AIX中与安全相关的服务

1、服务 守护程序 如下启动 功能 注释 inetd/bootps inetd /etc/inetd.conf 用于无盘客户机的 bootp 服务 · 对于“网络安装管理”（NIM）和系统远程引导是必需的 · 与 tftp 一起工作 · 在大多数情况下禁用 inetd/chargen inetd /etc/inetd.conf 字符发生器（仅测试） · 可用作 TCP 与 UDP 服务 · 为“拒绝服务”攻击提供机会 · 除非正在测试网络，否则禁用 inetd/cmsd inetd /etc/inetd.conf 日历服务（CDE 使用）

2、 · 以 root 用户身份运行，因此涉及安全性 · 除非用 CDE 申请该服务，否则禁用 · 在库房数据库服务器上禁用 inetd/comsat inetd /etc/inetd.conf 通知接收的电子邮件 · 以 root 用户身份运行，因此涉及安全性 · 很少需要的 · 禁用 inetd/daytime inetd /etc/inetd.conf 废弃时间服务（仅测试） · 以 root 用户身份运行 · 可用作 TCP 与 UDP 服务 · 为“拒绝服务 PING”攻击提供机会 · 废

3、弃服务并仅对测试使用 · 禁用 inetd/discard inetd /etc/inetd.conf /dev/null service（仅测试） · 可用作 TCP 与 UDP 服务 · 在“拒绝服务攻击”中使用 · 废弃服务并仅对测试使用 · 禁用 inetd/dtspc inetd /etc/inetd.conf CDE 子过程控制 · 此服务由 inetd 守护程序自动启动以响应 CDE 客户机，该客户机请求在守护程序的主机上启动进程。这使它易受攻击 · 在没有 CDE 的库房数据库服务器上禁用 · 没有

4、该服务 CDE 可能会起作用 · 除非绝对需要，否则禁用 inetd/echo inetd etc/inetd.conf 回传服务（只测试） · 可用作 TCP 与 UDP 服务 · 可用于“拒绝服务或 Smurf”攻击 · 用于回送信号给其他人从而穿过防火墙或启动数据传输 · 禁用 inetd/exec inetd /etc/inetd.conf 远程执行服务 · 以 root 用户身份运行 · 要求输入无保护传递的用户标识和密码 · 该服务是非常容易遭到监听的 · 禁用 inetd/finger in

5、etd /etc/inetd.conf 在用户处进行取数 · 以 root 用户身份运行 · 给出有关您的系统与用户的信息 · 禁用 inetd/ftp inetd /etc/inetd.conf 文件传输协议 · 以 root 用户身份运行 · 用户标识与口令未加保护地传送，因此易受监听 · 禁用此服务并使用公共安全 shell 套件 inetd/imap2 inetd /etc/inetd.conf 因特网邮件访问协议 · 确保您正使用该服务器的最新版本 · 只当您运行邮件服务器时才必需。否则，禁用 ·

6、; 用户标识与密码未加保护地传递 inetd/klogin inetd /etc/inetd.conf Kerberos 登录 · 如果您的站点使用 Kerberos 认证则启用 inetd/kshell inetd /etc/inetd.conf Kerberos shell · 如果您的站点使用 Kerberos 认证则启用 inetd/login inetd /etc/inetd.conf rlogin 服务 · 易于遭受 IP 欺骗与 DNS 欺骗 · 数据（包括用户标识与密码）未加保护地传递 · 以 root 用户身份运行 ·

7、; 使用安全 shell 代替该服务 inetd/netstat inetd /etc/inetd.conf 当前网络状态报告 · 如在您的系统上运行，可能潜在地把网络信息给黑客 · 禁用 inetd/ntalk inetd /etc/inetd.conf 允许用户相互交谈 · 以 root 用户身份运行 · 不需要产品或库房服务器 · 除非绝对需要，否则禁用 inetd/pcnfsd inetd /etc/inetd.conf PC NFS 文件服务 · 如果不是当前在使用则禁用服务 · 如果需要与此类似的服务，考虑 Sa

