AIX+UNIX+SOLARIS加固补充说明文件1226.doc

1. 优化AIX系统服务1.1. 禁用不必要的启动服务配置/etc/inittab文件，将所有不是必须的服务全部禁用掉。一般建议禁用下列服务：piobe 打印作业管理器，有的版本存在漏洞，造成程序溢出qdaemon qdaemon进程调用这些程序来管理队列中等候打印的打印作业。Writesrv允许用户发送消息到远程系统和从远程系统接收消息。Uprintfd 打印内核信息服务Httpdlite http检索服务Imnss IBM db2 数据库的检索服务（单字节）ImqssIBM db2 数据库的检索服务（双字节）Rcnfs 启动nfs系统服务1.2. 禁用不必要的系统服务配置/etc/inetd.conf文件，将所有不是必须的服务全部禁用掉。一般建议禁用下列服务：Shell 以用户的缺省凭证和环境执行 shelllogin 启动用户会话exec 执行命令comsat comsat 通信守护程序是接收来到邮件报表的服务器，并如果用户用 biff 命令启用该服务的话通知用户。它由 inetd 守护程序启动，comsat 守护程序不能在命令行使用。comsat 守护程序接收数据报端口上的消息，该端口与 biff 服务规范相关联。单行消息具有如下格式：usermailbox-offset如果指定用户登录系统并运行 biff y 命令，则消息的前 7 行或 560 个字符显示在用户登录终端上。作为消息头的一部分的行除了 From: 或 Subject: 行，都不被包含在显示的消息中。uucp从一个系统复制文件到另一个系统。Bootps设置“因特网引导协议”服务器。finger、 关于当前系统或者一个用户的状态报告netstat、 网络基本信息获得服务tftp、 网络传输文件talk、 本地或远程对话服务rpc.rquotad、rpc.rexd、rpc.rusersd、rpc.ttdbserver、rpc.sprayd、rpc.cmsd、rpc.rwalld、rpc.pcnfsd、rpc.rstatd、rpc.ssalld、 远程程序调用echo、将字符串写到标准输出discard、 废弃接收的数据包chargen、 废弃接收的数据包并发送预定义的或随机的数据。daytime、 以用户可读的格式发送当前数据time、 以用户可读的格式发送当前日期和时间。comsat、 通知用户有来到的邮件。imap2、启动因特网消息访问协议（IMAP）服务器进程。它支持 IMAP4 远程邮件访问协议。并且，在标准输入上接受命令，在标准输出上响应。通常用 inetd 守护程序调用 imapd 命令，且在使用该守护程序时使用与远程客户机连接关联的那些描述符pop3、 远程邮件访问协议xmquery 消息查询协议1.3. 禁用不必要的网络服务配置/etc/rc.tcpip文件，将所有不是必须的服务全部禁用掉。一般建议禁用下列服务：routed 管理网络路由表gated、 为 RIP、RIPng、EGP、BGP、BGP4+、HELLO、IS-IS、ICMP、ICMPv6 和 SNMP 协议提供网关路由功能dhcpcd、实现动态主机配置协议（DHCP）客户机。服务器地址和 DHCP 服务器的配置信息 autoconf6、 在引导时自动配置 IPv6 网络接口ndpd-host、主机的 NDP 守护程序ndpd-router、守护程序管理非内核活动的邻节点发现协议（NDP）。它接收路由器请求并发送路由器公告。它也能够使用 RIPng 协议交换路由信息。lpd、 在网络上提供远程打印服务器。named、 域名解析服务timed、 时间管理服务xntpd、启动网络计时协议（NTP) 守护程序rwhod、为 rwho 和 ruptime 命令提供服务器功能snmp、 简单网络管理系协议dpid2、 snmp协议转换mrouted、 多播协议路由sendmail、 发送邮件nfsd、 网络文件系统服务portmap 将 RPC 程序号转换成因特网端口号。2. solaris系统2.1. 禁用不必要的系统服务Dtspcd CDE子进程控制服务(dtspcd)是一个从客户端接收请求，远程执行命令和启动应用程序的网络守护程序。在使用CDE的系统中，dtspcd是由互联网服务守护程序(一般是inetd或xinetd)根据CDE客户端请求而生成的。echo、将字符串写到标准输出discard、 废弃接收的数据包chargen、 废弃接收的数据包并发送预定义的或随机的数据。daytime、 以用户可读的格式发送当前数据time、 以用户可读的格式发送当前日期和时间。comsat、 通知用户有来到的邮件。exec 执行命令comsat comsat 通信守护程序是接收来到邮件报表的服务器，并如果用户用 biff 命令启用该服务的话通知用户。它由 inetd 守护程序启动，comsat 守护程序不能在命令行使用。comsat 守护程序接收数据报端口上的消息，该端口与 biff 服务规范相关联。单行消息具有如下格式：usermailbox-offset如果指定用户登录系统并运行 biff y 命令，则消息的前 7 行或 560 个字符显示在用户登录终端上。作为消息头的一部分的行除了 From: 或 Subject: 行，都不被包含在显示的消息中。Talk 同aixFinger 同aixUucp 同aixName同aixXaudio 音频的处理服务Netstat 同aixUfsd 网络文件系统服务Rexd rpc子模块systat 显示系统状态sun-dr (关闭可能造成宕机)uuidgen 借口信息获得krb5_prop，kerbd kerob5认证协议服务rusersd ，rstatd，sprayd，walld，rquotad 远程程序调用printer 打印服务tftp、 网络传输文件3. HP-UX系统3.1. 禁用不必要的系统服务rpc.rquotad、rpc.rexd、rpc.rusersd、rpc.ttdbserver、rpc.sprayd、rpc.cmsd、rpc.rwalld、rpc.pcnfsd、rpc.rstatd、rpc.ssalld、 远程程序调用echo、将字符串写到标准输出discard、 废弃接收的数据包chargen、 废弃接收的数据包并发送预定义的或随机的数据。daytime、 以用户可读的格式发送当前数据time、 以用户可读的格式发送当前日期和时间。comsat、 通知用户有来到的邮件。dtspcd . CDE子进程控制服务(dtspcd)是一个从客户端接收请求，远程执行命令和启动应用程序的网络守护程序。在使用CDE的系统中，dtspcd是由互联网服务守护程序(一般是inetd或xinetd)根据CDE客户端请求而生成的。ident、auth、这是一个许多机器上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息（会被Hacker利用）。instl_boots 安装bootstrap 服务recserv 支持和windows共享文件服务kcms_server Kodak Color Management System (KCMS)是一组为不同设备和色彩空间提供色彩管理的API。kcms_server是一个守护进程，允许KCMS库函数访问远程主机的上的资料文件(profile)。printer 打印服务Shell 以用户的缺省凭证和环境执行 shelllogin 启动用户会话tftp、 网络传输文件Bootps设置“因特网引导协议”服务器。kshell、klogin 接受bsd方式的rlogin会话，但需要使用kerbeos5验证服务4. 内核参数调整说明4.1. 堆栈保护用来防止缓冲区溢出（AIX+SOLARIS+UNIX）4.2. 网络参数调整用来提高网络传输性能（AIX+SOLARIS+UNIX）5. 文件和目录权限说明5.1. 设置粘滞位防止其他用户删除重要文件（AIX+SOLARIS+UNIX）6. 系统访问，认证与授权说明6.1.