Voir Connexion à un serveur de calcul et modification du mot de passe par défaut.
Ce service interagit avec lockd(1M) pour proposer les fonctions de panne et de récupération pour les services de verrouillage sur NFS.
# svcadm disable svc:/network/nfs/status
Le gestionnaire de verrous NFS prend en charge les opérations de verrouillage d'enregistrements sur des fichiers NFS dans NFSv2 et NFSv3.
# svcadm disable svc:/network/nfs/nlockmgr
Le service client NFS est nécessaire uniquement si le système monte des fichiers à partir d'un serveur NFS. Pour plus d'informations, reportez-vous à la page de manuel mount_nfs(1M).
# svcadm disable svc:/network/nfs/client
Le service de serveur NFS traite les demandes du système de fichiers client via NFS versions 2, 3 et 4. Si ce système n'est pas un serveur NFS, désactivez le service.
# svcadm disable svc:/network/nfs/server
Le service client FedFS (système de fichiers fédéré) gère les valeurs par défaut et les informations de connexion pour les serveurs LDAP qui stockent les informations FedFS.
# svcadm disable svc:/network/nfs/fedfs-client
Le serveur de quotas remote renvoie des quotas pour un utilisateur d'un système de fichiers local qui est monté via NFS. Les résultats sont utilisés par quota(1M) pour afficher des quotas utilisateur pour les systèmes de fichiers distants. Le démon rquotad(1M) est généralement appelé par inetd(1M). Le démon fournit des informations sur le réseau à d'éventuels utilisateurs malveillants.
# svcadm disable svc:/network/nfs/rquota
Le service cbd gère les points d'extrémité de communication pour le protocole NFS version 4. Le démon nfs4cbd(1M) s'exécute sur le client NFS version 4 et crée un port d'écoute pour les rappels.
# svcadm disable svc:/network/nfs/cbd
Le service du démon de mappage d'ID de groupe et d'utilisateur NFS effectue la mise en correspondance avec les attributs d'identification NFS version 4 owner et owner_group et les numéros UID et GID locaux utilisés à la fois par le client et le serveur NFS version 4.
# svcadm disable svc:/network/nfs/mapid
Le service FTP fournit un service de transfert de fichiers non chiffré et utilise l'authentification en texte brut. Utilisez le programme de copie sécurisé scp(1) au lieu de ftp, car il fournit une authentification et un transfert de fichiers chiffrés.
# svcadm disable svc:/network/ftp:default
Le gestionnaire de volumes amovibles est un gestionnaire de volumes HAL qui peut automatiquement monter et démonter un média amovible et un périphérique de stockage remplaçable à chaud. Les utilisateurs risquent d'importer des programmes malveillants ou de transférer des données sensibles hors du système. Pour plus d'informations, reportez-vous à la page de manuel rmvolmgr(1M).
Ce service fonctionne uniquement dans la zone globale.
# svcadm disable svc:/system/filesystem/rmvolmgr
Le service smserver permet d'accéder à des périphériques de média amovibles.
# svcadm disable rpc/smserver:default
Par défaut, les services hérités tels que r-protocols, rlogin(1) et rsh(1), ne sont pas installés. Toutefois, ces services sont définis dans /etc/pam.d. Si vous supprimez les définitions de service de /etc/pam.d, les services utilisent les autres services (SSH, par exemple) en cas d'activation des services hérités.
# cd /etc/pam.d # cp rlogin rlogin.orig # pfedit rlogin auth definitive pam_deny.so.1 auth sufficient pam_deny.so.1 auth required pam_deny.so.1 # cp rsh rsh.orig # pfedit rsh auth definitive pam_deny.so.1 auth sufficient pam_deny.so.1 auth required pam_deny.so.1
Le service keyserv ne peut pas utiliser la clé utilisateur nobody. Par défaut, la valeur de ENABLE_NOBODY_KEYS est YES.
# pfedit /etc/default/keyserv . . . ENABLE_NOBODY_KEYS=NO
Les transferts de fichiers FTP ne doivent pas être accessibles à tous les utilisateurs et doivent nécessiter l'intervention d'utilisateurs qualifiés qui indiquent leur nom et leur mot de passe. En général, les utilisateurs système ne doivent pas être autorisés à utiliser FTP. Cette vérification contrôle que les comptes système sont inclus dans le fichier /etc/ftpd/ftpusers, afin qu'ils ne soient pas autorisés à utiliser FTP.
Le fichier /etc/ftpd/ftpusers permet d'empêcher des utilisateurs d'utiliser le service FTP. Incluez au minimum tous les utilisateurs système, comme root, bin, adm, etc.
# pfedit /etc/ftpd/ftpusers .... root daemon bin ...
Le serveur FTP n'utilise pas nécessairement le masque de création de fichier système de l'utilisateur. La définition du masque de création de fichier utilisateur FTP garantit que les fichiers transmis via FTP utilisent un masque de création de fichier utilisateur renforcé.
# pfedit /etc/proftpd.conf Umask 027
Il est important de désactiver les réponses aux demandes d'écho. Les demandes ICMP sont gérées à l'aide de la commande ipadm.
Ces paramètres empêchent la dissémination d'informations relatives à la topologie réseau.
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4 # ipadm set-prop -p _respond_to_echo_broadcast=0 ip
Les routeurs utilisent les messages de redirection ICMP afin d'informer les hôtes de l'existence de routes plus directes vers une destination. Un message de redirection ICMP illicite risque de provoquer une attaque Man-in-the-middle.
# ipadm set-prop -p _ignore_redirect=1 ipv4
# mesg -n
Par défaut, ssh(1) est le seul service réseau qui peut envoyer et recevoir des paquets réseau.
# svcadm disable FMRI_of_unneeded_service