8、mba，pcnfsd 守护程序早于 Microsoft 的 SMB 规范的发行版 inetd/pop3 inetd /etc/linetd.conf 邮局协议 · 用户标识与密码未加保护地发送 · 如果您的系统是邮件服务器并且拥有使用仅支持 POP3 的应用程序的客户机时才需要 · 如果您的客户机使用 IMAP，则用其作为替代，或使用 POP3 服务。该服务有安全套接字层（SSL）报文封装 · 如果您不在运行邮件服务器或有需要 POP 服务的客户机，则禁用 inetd/rexd inetd /etc/inetd.conf 远程执行 · 以 ro

9、ot 用户身份运行 · 用 on 命令监视 · 禁用的服务 · 使用 rsh 与 rshd 作为替代 inetd/quotad inetd /etc/inetd.conf 文件限额的报告（对于 NFS 客户机） · 如果您正在运行 NFS 文件服务才需要 · 除非需要对 quota 命令提供应答，否则禁用该服务 · 如果需要使用该服务，保持该服务的所有的补丁和修正包为最新的 inetd/rstatd inetd /etc/inetd.conf 内核统计信息服务器 · 如果需要监视系统，使用 SNMP 并禁用该服务 ·

10、; 需要使用 rup 命令 inetd/rusersd inetd /etc/inetd.conf 关于用户登录的信息 · 这不是基本的服务。禁用 · 以 root 用户身份运行 · 给出系统上当前用户的列表并用 rusers 监视 inetd/rwalld inetd /etc/inetd.conf 写给所有用户 · 以 root 用户身份运行 · 如果系统有交互式用户，可能需要保持该服务 · 如果系统为产品或数据库服务器，这就不需要 · 禁用 inetd/shell inetd /etc/inetd.conf rsh 服

11、务 · 如可能则禁用该服务。使用“安全 shell”作为替代 · 如果必须使用该服务，则使用 TCP 护封来停止电子欺骗与限制暴露 · 需要 Xhier 软件分布程序 inetd/sprayd inetd /etc/inetd.conf RPC 喷射测试 · 以 root 用户身份运行 · 可能不需要 NFS 网络问题的诊断 · 如果不在运行 NFS 则禁用 inetd/systat inetd /etc/inted.conf “ps -ef”状态报告 · 允许远程站点察看系统上的进程状态 · 该服务缺省情况下禁用

12、。必须周期性地检查来确保未启用该服务 inetd/talk inetd /etc/inetd.conf 在网上两个用户间建立分区屏幕 · 不是必需服务 · 与 talk 命令一起使用 · 在端口 517 提供 UDP 服务 · 除非对于 UNIX 用户您需要多个交互式交谈会话，否则禁用 inetd/ntalk inetd /etc/inetd.conf “new talk”在网上两个用户间建立分区屏幕 · 不是必需服务 · 与 talk 命令一起使用 · 在端口 517 提供 UDP 服务 · 除非对于 UNIX

13、用户您需要多个交互式交谈会话，否则禁用 inetd/telnet inetd /etc/inetd.conf telnet 服务 · 支持远程登录会话，但未加保护地传递密码和标识 · 如果可能，禁用该服务并使用远程访问“安全 shell”作为替代 inetd/tftp inetd /etc/inetd.conf 琐碎文件传送 · 在端口 69 提供 UDP 服务 · 以 root 用户身份运行并且可能危及安全 · 由 NIM 使用 · 除非您正使用 NIM 或必须引导无盘工作站，否则禁用 inetd/time inetd /etc/i

14、netd.conf 废弃时间服务 · 由 rdate 命令使用的 inetd 的内部功能。 · 可用作 TCP 与 UDP 服务 · 有时在引导时用于同步时钟 · 该服务是过时的。使用 ntpdate 作为替代 · 只有在您禁用该服务来测试系统而未发现问题之后，才能禁用该服务 inetd/ttdbserver inetd /etc/inetd.conf 工具 交谈数据库服务器（用于 CDE） · rpc.ttdbserverd 以 root 用户身份运行，且可能危及安全 · 为 CDE 规定作为需要的服务，但 CDE 没有它

