AIX中与安全相关的服务

服务 守护程序 如下启动 功能 注释 inetd/bootps inetd /etc/inetd.conf 用于无盘客户机的 bootp 服务 对于“网络安装管理”（NIM）和系统远程引导是必需的 与 tftp 一起工作 在大多数情况下禁用 inetd/chargen inetd /etc/inetd.conf 字符发生器（仅测试） 可用作 TCP 与 UDP 服务 为“拒绝服务”攻击提供机会 除非正在测试网络，否则禁用 inetd/cmsd inetd /etc/inetd.conf 日历服务（CDE 使用） 以 root 用户身份运行，因此涉及安全性 除非用 CDE 申请该服务，否则禁用 在库房数据库服务器上禁用 inetd/comsat inetd /etc/inetd.conf 通知接收的电子邮件 以 root 用户身份运行，因此涉及安全性 很少需要的 禁用 inetd/daytime inetd /etc/inetd.conf 废弃时间服务（仅测试） 以 root 用户身份运行 可用作 TCP 与 UDP 服务 为“拒绝服务 PING”攻击提供机会 废弃服务并仅对测试使用 禁用 inetd/discard inetd /etc/inetd.conf /dev/null service（仅测试） 可用作 TCP 与 UDP 服务 在“拒绝服务攻击”中使用 废弃服务并仅对测试使用 禁用 inetd/dtspc inetd /etc/inetd.conf CDE 子过程控制 此服务由 inetd 守护程序自动启动以响应 CDE 客户机，该客户机请求在守护程序的主机上启动进程。这使它易受攻击 在没有 CDE 的库房数据库服务器上禁用 没有该服务 CDE 可能会起作用 除非绝对需要，否则禁用 inetd/echo inetd etc/inetd.conf 回传服务（只测试） 可用作 TCP 与 UDP 服务 可用于“拒绝服务或 Smurf”攻击 用于回送信号给其他人从而穿过防火墙或启动数据传输 禁用 inetd/exec inetd /etc/inetd.conf 远程执行服务 以 root 用户身份运行 要求输入无保护传递的用户标识和密码 该服务是非常容易遭到监听的 禁用 inetd/finger inetd /etc/inetd.conf 在用户处进行取数 以 root 用户身份运行 给出有关您的系统与用户的信息 禁用 inetd/ftp inetd /etc/inetd.conf 文件传输协议 以 root 用户身份运行 用户标识与口令未加保护地传送，因此易受监听 禁用此服务并使用公共安全 shell 套件 inetd/imap2 inetd /etc/inetd.conf 因特网邮件访问协议 确保您正使用该服务器的最新版本 只当您运行邮件服务器时才必需。否则，禁用 用户标识与密码未加保护地传递 inetd/klogin inetd /etc/inetd.conf Kerberos 登录 如果您的站点使用 Kerberos 认证则启用 inetd/kshell inetd /etc/inetd.conf Kerberos shell 如果您的站点使用 Kerberos 认证则启用 inetd/login inetd /etc/inetd.conf rlogin 服务 易于遭受 IP 欺骗与 DNS 欺骗 数据（包括用户标识与密码）未加保护地传递 以 root 用户身份运行 使用安全 shell 代替该服务 inetd/netstat inetd /etc/inetd.conf 当前网络状态报告 如在您的系统上运行，可能潜在地把网络信息给黑客 禁用 inetd/ntalk inetd /etc/inetd.conf 允许用户相互交谈 以 root 用户身份运行 不需要产品或库房服务器 除非绝对需要，否则禁用 inetd/pcnfsd inetd /etc/inetd.conf PC NFS 文件服务 如果不是当前在使用则禁用服务 如果需要与此类似的服务，考虑 Samba，pcnfsd 守护程序早于 Microsoft 的 SMB 规范的发行版 inetd/pop3 inetd /etc/linetd.conf 邮局协议 用户标识与密码未加保护地发送 如果您的系统是邮件服务器并且拥有使用仅支持 POP3 的应用程序的客户机时才需要 如果您的客户机使用 IMAP，则用其作为替代，或使用 POP3 服务。