Vedere Eseguire il login al server di calcolo e modificare la password predefinita.
Questo servizio interagisce con lockd(1M) per fornire le funzioni di crash e recupero per i servizi di blocco in NFS.
# svcadm disable svc:/network/nfs/status
Questo servizio supporta le operazioni di blocco dei record su file NFS in NFSv2 e NFSv3.
# svcadm disable svc:/network/nfs/nlockmgr
Il servizio client NFS è necessario solo se il sistema sta eseguendo il mount dei file da un server NFS. Per ulteriori informazioni, vedere la pagina man mount_nfs(1M).
# svcadm disable svc:/network/nfs/client
Il servizio server NFS gestisce le richieste del file system del client in NFS versioni 2, 3 e 4. Se il sistema in uso non è un server NFS, disabilitare il servizio.
# svcadm disable svc:/network/nfs/server
Il servizio client FedFS (Federated File System) gestisce le impostazioni predefinite e le informazioni di connessione per i server LDAP che memorizzano informazioni FedFS.
# svcadm disable svc:/network/nfs/fedfs-client
Il server di quota remote restituisce le quote per un utente di un file system locale di cui è stato eseguito il mount su NFS. I risultati vengono utilizzati da quota(1M) per visualizzare le quote utente per i file system remoti. Il daemon rquotad(1M) viene in genere richiamato da inetd(1M). Il daemon fornisce informazioni sulla rete a utenti potenzialmente malintenzionati.
# svcadm disable svc:/network/nfs/rquota
Il servizio cbd gestisce gli endpoint di comunicazione per il protocollo NFS versione 4. Il daemon nfs4cbd(1M) viene eseguito sul client NFS versione 4 e crea una porta di ascolto per i callback.
# svcadm disable svc:/network/nfs/cbd
Il servizio daemon di mapping dell'utente NFS e dell'ID gruppo esegue il mapping negli e dagli attributi di identificazione owner e owner_group di NFS versione 4; i numeri di UID e GID locali vengono usati sia dal client che dal server NFS versione 4.
# svcadm disable svc:/network/nfs/mapid
Il servizio FTP fornisce il trasferimento di file non cifrati e utilizza l'autenticazione del testo semplice. Usare il programma di copia sicura scp(1) al posto di ftp, perché fornisce l'autenticazione cifrata e il trasferimento di file.
# svcadm disable svc:/network/ftp:default
Il servizio di gestione dei volumi removibili è abilitato per HAL e può eseguire e annullare il mount dei supporti removibili e dello storage hot plug in modo automatico. Gli utenti potrebbero importare programmi dannosi o trasferire dati riservati fuori dal sistema. Per ulteriori informazioni, vedere la pagina man rmvolmgr(1M).
Questo servizio viene eseguito solo nella zona globale.
# svcadm disable svc:/system/filesystem/rmvolmgr
Il servizio smserver viene usato per accedere ai dispositivi di supporto removibili.
# svcadm disable rpc/smserver:default
Per impostazione predefinita, i servizi precedenti come r-protocols, rlogin(1) e rsh(1) non vengono installati. Questi servizi sono comunque definiti in /etc/pam.d. Se queste definizioni dei servizi vengono rimosse in /etc/pam.d, i servizi utilizzeranno altri servizi, ad esempio SSH, nel caso in cui i servizi precedenti siano abilitati.
# cd /etc/pam.d # cp rlogin rlogin.orig # pfedit rlogin auth definitive pam_deny.so.1 auth sufficient pam_deny.so.1 auth required pam_deny.so.1 # cp rsh rsh.orig # pfedit rsh auth definitive pam_deny.so.1 auth sufficient pam_deny.so.1 auth required pam_deny.so.1
Il servizio keyserv non può usare la chiave utente nobody. Per impostazione predefinita, il valore di ENABLE_NOBODY_KEYS è YES.
# pfedit /etc/default/keyserv . . . ENABLE_NOBODY_KEYS=NO
I trasferimenti di file FTP non devono essere disponibili per tutti gli utenti; agli utenti qualificati occorre richiedere di fornire il nome e la password. In genere, agli utenti del sistema non è consentito usare FTP. Questo controllo consente di verificare che gli account di sistema siano inclusi nel file /etc/ftpd/ftpusers e pertanto non abilitati a usare FTP.
Il file /etc/ftpd/ftpusers viene usato per impedire agli utenti l'uso del servizio FTP. Come minimo, includere tutti gli utenti di sistema, come root, bin, adm e così via.
# pfedit /etc/ftpd/ftpusers .... root daemon bin ...
Non necessariamente il server FTP usa la maschera di creazione dei file di sistema dell'utente. L'impostazione di umask su FTP assicura che i file trasmessi tramite FTP utilizzino un umask di creazione file robusto.
# pfedit /etc/proftpd.conf Umask 027
È importante disabilitare le risposte alle richieste di eco. Le richieste ICMP vengono gestite utilizzando il comando ipadm.
Queste impostazioni impediscono la diffusione di informazioni sulla topologia di rete.
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4 # ipadm set-prop -p _respond_to_echo_broadcast=0 ip
I router utilizzano i messaggi di reindirizzamento ICMP per informare gli host della presenza di più instradamenti diretti per una destinazione. Un messaggio di reindirizzamento ICMP non valido può provocare un attacco MITM (man-in-the-middle).
# ipadm set-prop -p _ignore_redirect=1 ipv4
# mesg -n
Per impostazione predefinita, ssh(1) è l'unico servizio di rete che può inviare e ricevere pacchetti di rete.
# svcadm disable FMRI_of_unneeded_service