请参见登录到计算服务器并更改默认密码。
该服务与 lockd(1M) 进行交互来为 NFS 上的锁定服务提供崩溃恢复功能。
# svcadm disable svc:/network/nfs/status
NFS 锁定管理器在 NFSv2 和 NFSv3 中支持对 NFS 文件执行记录锁定操作。
# svcadm disable svc:/network/nfs/nlockmgr
仅当系统从 NFS 服务器挂载文件时才需要 NFS 客户机服务。有关更多信息,请参阅 mount_nfs(1M) 手册页。
# svcadm disable svc:/network/nfs/client
NFS 服务器服务通过 NFS 版本 2、3 和 4 处理客户机文件系统请求。如果系统不是 NFS 服务器,则禁用该服务。
# svcadm disable svc:/network/nfs/server
联合文件系统 (Federated file system, FedFS) 客户机服务为存储 FedFS 信息的 LDAP 服务器管理默认值和连接信息。
# svcadm disable svc:/network/nfs/fedfs-client
remote 配额服务器为通过 NFS 挂载的本地文件系统的用户返回配额。结果由 quota(1M) 用来显示远程文件系统的用户配额。rquotad(1M) 守护进程通常由 inetd(1M) 调用。该守护进程提供有关潜在恶意用户的网络的信息。
# svcadm disable svc:/network/nfs/rquota
cbd 服务管理 NFS 版本 4 协议的通信端点。nfs4cbd(1M) 守护进程在 NFS 版本 4 客户机上运行,并创建回调的侦听器端口。
# svcadm disable svc:/network/nfs/cbd
NFS 用户和组 ID 映射守护进程服务可来回映射 NFS 版本 4 客户机和服务器使用的 NFS 版本 4 owner 和 owner_group 标识属性以及本地 UID 和 GID 编号。
# svcadm disable svc:/network/nfs/mapid
FTP 服务提供未加密文件传输服务,并使用纯文本验证。使用安全复制程序 scp(1) 代替 ftp,因为该程序提供加密验证和文件传输。
# svcadm disable svc:/network/ftp:default
可移除卷管理器是 HAL 感知型卷管理器,它能够自动挂载和卸载可移除的介质和可热插拔的存储器。用户可能会导入恶意程序或将敏感数据传输到系统以外。有关详细信息,请参阅 rmvolmgr(1M) 手册页。
该服务仅在全局区域中运行。
# svcadm disable svc:/system/filesystem/rmvolmgr
smserver 服务用于访问可移除介质设备。
# svcadm disable rpc/smserver:default
默认情况下,不会安装传统服务,例如 r-protocols、rlogin(1) 和 rsh(1)。但是,会在 /etc/pam.d 中定义这些服务。如果从 /etc/pam.d 中删除了服务定义,在传统服务处于启用状态的情况下,这些服务将使用其他服务(例如 SSH)。
# cd /etc/pam.d # cp rlogin rlogin.orig # pfedit rlogin auth definitive pam_deny.so.1 auth sufficient pam_deny.so.1 auth required pam_deny.so.1 # cp rsh rsh.orig # pfedit rsh auth definitive pam_deny.so.1 auth sufficient pam_deny.so.1 auth required pam_deny.so.1
keyserv 服务无法使用 nobody 用户密钥。默认情况下,ENABLE_NOBODY_KEYS 的值为 YES。
# pfedit /etc/default/keyserv . . . ENABLE_NOBODY_KEYS=NO
FTP 文件传输不得提供给所有用户,必须要求符合条件的用户提供用户名和密码。一般来说,不得允许系统用户使用 FTP。这项检查可验证系统帐户是否包括在 /etc/ftpd/ftpusers 文件中,以便不允许他们使用 FTP。
文件 /etc/ftpd/ftpusers 用于禁止用户使用 FTP 服务。至少要包括所有系统用户,例如 root、bin、adm 等。
# pfedit /etc/ftpd/ftpusers .... root daemon bin ...
FTP 服务器不一定会使用用户的系统文件创建掩码。设置 FTP umask 可确保通过 FTP 传输的文件使用强文件创建 umask。
# pfedit /etc/proftpd.conf Umask 027
务必禁用对回显请求的响应。ICMP 请求使用 ipadm 命令进行管理。
以下设置可防止散播有关网络拓扑的信息。
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4 # ipadm set-prop -p _respond_to_echo_broadcast=0 ip
路由器使用 ICMP 重定向消息通知主机更多指向目标的直接路由。非法的 ICMP 重定向消息可能会导致 "man-in-the-middle"(中间人)攻击。
# ipadm set-prop -p _ignore_redirect=1 ipv4
# mesg -n
默认情况下,ssh(1) 是唯一一个可以发送和接收网络数据包的网络服务。
# svcadm disable FMRI_of_unneeded_service