该服务有安全套接字层（SSL）报文封装 如果您不在运行邮件服务器或有需要 POP 服务的客户机，则禁用 inetd/rexd inetd /etc/inetd.conf 远程执行 以 root 用户身份运行 用 on 命令监视 禁用的服务 使用 rsh 与 rshd 作为替代 inetd/quotad inetd /etc/inetd.conf 文件限额的报告（对于 NFS 客户机） 如果您正在运行 NFS 文件服务才需要 除非需要对 quota 命令提供应答，否则禁用该服务 如果需要使用该服务，保持该服务的所有的补丁和修正包为最新的 inetd/rstatd inetd /etc/inetd.conf 内核统计信息服务器 如果需要监视系统，使用 SNMP 并禁用该服务 需要使用 rup 命令 inetd/rusersd inetd /etc/inetd.conf 关于用户登录的信息 这不是基本的服务。禁用 以 root 用户身份运行 给出系统上当前用户的列表并用 rusers 监视 inetd/rwalld inetd /etc/inetd.conf 写给所有用户 以 root 用户身份运行 如果系统有交互式用户，可能需要保持该服务 如果系统为产品或数据库服务器，这就不需要 禁用 inetd/shell inetd /etc/inetd.conf rsh 服务 如可能则禁用该服务。使用“安全 shell”作为替代 如果必须使用该服务，则使用 TCP 护封来停止电子欺骗与限制暴露 需要 Xhier 软件分布程序 inetd/sprayd inetd /etc/inetd.conf RPC 喷射测试 以 root 用户身份运行 可能不需要 NFS 网络问题的诊断 如果不在运行 NFS 则禁用 inetd/systat inetd /etc/inted.conf “ps -ef”状态报告 允许远程站点察看系统上的进程状态 该服务缺省情况下禁用。必须周期性地检查来确保未启用该服务 inetd/talk inetd /etc/inetd.conf 在网上两个用户间建立分区屏幕 不是必需服务 与 talk 命令一起使用 在端口 517 提供 UDP 服务 除非对于 UNIX 用户您需要多个交互式交谈会话，否则禁用 inetd/ntalk inetd /etc/inetd.conf “new talk”在网上两个用户间建立分区屏幕 不是必需服务 与 talk 命令一起使用 在端口 517 提供 UDP 服务 除非对于 UNIX 用户您需要多个交互式交谈会话，否则禁用 inetd/telnet inetd /etc/inetd.conf telnet 服务 支持远程登录会话，但未加保护地传递密码和标识 如果可能，禁用该服务并使用远程访问“安全 shell”作为替代 inetd/tftp inetd /etc/inetd.conf 琐碎文件传送 在端口 69 提供 UDP 服务 以 root 用户身份运行并且可能危及安全 由 NIM 使用 除非您正使用 NIM 或必须引导无盘工作站，否则禁用 inetd/time inetd /etc/inetd.conf 废弃时间服务 由 rdate 命令使用的 inetd 的内部功能。 可用作 TCP 与 UDP 服务 有时在引导时用于同步时钟 该服务是过时的。使用 ntpdate 作为替代 只有在您禁用该服务来测试系统而未发现问题之后，才能禁用该服务 inetd/ttdbserver inetd /etc/inetd.conf 工具 交谈数据库服务器（用于 CDE） rpc.ttdbserverd 以 root 用户身份运行，且可能危及安全 为 CDE 规定作为需要的服务，但 CDE 没有它也能工作 不应该在库房服务器或涉及安全性的任何系统上运行 inetd/uucp inetd /etc/inetd.conf UUCP 网络 除非有使用 UUCP 的应用程序，否则禁用 inittab/dt init /etc/rc.dt script in the /etc/inittab 桌面登录到 CDE 环境 在控制台启动 X11 服务器 支持“X11 显示管理员控制协议”（xdcmp），这样其它 X11 站能登录到同一机器 应该只在个人工作站使用服务。