Consulte Inicio de sesión en un servidor de cálculo y cambio de la contraseña por defecto.
Este servicio interactúa con lockd(1M) para proporcionar las funciones de bloqueo y recuperación para los servicios de bloqueo en NFS.
# svcadm disable svc:/network/nfs/status
El gestor de bloqueo de NFS admite operaciones de bloqueo de registro en archivos NFS de NFSv2 y NFSv3.
# svcadm disable svc:/network/nfs/nlockmgr
El servicio de cliente NFS solamente es necesario si el sistema está montando archivos desde un servidor NFS. Para obtener más información, consulte la página del comando man mount_nfs(1M).
# svcadm disable svc:/network/nfs/client
El servicio de servidor NFS administra las solicitudes del sistema de archivos de cliente mediante NFS versión 2, 3 y 4. Si este sistema no es un servidor NFS, desactive el servicio.
# svcadm disable svc:/network/nfs/server
El servicio de cliente del sistema de archivos federados (FedFS) gestiona los valores por defecto y la información de conexión para servidores LDAP que almacenan información de FedFS.
# svcadm disable svc:/network/nfs/fedfs-client
El servidor de cuota remote devuelve cuotas para un usuario de un sistema local de archivos montado mediante NFS. El comando quota(1M) usa los resultados para mostrar las cuotas de usuario para sistemas de archivos remotos. El comando inetd(1M) generalmente invoca el daemon rquotad(1M). El daemon proporciona información acerca de la red para usuarios potencialmente maliciosos.
# svcadm disable svc:/network/nfs/rquota
El servicio cbd gestiona puntos finales de comunicación para el protocolo NFS versión 4. El daemon nfs4cbd(1M) ejecuta el cliente NFS versión 4 y crea un puerto de listener para devoluciones de llamadas.
# svcadm disable svc:/network/nfs/cbd
El servicio de daemon de asignación de ID y usuario de NFS realiza asignaciones desde y hasta los atributos de identificación owner y owner_group de la versión 4 de NFS y los números de UID y GID local usados por el servidor y el cliente de la versión 4 de NFS.
# svcadm disable svc:/network/nfs/mapid
El servicio FTP proporciona servicio de transferencia de archivos no cifrados y usa autenticación de texto sin formato. Use el programa de copia segura scp(1) en lugar de ftp, ya que proporciona autenticación cifrada y transferencia de archivos.
# svcadm disable svc:/network/ftp:default
El gestor de volumen removible es un gestor de volumen que reconoce HAL que puede montar y desmontar automáticamente medios y almacenamiento conectable en caliente. Es posible que los usuarios importen programas malintencionados o transfieran datos confidenciales fuera del sistema. Para obtener más información, consulte la página del comando man rmvolmgr(1M).
Este servicio solamente se ejecuta en la zona global.
# svcadm disable svc:/system/filesystem/rmvolmgr
El servicio smserver se usa para acceder a los dispositivos de medios extraíbles.
# svcadm disable rpc/smserver:default
Por defecto, los servicios heredados, como r-protocols, rlogin(1) y rsh(1), no están instalados. Sin embargo, estos servicios se definen en /etc/pam.d. Si elimina las definiciones de servicio de /etc/pam.d, los servicios usan los demás servicios (por ejemplo, SSH) en caso de que los servicios heredados estén activados.
# cd /etc/pam.d # cp rlogin rlogin.orig # pfedit rlogin auth definitive pam_deny.so.1 auth sufficient pam_deny.so.1 auth required pam_deny.so.1 # cp rsh rsh.orig # pfedit rsh auth definitive pam_deny.so.1 auth sufficient pam_deny.so.1 auth required pam_deny.so.1
El servicio keyserv no puede usar la clave de usuario nobody. El valor de ENABLE_NOBODY_KEYS es YES por defecto.
# pfedit /etc/default/keyserv . . . ENABLE_NOBODY_KEYS=NO
Las transferencias de archivos FTP no deben estar disponibles para todos los usuarios y deben requerir que los usuarios calificados suministren sus nombres y contraseñas. En general, los usuarios del sistema no deben tener permiso para usar FTP. Esta comprobación verifica que las cuentas del sistema se han incluido en el archivo /etc/ftpd/ftpusers, de modo que no tienen permiso para usar FTP.
El archivo /etc/ftpd/ftpusers se usa para prohibir a los usuarios que usen el servicio FTP. Como mínimo, incluya todos los usuarios del sistema, como root, bin, adm, etc.
# pfedit /etc/ftpd/ftpusers .... root daemon bin ...
El servidor FTP no necesariamente usa la máscara de creación de archivos del sistema del usuario. La configuración del comando umask del FTP garantiza que los archivos transmitidos mediante FTP usarán un comando umask de creación de archivos seguro.
# pfedit /etc/proftpd.conf Umask 027
Es importante desactivar las respuestas a las solicitudes de eco. Las solicitudes de ICMP se gestionan mediante el comando ipadm.
Estos ajustes impiden la difusión de información sobre la topología de la red.
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4 # ipadm set-prop -p _respond_to_echo_broadcast=0 ip
Los enrutadores utilizan los mensajes de redireccionamiento de ICMP para informar a los hosts sobre rutas más directas hacia un destino. Un mensaje de redireccionamiento de ICMP ilícito puede generar un ataque de tipo "man-in-the-middle".
# ipadm set-prop -p _ignore_redirect=1 ipv4
# mesg -n
Por defecto, ssh(1) es el único servicio de red que puede enviar y recibir paquetes de red.
# svcadm disable FMRI_of_unneeded_service