請參閱登入運算伺服器並變更預設密碼。
此服務會與 lockd(1M) 互動,為 NFS 上的鎖定服務提供損毀和復原功能。
# svcadm disable svc:/network/nfs/status
NFS 鎖定管理程式支援 NFSv2 和 NFSv3 之 NFS 檔案的記錄鎖定作業。
# svcadm disable svc:/network/nfs/nlockmgr
只有系統是從 NFS 伺服器掛載檔案時,才需要 NFS 用戶端服務。如需詳細資訊,請參閱 mount_nfs(1M) 線上手冊。
# svcadm disable svc:/network/nfs/client
NFS 伺服器服務是透過 NFS 版本 2、3 及 4 來處理用戶端檔案系統要求。若此系統不是 NFS 伺服器,請停用此服務。
# svcadm disable svc:/network/nfs/server
聯合檔案系統 (FedFS) 用戶端服務可管理儲存 FedFS 資訊的 LDAP 伺服器預設值和連線資訊。
# svcadm disable svc:/network/nfs/fedfs-client
remote 配額伺服器會傳回透過 NFS 掛載之本機檔案系統的使用者配額。quota(1M) 則利用此結果來顯示遠端檔案系統的使用者配額。rquotad(1M) 常駐程式通常會藉由 inetd(1M) 進行呼叫。此常駐程式會將網路的相關資訊提供給潛在的惡意使用者。
# svcadm disable svc:/network/nfs/rquota
cbd 服務可管理 NFS 第 4 版協定的通訊端點。nfs4cbd(1M) 常駐程式會在 NFS 第 4 版用戶端上執行,並為回呼建立監聽器連接埠。
# svcadm disable svc:/network/nfs/cbd
NFS 使用者和群組 ID 對應常駐程式服務會在 NFS 第 4 版 owner 和 owner_group 識別屬性之間與本機 UID 和 GID 編號之間進行對應,NFS 第 4 版用戶端與伺服器都會用到這些資訊。
# svcadm disable svc:/network/nfs/mapid
FTP 服務提供未加密的檔案傳輸服務,並使用純文字認證。請使用安全的複製程式 scp(1) 取代 ftp,因為前者提供加密的認證和檔案傳輸。
# svcadm disable svc:/network/ftp:default
卸除式磁碟區管理程式是 HAL 感知的磁碟區管理程式,會自動掛載和卸載卸除式媒體和可熱插式儲存體。使用者可能會匯入惡意程式,或是將機密資料傳送到系統之外。如需詳細資訊,請參閱 rmvolmgr(1M) 線上手冊。
此服務只會在全域區域執行。
# svcadm disable svc:/system/filesystem/rmvolmgr
smserver 服務是用來存取卸除式媒體裝置。
# svcadm disable rpc/smserver:default
預設不會安裝 r-protocols、rlogin(1) 及 rsh(1) 等傳統服務。但這些服務會定義在 /etc/pam.d 中。若從 /etc/pam.d 移除這些服務的定義,您啟用這些傳統服務時,就會使用其他服務 (如 SSH)。
# cd /etc/pam.d # cp rlogin rlogin.orig # pfedit rlogin auth definitive pam_deny.so.1 auth sufficient pam_deny.so.1 auth required pam_deny.so.1 # cp rsh rsh.orig # pfedit rsh auth definitive pam_deny.so.1 auth sufficient pam_deny.so.1 auth required pam_deny.so.1
keyserv 服務無法使用 nobody 使用者金鑰。依照預設,ENABLE_NOBODY_KEYS 的值為 YES。
# pfedit /etc/default/keyserv . . . ENABLE_NOBODY_KEYS=NO
FTP 檔案傳輸不得開放給所有使用者存取,因此必須要求合格的使用者提供其名稱和密碼。系統使用者通常不能使用 FTP。此檢查可驗證系統帳號包含在 /etc/ftpd/ftpusers 檔案中,這些系統帳號就無法使用 FTP。
使用檔案 /etc/ftpd/ftpusers 可禁止使用者使用 FTP 服務。至少應包含所有系統使用者,如 root、bin 及 adm 等。
# pfedit /etc/ftpd/ftpusers .... root daemon bin ...
FTP 伺服器不一定會用到使用者的系統檔案建立遮罩。設定 FTP umask 可確保經由 FTP 傳輸的檔案會使用強式檔案建立 umask。
# pfedit /etc/proftpd.conf Umask 027
停用對 echo 要求的回應很重要。ICMP 要求是以 ipadm 指令來管理。
這些設定值可防止散播網路拓樸的資訊。
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4 # ipadm set-prop -p _respond_to_echo_broadcast=0 ip
路由器會使用 ICMP 重導訊息來通知主機有更直接的目的地路由。違法的 ICMP 重導訊息可能會導致攔截式攻擊。
# ipadm set-prop -p _ignore_redirect=1 ipv4
# mesg -n
依照預設,ssh(1) 是唯一可傳送和接收網路封包的網路服務。
# svcadm disable FMRI_of_unneeded_service