务通过 NFS 版本 2、3 和 4 处理客户机文件系统请求。如果系统不是 NFS 服务器，则禁用该服务。
```
# svcadm disable svc:/network/nfs/server
```

如果不对 DNS SRV 记录使用 FedFS 或不使用基于 LDAP 的引用，则禁用该服务。
联合文件系统 (Federated file system, FedFS) 客户机服务为存储 FedFS 信息的 LDAP 服务器管理默认值和连接信息。
```
# svcadm disable svc:/network/nfs/fedfs-client
```

禁用 rquota 服务。
remote 配额服务器为通过 NFS 挂载的本地文件系统的用户返回配额。结果由 quota(1M) 用来显示远程文件系统的用户配额。rquotad(1M) 守护进程通常由 inetd(1M) 调用。该守护进程提供有关潜在恶意用户的网络的信息。
```
# svcadm disable svc:/network/nfs/rquota
```

禁用 cbd 服务。
cbd 服务管理 NFS 版本 4 协议的通信端点。nfs4cbd(1M) 守护进程在 NFS 版本 4 客户机上运行，并创建回调的侦听器端口。
```
# svcadm disable svc:/network/nfs/cbd
```

如果不使用 NFSv4，则禁用 mapid 服务。
NFS 用户和组 ID 映射守护进程服务可来回映射 NFS 版本 4 客户机和服务器使用的 NFS 版本 4 owner 和 owner_group 标识属性以及本地 UID 和 GID 编号。
```
# svcadm disable svc:/network/nfs/mapid
```

禁用 ftp 服务。
FTP 服务提供未加密文件传输服务，并使用纯文本验证。使用安全复制程序 scp(1) 代替 ftp，因为该程序提供加密验证和文件传输。
```
# svcadm disable svc:/network/ftp:default
```

禁用远程卷管理器服务。
可移除卷管理器是 HAL 感知型卷管理器，它能够自动挂载和卸载可移除的介质和可热插拔的存储器。用户可能会导入恶意程序或将敏感数据传输到系统以外。有关详细信息，请参阅 rmvolmgr(1M) 手册页。

该服务仅在全局区域中运行。
```
# svcadm disable svc:/system/filesystem/rmvolmgr
```

禁用 smserver 服务。
smserver 服务用于访问可移除介质设备。
```
# svcadm disable rpc/smserver:default
```

对于 /etc/pam.d 目录中的 r-protocol 服务，指定 pam_deny.so.1 作为验证堆栈的模块。
默认情况下，不会安装传统服务，例如 r-protocols、rlogin(1) 和 rsh(1)。但是，会在 /etc/pam.d 中定义这些服务。如果从 /etc/pam.d 中删除了服务定义，在传统服务处于启用状态的情况下，这些服务将使用其他服务（例如 SSH）。
```
# cd /etc/pam.d
# cp rlogin rlogin.orig
# pfedit rlogin
auth definitive pam_deny.so.1
auth sufficient pam_deny.so.1
auth required pam_deny.so.1
# cp rsh rsh.orig
# pfedit rsh
auth definitive pam_deny.so.1
auth sufficient pam_deny.so.1
auth required pam_deny.so.1
```

编辑 /etc/default/keyserv 文件，将 ENABLE_NOBODY_KEYS 的值更改为 NO。
keyserv 服务无法使用 nobody 用户密钥。默认情况下，ENABLE_NOBODY_KEYS 的值为 YES。
```
# pfedit /etc/default/keyserv
. . .
ENABLE_NOBODY_KEYS=NO
```

向 ftpusers 文件中添加用户以限制 ftp 访问。
FTP 文件传输不得提供给所有用户，必须要求符合条件的用户提供用户名和密码。一般来说，不得允许系统用户使用 FTP。这项检查可验证系统帐户是否包括在 /etc/ftpd/ftpusers 文件中，以便不允许他们使用 FTP。

文件 /etc/ftpd/ftpusers 用于禁止用户使用 FTP 服务。至少要包括所有系统用户，例如 root、bin、adm 等。
```
# pfedit /etc/ftpd/ftpusers
....
root
daemon
bin
...
```

为 FTP 服务器创建的文件设置强默认文件创建掩码。
FTP 服务器不一定会使用用户的系统文件创建掩码。设置 FTP umask 可确保通过 FTP 传输的文件使用强文件创建 umask。
```
# pfedit /etc/proftpd.conf
Umask          027
```

禁用对网络拓扑查询的响应。
务必禁用对回显请求的响应。ICMP 请求使用 ipadm 命令进行管理。

以下设置可防止散播有关网络拓扑的信息。
```
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4
# ipadm set-prop -p _respond_to_echo_broadcast=0 ip
```

禁用重定向 ICMP 消息。
路由器使用 ICMP 重定向消息通知主机更多指向目标的直接路由。非法的 ICMP 重定向消息可能会导致 "man-in-the-middle"（中间人）攻击。
```
# ipadm set-prop -p _ignore_redirect=1 ipv4
```

（可选）查看并禁用在网络上侦听的不必要的服务。
默认情况下，ssh(1) 是唯一一个可以发送和接收网络数据包的网络服务。
```
# svcadm disable FMRI_of_unneeded_service
```