15、也能工作 · 不应该在库房服务器或涉及安全性的任何系统上运行 inetd/uucp inetd /etc/inetd.conf UUCP 网络 · 除非有使用 UUCP 的应用程序，否则禁用 inittab/dt init /etc/rc.dt script in the /etc/inittab 桌面登录到 CDE 环境 · 在控制台启动 X11 服务器 · 支持“X11 显示管理员控制协议”（xdcmp），这样其它 X11 站能登录到同一机器 · 应该只在个人工作站使用服务。避免把它用于库房系统 inittab/dt_nogb init /

16、etc/inittab 桌面登录到 CDE 环境（无图形引导） · 直到系统充分地启动后才有图形显示 · 与 inittab/dt 涉及内容相同 inittab/httpdlite init /etc/inittab 用于 docsearch 命令的 Web 服务器 · 文档搜索引擎的缺省 Web 服务器 · 除非您的机器是文档服务器，否则禁用 inittab/i4ls init /etc/inittab 许可证管理员服务器 · 针对开发机器启用 · 针对生产机器禁用 · 针对有许可证需要的库房数据库机器启用 ·

17、为编译器、数据库软件或任何其它得到许可的产品提供支持 inittab/imnss init /etc/inittab docsearch 命令的搜索引擎 · 用于文档搜索引擎的缺省 Web 服务器的一部分 · 除非您的机器是文档服务器，否则禁用 inittab/imqss init /etc/inittab 用于“文档搜索”的搜索引擎 · 用于文档搜索引擎的缺省 Web 服务器的一部分 · 除非您的机器是文档服务器，否则禁用 inittab/lpd init /etc/inittab BSD 行式打印机界面 · 从其它的系统接受打印作业

18、83; 可以禁用该服务但仍然发送作业到打印服务器 · 在确认打印不受影响后，禁用该服务 inittab/nfs init /etc/inittab 网络文件系统网络信息服务 · 基于建立在 UDP/RPC 上的 NFS 与 NIS 服务 · 认证是最小的 · 对库房机器禁用此项 inittab/piobe init /etc/inittab 打印机 I/O 后端（用于打印） · 处理由 qdaemon 提交的作业的调度、假脱机与打印 · 如果因为您正发送打印作业到服务器而不从您的系统打印，则禁用 inittab/qdaemon ini

19、t /etc/inittab 将守护程序排入队列（用于打印） · 提交打印作业到 piobe 守护程序 · 如果不从系统打印则禁用 inittab/uprintfd init /etc/inittab 内核消息 · 通常不是必需的 · 禁用 inittab/writesrv init /etc/inittab 写注释到 ttys · 只由交互式的 UNIX 工作站用户使用 · 对服务器、库房数据库与开发机器禁用该服务 · 对工作站启用该服务 inittab/xdm init /etc/inittab 传统的“X11 显示管理

20、” · 请不要在库房生产或数据库服务器上运行 · 请不要在开发系统上运行，除非 X11 显示管理是需要的 · 如果需要图形，则可以在工作站上运行 rc.nfs/automountd /etc/rc.nfs 自动文件系统 · 如果使用 NFS，为工作站启用该服务 · 不要把自动安装器用于开发或库房服务器 rc.nfs/biod /etc/rc.nfs 阻拦 IO 守护程序（NFS 服务器所必需的） · 只为 NFS 服务器启用 · 如果不是 NFS 服务器，连同 nfsd 与 rpc.mountd 禁用该服务 rc.nfs/k

21、eyserv /etc/rc.nfs 安全 RPC 密钥服务器 · 管理安全 RPC 所需要的密钥 · 对 NIS+ 来说很重要 · 如果您 不 在使用 NFS、NIS 与 NIS+，则禁用此服务 rc.nfs/nfsd /etc/rc.nfs NFS 服务（NFS 服务器所所必需的） · 认证为弱 · 能提供其本身堆栈帧崩溃 · 如果在 NFS 文件服务器上则启用 · 如果禁用该服务，那么一起禁用 biod 、 nfsd 与 rpc.mountd rc.nfs/rpc.lockd /etc/rc.nfs NFS 文件锁定

