Siehe Anmelden bei einem Rechenserver und Ändern des Standardpasswortes.
Dieser Service kommuniziert mit lockd(1M), um die Crash- und Recovery-Funktionen für die Sperrservices auf NFS bereitzustellen
# svcadm disable svc:/network/nfs/status
Der NFS-Lock-Manager unterstützt Vorgänge zur Datensatzsperre bei NFS-Dateien in NFSv2 und NFSv3.
# svcadm disable svc:/network/nfs/nlockmgr
Der NFS-Clientservice wird nur benötigt, wenn das System Dateien von einem NFS-Server einhängt. Weitere Informationen finden Sie in der mount_nfs(1M)-Manpage.
# svcadm disable svc:/network/nfs/client
Der NFS-Serverservice verwaltet Clientdateisysteme über NFS-Versionen 2, 3 und 4. Wenn dieses System kein NFS-Server ist, deaktivieren Sie den Service.
# svcadm disable svc:/network/nfs/server
Der Federated File System-(FedFS-)Clientservice verwaltet Standardwerte und Verbindungsinformationen für LDAP-Server, in denen FedFS-Informationen, gespeichert werden
# svcadm disable svc:/network/nfs/fedfs-client
Der Remote-Quotaserver gibt Quota für einen Benutzer eines lokalen Dateisystems zurück, das über NFS eingehängt ist. Die Ergebnisse werden von quota(1M) verwendet, um Benutzerquota für Remote-Dateisysteme anzuzeigen. Der rquotad(1M)-Daemon wird im Allgemeinen von inetd(1M) aufgerufen. Der Daemon stellt potenziell böswilligen Benutzern Informationen über das Netzwerk bereit.
# svcadm disable svc:/network/nfs/rquota
Der cbd-Service verwaltet Kommunikationsendpunkte für das NFS Version 4-Protokoll. Der nfs4cbd(1M)-Daemon wird auf dem NFS Version 4-Client ausgeführt und erstellt einen Listener-Port für Callbacks.
# svcadm disable svc:/network/nfs/cbd
Der Daemon-Service zur NFS-Benutzer- und Gruppen-ID-Zuordnung nimmt die Zuordnung zu und von NFS-Version 4 owner- und owner_group-ID-Attributen und lokalen UID und GID-Nummern vor, die sowohl von dem NFS-Version 4-Client als auch dem NFS-Version 4-Server verwendet werden.
# svcadm disable svc:/network/nfs/mapid
Der FTP-Service stellt einen unverschlüsselten Dateiübertragungsservice bereit und verwendet Nur-Text-Authentifizierung. Verwenden Sie das scp(1)-Programm (Secure Copy Program), anstelle von ftp, weil es verschlüsselte Authentifizierung und verschlüsselte Dateiübertragung bietet.
# svcadm disable svc:/network/ftp:default
Der Wechsel-Volume-Manager ist ein HAL-fähiger Volume-Manager, der Wechselmedien und austauschbaren Speicher automatisch ein- und aushängen kann. Benutzer könnten schädliche Programme importieren oder vertrauliche Daten aus dem System übertragen. Weitere Einzelheiten finden Sie in der rmvolmgr(1M)-Manpage.
Dieser Service wird nur in der globalen Zone ausgeführt.
# svcadm disable svc:/system/filesystem/rmvolmgr
Der smserver-Service wird für den Zugriff auf Wechselmediengeräte verwendet.
# svcadm disable rpc/smserver:default
Standardmäßig werden Legacy-Services wie r-protocols, rlogin(1) und rsh(1) nicht installiert. Diese Services werden jedoch in /etc/pam.d definiert. Wenn Sie die Servicedefinitionen aus /etc/pam.d entfernen, verwenden die Services die anderen Services (beispielsweise SSH), falls die Legacy-Services aktiviert sind.
# cd /etc/pam.d # cp rlogin rlogin.orig # pfedit rlogin auth definitive pam_deny.so.1 auth sufficient pam_deny.so.1 auth required pam_deny.so.1 # cp rsh rsh.orig # pfedit rsh auth definitive pam_deny.so.1 auth sufficient pam_deny.so.1 auth required pam_deny.so.1
Der keyserv-Service kann den Benutzerschlüssel nobody nicht verwenden. Der Wert von ENABLE_NOBODY_KEYS ist standardmäßig YES.
# pfedit /etc/default/keyserv . . . ENABLE_NOBODY_KEYS=NO
FTP-Dateiübertragungen dürfen nicht für alle Benutzer verfügbar sein; nur qualifizierte Benutzer dürfen ihre Namen und Passwörter angeben. Im Allgemeinen sollte Systembenutzern die Verwendung von FTP nicht gestattet sein. Mit dieser Prüfung wird geprüft, ob Systemkonten in der Datei /etc/ftpd/ftpusers enthalten sind, damit diese FTP nicht verwenden dürfen.
Die Datei /etc/ftpd/ftpusers wird verwendet, um Benutzern die Verwendung des FTP-Service zu untersagen. Beziehen Sie mindestens alle Systembenutzer, wie root, bin, adm usw. ein.
# pfedit /etc/ftpd/ftpusers .... root daemon bin ...
Der FTP-Server verwendet nicht unbedingt die Erstellungsmaske für Systemdateien des Benutzers. Durch Festlegung von FTP umask wird sichergestellt, dass die über FTP übertragenen Dateien eine starke Dateierstellungs-umask verwenden.
# pfedit /etc/proftpd.conf Umask 027
Antworten auf Echoanforderungen müssen unbedingt deaktiviert werden. ICMP-Anforderungen werden mit dem Befehl ipadm verwaltet.
Diese Einstellungen unterbinden die Verteilung von Informationen über die Netzwerktopologie.
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4 # ipadm set-prop -p _respond_to_echo_broadcast=0 ip
Router verwenden ICMP-Umleitungsmeldungen, um Hosts über direktere Routen zu einem Ziel zu informieren. Eine unzulässige ICMP-Umleitungsmeldung kann zu einem Man-in-the-Middle-Angriff führen.
# ipadm set-prop -p _ignore_redirect=1 ipv4
# mesg -n
Standardmäßig ist ssh(1) der einzige Netzwerkservice, der Netzwerkpakete senden und empfangen kann.
# svcadm disable FMRI_of_unneeded_service