避免把它用于库房系统 inittab/dt_nogb init /etc/inittab 桌面登录到 CDE 环境（无图形引导） 直到系统充分地启动后才有图形显示 与 inittab/dt 涉及内容相同 inittab/httpdlite init /etc/inittab 用于 docsearch 命令的 Web 服务器 文档搜索引擎的缺省 Web 服务器 除非您的机器是文档服务器，否则禁用 inittab/i4ls init /etc/inittab 许可证管理员服务器 针对开发机器启用 针对生产机器禁用 针对有许可证需要的库房数据库机器启用 为编译器、数据库软件或任何其它得到许可的产品提供支持 inittab/imnss init /etc/inittab docsearch 命令的搜索引擎 用于文档搜索引擎的缺省 Web 服务器的一部分 除非您的机器是文档服务器，否则禁用 inittab/imqss init /etc/inittab 用于“文档搜索”的搜索引擎 用于文档搜索引擎的缺省 Web 服务器的一部分 除非您的机器是文档服务器，否则禁用 inittab/lpd init /etc/inittab BSD 行式打印机界面 从其它的系统接受打印作业 可以禁用该服务但仍然发送作业到打印服务器 在确认打印不受影响后，禁用该服务 inittab/nfs init /etc/inittab 网络文件系统网络信息服务 基于建立在 UDP/RPC 上的 NFS 与 NIS 服务 认证是最小的 对库房机器禁用此项 inittab/piobe init /etc/inittab 打印机 I/O 后端（用于打印） 处理由 qdaemon 提交的作业的调度、假脱机与打印 如果因为您正发送打印作业到服务器而不从您的系统打印，则禁用 inittab/qdaemon init /etc/inittab 将守护程序排入队列（用于打印） 提交打印作业到 piobe 守护程序 如果不从系统打印则禁用 inittab/uprintfd init /etc/inittab 内核消息 通常不是必需的 禁用 inittab/writesrv init /etc/inittab 写注释到 ttys 只由交互式的 UNIX 工作站用户使用 对服务器、库房数据库与开发机器禁用该服务 对工作站启用该服务 inittab/xdm init /etc/inittab 传统的“X11 显示管理” 请不要在库房生产或数据库服务器上运行 请不要在开发系统上运行，除非 X11 显示管理是需要的 如果需要图形，则可以在工作站上运行 rc.nfs/automountd /etc/rc.nfs 自动文件系统 如果使用 NFS，为工作站启用该服务 不要把自动安装器用于开发或库房服务器 rc.nfs/biod /etc/rc.nfs 阻拦 IO 守护程序（NFS 服务器所必需的） 只为 NFS 服务器启用 如果不是 NFS 服务器，连同 nfsd 与 rpc.mountd 禁用该服务 rc.nfs/keyserv /etc/rc.nfs 安全 RPC 密钥服务器 管理安全 RPC 所需要的密钥 对 NIS+ 来说很重要 如果您 不 在使用 NFS、NIS 与 NIS+，则禁用此服务 rc.nfs/nfsd /etc/rc.nfs NFS 服务（NFS 服务器所所必需的） 认证为弱 能提供其本身堆栈帧崩溃 如果在 NFS 文件服务器上则启用 如果禁用该服务，那么一起禁用 biod 、 nfsd 与 rpc.mountd rc.nfs/rpc.lockd /etc/rc.nfs NFS 文件锁定 如果不在使用 NFS, 禁用此服务 如果不通过网络使用文件锁定则禁用此服务 在“SANS 十种最大安全性威胁”中提到 lockd 守护程序 rc.nfs/rpc.mountd /etc/rc.nfs NFS 文件安装（NFS 服务器所必需的） 认证为弱 能提供其本身堆栈帧崩溃 应该仅在 NFS 文件服务器上启用 如果禁用该服务，那么一起禁用 biod 与 nfsd rc.nfs/rpc.statd /etc/rc.nfs NFS 文件锁定（来恢复它们） 通过 NFS 实现文件锁定 除非在使用 NFS 否则禁用该服务 rc.nfs/rpc.yppasswdd /etc/rc.nfs NIS 密码守护程序（用于 NIS 主控机） 用来操作本地密码文件 只有当有问题的机器是 NIS 主控机时才是必需的，在所有其它情况下禁用 rc.nfs/ypupdated /etc/rc.nfs NIS 更新守护程序（用于 NIS 从属机） 接收由 NIS 主控机推进的 NIS 数据库映射 只有当有问题的机器是主 NIS 服务器的 NIS 从属机时才是必需的 rc.tcpip/autoconf6 /etc/rc.tcpip IPv6 界面 除非在运行 IPV6，否则禁用 rc.tcpip/dhcpcd /etc/rc.tcpip 动态主机配置协议（客户机） 库房服务器不应该依赖于 DHCP。