연산 서버에 로그인 및 기본 암호 변경을 참조하십시오.
이 서비스는 lockd(1M)와 상호 작용해서 NFS에 대한 잠금 서비스를 위한 충돌 및 복구 기능을 제공합니다.
# svcadm disable svc:/network/nfs/status
NFS 잠금 관리자는 NFSv2 및 NFSv3에서 NFS 파일에 대한 레코드 잠금 작업을 지원합니다.
# svcadm disable svc:/network/nfs/nlockmgr
NFS 클라이언트 서비스는 시스템이 NFS 서버에서 파일을 마운트 중인 경우에만 필요합니다. 자세한 내용은 mount_nfs(1M) 매뉴얼 페이지를 참조하십시오.
# svcadm disable svc:/network/nfs/client
NFS 서버 서비스는 NFS 버전 2, 3 및 4를 통해 클라이언트 파일 시스템 요청을 처리합니다. 이 시스템이 NFS 서버가 아니면 서비스를 사용 안함으로 설정합니다.
# svcadm disable svc:/network/nfs/server
FedFS(통합 파일 시스템) 클라이언트 서비스는 FedFS 정보를 저장하는 LDAP 서버에 대한 기본값 및 연결 정보를 관리합니다.
# svcadm disable svc:/network/nfs/fedfs-client
remote 할당량 서버는 NFS를 통해 마운트되는 로컬 파일 시스템에 대한 할당량을 반환합니다. 그 결과는 quota(1M)에서 원격 파일 시스템에 대한 사용자 할당량을 표시하는 데 사용됩니다. rquotad(1M) 데몬은 일반적으로 inetd(1M)에 의해 호출됩니다. 이 데몬은 잠재적으로 악의적인 사용자에게 네트워크에 대한 정보를 제공합니다.
# svcadm disable svc:/network/nfs/rquota
cbd 서비스는 NFS 버전 4 프로토콜에 대한 통신 끝점을 관리합니다. nfs4cbd(1M) 데몬은 NFS 버전 4 클라이언트에서 실행되며 콜백에 대한 리스너 포트를 만듭니다.
# svcadm disable svc:/network/nfs/cbd
NFS 사용자 및 그룹 ID 매핑 데몬 서비스는 NFS 버전 4 owner 및 owner_group 식별 속성과 NFS 버전 4 클라이언트 및 서버 모두에 사용되는 로컬 UID와 GID 번호에 대해 매핑됩니다.
# svcadm disable svc:/network/nfs/mapid
FTP 서비스는 암호화되지 않은 파일 전송 서비스를 제공하며 일반 텍스트 인증을 사용합니다. 암호화된 인증 및 파일 전송을 제공할 수 있도록 ftp 대신 보안 복사 프로그램인 scp(1) 프로그램을 사용하십시오.
# svcadm disable svc:/network/ftp:default
이 이동식 볼륨 관리자는 이동식 매체 및 핫 플러그 가능 저장소를 자동으로 마운트 및 마운트 해제할 수 있는 HAL 인식 볼륨 관리자입니다. 사용자가 악의적인 프로그램을 가져오거나 시스템 외부로 중요한 데이터를 전송할 수 있습니다. 자세한 내용은 rmvolmgr(1M) 매뉴얼 페이지를 참조하십시오.
이 서비스는 전역 영역에서만 실행됩니다.
# svcadm disable svc:/system/filesystem/rmvolmgr
smserver 서비스는 이동식 매체 장치에 액세스하는 데 사용됩니다.
# svcadm disable rpc/smserver:default
기본적으로 r-protocols, rlogin(1) 및 rsh(1)와 같은 레거시 서비스는 설치되지 않습니다. 하지만 이러한 서비스는 /etc/pam.d에 정의되어 있습니다. /etc/pam.d에서 서비스 정의를 제거하면 레거시 서비스가 사용으로 설정된 이벤트의 다른 서비스(예: SSH)가 사용됩니다.
# cd /etc/pam.d # cp rlogin rlogin.orig # pfedit rlogin auth definitive pam_deny.so.1 auth sufficient pam_deny.so.1 auth required pam_deny.so.1 # cp rsh rsh.orig # pfedit rsh auth definitive pam_deny.so.1 auth sufficient pam_deny.so.1 auth required pam_deny.so.1
keyserv 서비스는 nobody 사용자 키를 사용할 수 없습니다. ENABLE_NOBODY_KEYS의 값은 기본적으로 YES입니다.
# pfedit /etc/default/keyserv . . . ENABLE_NOBODY_KEYS=NO
FTP 파일 전송은 모든 사용자에게 제공되지 않아야 하며, 적격한 사용자가 자신의 이름 및 암호를 제공하도록 해야 합니다. 일반적으로 시스템 사용자는 FTP를 사용하도록 허용되지 않아야 합니다. 이 검사는 시스템 계정이 /etc/ftpd/ftpusers 파일에 포함되었는지 확인하여 이러한 계정이 FTP를 사용할 수 없도록 합니다.
/etc/ftpd/ftpusers 파일은 사용자가 FTP 서비스를 사용하지 못하도록 금지하기 위해 사용됩니다. 최소한 root, bin, adm 등과 같은 모든 시스템 사용자를 포함해야 합니다.
# pfedit /etc/ftpd/ftpusers .... root daemon bin ...
FTP 서버가 반드시 사용자의 시스템 파일 생성 마스크를 사용해야 하는 것은 아닙니다. FTP umask를 설정하면 FTP를 통해 전송되는 파일에 강력한 파일 생성 마스크가 사용되도록 할 수 있습니다.
# pfedit /etc/proftpd.conf Umask 027
에코 요청에 대한 응답을 사용 안함으로 설정하는 것이 중요합니다. ICMP 요청은 ipadm 명령을 사용해서 관리됩니다.
이러한 설정은 네트워크 토폴로지에 대한 정보 배포를 방지합니다.
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4 # ipadm set-prop -p _respond_to_echo_broadcast=0 ip
라우터는 ICMP 재지정 메시지를 사용하여 대상에 더 직접적인 경로를 호스트에 알립니다. 불법적인 ICMP 재지정 메시지는 중간 전달자의 공격을 초래할 수 있습니다.
# ipadm set-prop -p _ignore_redirect=1 ipv4
# mesg -n
기본적으로 ssh(1)는 네트워크 패킷을 전송 및 수신할 수 있는 유일한 네트워크 서비스입니다.
# svcadm disable FMRI_of_unneeded_service