停用不需要的服務 (運算伺服器)

语言：

若系統不是 NFS 用戶端或伺服器，請停用 NFS 狀態監督。
此服務會與 lockd(1M) 互動，為 NFS 上的鎖定服務提供損毀和復原功能。
```
# svcadm disable svc:/network/nfs/status
```

若您並未使用 NFS 或使用的是 NFSv4，請停用 NFS 鎖定管理程式服務。
NFS 鎖定管理程式支援 NFSv2 和 NFSv3 之 NFS 檔案的記錄鎖定作業。
```
# svcadm disable svc:/network/nfs/nlockmgr
```

若系統未掛載檔案，您可以停用 NFS 用戶端服務或解除安裝其套裝軟體。
只有系統是從 NFS 伺服器掛載檔案時，才需要 NFS 用戶端服務。如需詳細資訊，請參閱 mount_nfs(1M) 線上手冊。
```
# svcadm disable svc:/network/nfs/client
```

在非 NFS 檔案伺服器的系統上停用 NFS 伺服器服務。
NFS 伺服器服務是透過 NFS 版本 2、3 及 4 來處理用戶端檔案系統要求。若此系統不是 NFS 伺服器，請停用此服務。
```
# svcadm disable svc:/network/nfs/server
```

若您不是為了 DNS SRV 記錄或 LDAP 轉介而使用 FedFS，請停用此服務。
聯合檔案系統 (FedFS) 用戶端服務可管理儲存 FedFS 資訊的 LDAP 伺服器預設值和連線資訊。
```
# svcadm disable svc:/network/nfs/fedfs-client
```

停用 rquota 服務。
remote 配額伺服器會傳回透過 NFS 掛載之本機檔案系統的使用者配額。quota(1M) 則利用此結果來顯示遠端檔案系統的使用者配額。rquotad(1M) 常駐程式通常會藉由 inetd(1M) 進行呼叫。此常駐程式會將網路的相關資訊提供給潛在的惡意使用者。
```
# svcadm disable svc:/network/nfs/rquota
```

停用 cbd 服務。
cbd 服務可管理 NFS 第 4 版協定的通訊端點。nfs4cbd(1M) 常駐程式會在 NFS 第 4 版用戶端上執行，並為回呼建立監聽器連接埠。
```
# svcadm disable svc:/network/nfs/cbd
```

若您並未使用 NFSv4，請停用 mapid 服務。
NFS 使用者和群組 ID 對應常駐程式服務會在 NFS 第 4 版 owner 和 owner_group 識別屬性之間與本機 UID 和 GID 編號之間進行對應，NFS 第 4 版用戶端與伺服器都會用到這些資訊。
```
# svcadm disable svc:/network/nfs/mapid
```

停用 ftp 服務。
FTP 服務提供未加密的檔案傳輸服務，並使用純文字認證。請使用安全的複製程式 scp(1) 取代 ftp，因為前者提供加密的認證和檔案傳輸。
```
# svcadm disable svc:/network/ftp:default
```

停用遠端磁碟區管理程式服務。
卸除式磁碟區管理程式是 HAL 感知的磁碟區管理程式，會自動掛載和卸載卸除式媒體和可熱插式儲存體。使用者可能會匯入惡意程式，或是將機密資料傳送到系統之外。如需詳細資訊，請參閱 rmvolmgr(1M) 線上手冊。

此服務只會在全域區域執行。
```
# svcadm disable svc:/system/filesystem/rmvolmgr
```

停用 smserver 服務。
smserver 服務是用來存取卸除式媒體裝置。
```
# svcadm disable rpc/smserver:default
```

在 /etc/pam.d 目錄中指定 pam_deny.so.1 作為 r-protocol 服務的認證堆疊模組。
預設不會安裝 r-protocols、rlogin(1) 及 rsh(1) 等傳統服務。但這些服務會定義在 /etc/pam.d 中。若從 /etc/pam.d 移除這些服務的定義，您啟用這些傳統服務時，就會使用其他服務 (如 SSH)。
```
# cd /etc/pam.d
# cp rlogin rlogin.orig
# pfedit rlogin
auth definitive pam_deny.so.1
auth sufficient pam_deny.so.1
auth required pam_deny.so.1
# cp rsh rsh.orig
# pfedit rsh
auth definitive pam_deny.so.1
auth sufficient pam_deny.so.1
auth required pam_deny.so.1
```

編輯 /etc/default/keyserv 檔案以將 ENABLE_NOBODY_KEYS 的值變更為 NO。
keyserv 服務無法使用 nobody 使用者金鑰。依照預設，ENABLE_NOBODY_KEYS 的值為 YES。
```
# pfedit /etc/default/keyserv
. . .
ENABLE_NOBODY_KEYS=NO
```

新增使用者到 ftpusers 檔案以限制 ftp 存取。
FTP 檔案傳輸不得開放給所有使用者存取，因此必須要求合格的使用者提供其名稱和密碼。系統使用者通常不能使用 FTP。此檢查可驗證系統帳號包含在 /etc/ftpd/ftpusers 檔案中，這些系統帳號就無法使用 FTP。

使用檔案 /etc/ftpd/ftpusers 可禁止使用者使用 FTP 服務。至少應包含所有系統使用者，如 root、bin 及 adm 等。
```
# pfedit /etc/ftpd/ftpusers
....
root
daemon
bin
...
```

為 FTP 伺服器建立的檔案設定強式預設檔案建立遮罩。
FTP 伺服器不一定會用到使用者的系統檔案建立遮罩。設定 FTP umask 可確保經由 FTP 傳輸的檔案會使用強式檔案建立 umask。
```
# pfedit /etc/proftpd.conf
Umask          027
```

停用對網路拓樸查詢的回應。
停用對 echo 要求的回應很重要。ICMP 要求是以 ipadm 指令來管理。

這些設定值可防止散播網路拓樸的資訊。
```
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4
# ipadm set-prop -p _respond_to_echo_broadcast=0 ip
```

停用重導 ICMP 訊息。
路由器會使用 ICMP 重導訊息來通知主機有更直接的目的地路由。違法的 ICMP 重導訊息可能會導致攔截式攻擊。
```
# ipadm set-prop -p _ignore_redirect=1 ipv4
```

(選擇性) 複查並停用網路上不需要的服務監聽活動。
依照預設，ssh(1) 是唯一可傳送和接收網路封包的網路服務。
```
# svcadm disable FMRI_of_unneeded_service
```