Consulte Fazer Login em um Servidor de Computação e Alterar a Senha Padrão
Esse serviço interage com lockd(1M) para fornecer as funções de falha e recuperação para os serviços de bloqueio em NFS.
# svcadm disable svc:/network/nfs/status
O gerenciador de bloqueio NFS dá suporte às operações de bloqueio de registros em arquivos NFS em NFSv2 e NFSv3.
# svcadm disable svc:/network/nfs/nlockmgr
O serviço do cliente de NFS não será necessário se o sistema estiver montando arquivos de um servidor NFS. Para obter mais informações, consulte a página man mount_nfs(1M).
# svcadm disable svc:/network/nfs/client
O serviço de servidor NFS lida com solicitações do sistema de arquivos cliente no NFS versões 2, 3 e 4. Se esse sistema não for um servidor NFS, desative o serviço.
# svcadm disable svc:/network/nfs/server
O serviço do cliente do sistema de arquivos federados (FedFS) gerencia padrões e informações de conexão para servidores LDAP que armazenam informações do FedFS.
# svcadm disable svc:/network/nfs/fedfs-client
O servidor de cotas remote retorna cotas para um usuário de um sistema de arquivos local que é montado em NFS. Os resultados são usados por quota(1M) para exibir cotas de usuário para sistemas de arquivos remotos. O daemon rquotad(1M) normalmente é invocado pelo inetd(1M). O daemon fornece informações sobre a rede para usuários potencialmente mal-intencionados.
# svcadm disable svc:/network/nfs/rquota
O serviço cbd gerencia pontos de extremidade de comunicação para o protocolo NFS Versão 4. O daemon nfs4cbd(1M) é executado no cliente do NFS Versão 4 e cria uma porta ouvinte para callbacks.
# svcadm disable svc:/network/nfs/cbd
O serviço de daemon de mapeamento de IDs de grupos e usuários NFS é mapeado de e para os atributos de identificação owner e owner_group do NFS versão 4 e números UID e GID locais usados pelo servidor e cliente do NFS versão 4.
# svcadm disable svc:/network/nfs/mapid
O serviço FTP fornece um serviço de transferência de arquivos não criptografados e usa autenticação de texto simples. Use o programa de cópia segura scp(1) em vez de ftp, porque ele fornece autenticação criptografada e transferência de arquivos.
# svcadm disable svc:/network/ftp:default
O gerenciador de volumes removível é um gerenciador com reconhecimento de HAL que pode montar e desmontar automaticamente mídia removível e armazenamento hot-pluggable. Os usuários podem importar programas mal-intencionados ou transferir dados confidenciais para fora do sistema. Consulte a página man mvolmgr(1M) para obter detalhes.
Esse serviço funciona apenas na zona global.
# svcadm disable svc:/system/filesystem/rmvolmgr
O serviço smserver é usado para acessar dispositivos de mídia removíveis.
# svcadm disable rpc/smserver:default
Por padrão, serviços legados, como r-protocols, rlogin(1) e rsh(1), não estão instalados. No entanto, esses serviços são definidos em /etc/pam.d. Se você remover as definições de serviço de /etc/pam.d, os serviços usarão os outros serviços (SSH, por exemplo) caso os serviços legados estejam ativados.
# cd /etc/pam.d # cp rlogin rlogin.orig # pfedit rlogin auth definitive pam_deny.so.1 auth sufficient pam_deny.so.1 auth required pam_deny.so.1 # cp rsh rsh.orig # pfedit rsh auth definitive pam_deny.so.1 auth sufficient pam_deny.so.1 auth required pam_deny.so.1
O serviço keyserv não pode usar a chave de usuário nobody. O valor de ENABLE_NOBODY_KEYS é YES por padrão.
# pfedit /etc/default/keyserv . . . ENABLE_NOBODY_KEYS=NO
As transferências de arquivos para o FTP não devem estar disponíveis para todos os usuários e devem exigir que os usuários qualificados forneçam seus nomes e senhas. Em geral, os usuários do sistema devem ser proibidos de usar o FTP. Essa verificação examina se as contas do sistema estão incluídas no arquivo /etc/ftpd/ftpusers, para que elas não possam usar o FTP.
O arquivo /etc/ftpd/ftpusers é usado para proibir os usuários de usar o serviço FTP. No mínimo, inclua todos os usuários do sistema, como root, bin, adm, etc.
# pfedit /etc/ftpd/ftpusers .... root daemon bin ...
O servidor FTP não usa necessariamente a máscara de criação do sistema de arquivos do usuário. A definição da máscara de FTP garante que os arquivos transmitidos pelo FTP usem uma máscara de criação de arquivos forte.
# pfedit /etc/proftpd.conf Umask 027
É importante desativar as respostas para as solicitações de eco. As solicitações ICMP são gerenciadas usando o comando ipadm.
Essas configurações impedem a disseminação das informações sobre a topologia de rede.
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4 # ipadm set-prop -p _respond_to_echo_broadcast=0 ip
Os roteadores usam mensagens de redirecionamento ICMP para informar hosts sobre rotas mais diretas para um destino. Uma mensagem de redirecionamento ICMP ilícito pode resultar em um ataque a intermediários.
# ipadm set-prop -p _ignore_redirect=1 ipv4
# mesg -n
Por padrão, ssh(1) é o único serviço de rede que pode enviar e receber pacotes de rede.
# svcadm disable FMRI_of_unneeded_service