禁用该服务 如果主机不在使用 DHCP，则禁用 rc.tcpip/dhcprd /etc/rc.tcpip 动态主机配置协议（中继 夺取 DHCP 广播并发送它们到另一网络的服务器 在路由器上查找到的服务的副本 如果不在使用 DHCP 或依赖于在网络间发送信息，则禁用 rc.tcpip/dhcpsd /etc/rc.tcpip 动态主机配置协议（服务器 在引导时从客户机应答 DHCP 请求；给予客户机信息，例如 IP 名称、号码、网掩码、路由器与广播地址 如果不在使用 DHCP ，则禁用该服务 在生产与库房服务器连同不在使用 DHCP 的主机上禁用 rc.tcpip/dpid2 /etc/rc.tcpip 过期的 SNMP 服务 除非需要 SNMP，否则禁用 rc.tcpip/gated /etc.rc.tcpip 接口间控制的路由 仿真路由器功能 禁用该服务并使用 RIP 或路由器替代 rc.tcpip/inetd /etc/rc.tcpip inetd 服务 彻底地保护系统则可以禁用该服务，但这通常是不实际的 禁用该服务会禁用一些邮件与 Web 服务器需要的远程 shell 服务 rc.tcpip/mrouted /etc/rc.tcpip 多播路由 仿真路由器在网段间发送多点广播信息包的功能 禁用此服务。使用路由器替代 rc.tcpip/names /etc/rc.tcpip DNS 名称服务器 只有如果您的机器是 DNS 名称服务器的话，使用此项 对工作站、开发与生产机器禁用 rc.tcpip/ndp-host /etc/rc.tcpip IPv6 主机 禁用，除非使用 IPV6 rc.tcpip/ndp-router /etc/rc.tcpip IPv6 路由 禁用，除非使用 IPV6。考虑使用路由器替代 IPv6 rc.tcpip/portmap /etc/rc.tcpip RPC 服务 必需的服务 RPC 服务器用 portmap 守护程序注册。需要定位 RPC 服务的客户机要求 portmap 守护程序告诉它们特定的服务位于何处 只有当您已成功减少 RPC 服务，从而唯一剩余的是 portmap 时，禁用 rc.tcpip/routed /etc/rc.tcpip 接口间的 RIP 路由 仿真路由器功能 禁用如果您有用于网络间的信息包的路由器 rc.tcpip/rwhod /etc/rc.tcpip 远程“who”守护程序 收集并广播数据来监视同一网络上的服务器 禁用该服务 rc.tcpip/sendmail /etc/rc.tcpip 邮件服务 以 root 用户身份运行 禁用该服务，除非该机器用作邮件服务器 如果禁用，那么做以下的一项： 在 crontab 放置一项来清除队列。使用 /usr/lib/sendmail -q 命令 配置 DNS 服务器，从而传送服务器的邮件到某些其它的系统 rc.tcpip/snmpd /etc/rc.tcpip 简单网络管理协议 如果您不在通过 SNMP 工具监视该系统，则禁用 在关键服务器上可能需要 SNMP rc.tcpip/syslogd /etc/rc.tcpip 事件的系统日志 不 建议禁用该服务 倾向于拒绝服务攻击 任何系统必需 rc.tcpip/timed /etc/rc.tcpip 旧的时间守护程序 禁用该服务并使用 xntp 代替 rc.tcpip/xntpd /etc/rc.tcpip 新的时间守护程序 在 sync 中保持系统上的时钟 禁用该服务。 配置其它系统为时间服务器并通过使用调用 ntpdate 的 cron 作业让其它系统与其同步 dt login /usr/dt/config/Xaccess 未限制的 CDE 如果不提供 CDE 登录到 X11 站的组，可以限制 dtlogin 到控制台。 匿名 FTP 协议服务 user rmuser -p 匿名 FTP 协议 匿名 FTP 协议能力使您不能跟踪某个特定用户 FTP 的使用 如果用户帐户存在，则除去用户 ftp，按如下操作