22、· 如果不在使用 NFS, 禁用此服务 · 如果不通过网络使用文件锁定则禁用此服务 · 在“SANS 十种最大安全性威胁”中提到 lockd 守护程序 rc.nfs/rpc.mountd /etc/rc.nfs NFS 文件安装（NFS 服务器所必需的） · 认证为弱 · 能提供其本身堆栈帧崩溃 · 应该仅在 NFS 文件服务器上启用 · 如果禁用该服务，那么一起禁用 biod 与 nfsd rc.nfs/rpc.statd /etc/rc.nfs NFS 文件锁定（来恢复它们） · 通过 NFS 实现文件锁定 &

23、#183; 除非在使用 NFS 否则禁用该服务 rc.nfs/rpc.yppasswdd /etc/rc.nfs NIS 密码守护程序（用于 NIS 主控机） · 用来操作本地密码文件 · 只有当有问题的机器是 NIS 主控机时才是必需的，在所有其它情况下禁用 rc.nfs/ypupdated /etc/rc.nfs NIS 更新守护程序（用于 NIS 从属机） · 接收由 NIS 主控机推进的 NIS 数据库映射 · 只有当有问题的机器是主 NIS 服务器的 NIS 从属机时才是必需的 rc.tcpip/autoconf6 /etc/rc.tcpip

24、IPv6 界面 · 除非在运行 IPV6，否则禁用 rc.tcpip/dhcpcd /etc/rc.tcpip 动态主机配置协议（客户机） · 库房服务器不应该依赖于 DHCP。禁用该服务 · 如果主机不在使用 DHCP，则禁用 rc.tcpip/dhcprd /etc/rc.tcpip 动态主机配置协议（中继 · 夺取 DHCP 广播并发送它们到另一网络的服务器 · 在路由器上查找到的服务的副本 · 如果不在使用 DHCP 或依赖于在网络间发送信息，则禁用 rc.tcpip/dhcpsd /etc/rc.tcpip 动态主机配置协议

25、（服务器 · 在引导时从客户机应答 DHCP 请求；给予客户机信息，例如 IP 名称、号码、网掩码、路由器与广播地址 · 如果不在使用 DHCP ，则禁用该服务 · 在生产与库房服务器连同不在使用 DHCP 的主机上禁用 rc.tcpip/dpid2 /etc/rc.tcpip 过期的 SNMP 服务 · 除非需要 SNMP，否则禁用 rc.tcpip/gated /etc.rc.tcpip 接口间控制的路由 · 仿真路由器功能 · 禁用该服务并使用 RIP 或路由器替代 rc.tcpip/inetd /etc/rc.tcpip in

26、etd 服务 · 彻底地保护系统则可以禁用该服务，但这通常是不实际的 · 禁用该服务会禁用一些邮件与 Web 服务器需要的远程 shell 服务 rc.tcpip/mrouted /etc/rc.tcpip 多播路由 · 仿真路由器在网段间发送多点广播信息包的功能 · 禁用此服务。使用路由器替代 rc.tcpip/names /etc/rc.tcpip DNS 名称服务器 · 只有如果您的机器是 DNS 名称服务器的话，使用此项 · 对工作站、开发与生产机器禁用 rc.tcpip/ndp-host /etc/rc.tcpip IPv6

27、 主机 · 禁用，除非使用 IPV6 rc.tcpip/ndp-router /etc/rc.tcpip IPv6 路由 · 禁用，除非使用 IPV6。考虑使用路由器替代 IPv6 rc.tcpip/portmap /etc/rc.tcpip RPC 服务 · 必需的服务 · RPC 服务器用 portmap 守护程序注册。需要定位 RPC 服务的客户机要求 portmap 守护程序告诉它们特定的服务位于何处 · 只有当您已成功减少 RPC 服务，从而唯一剩余的是 portmap 时，禁用 rc.tcpip/routed /etc/rc.tcp

28、ip 接口间的 RIP 路由 · 仿真路由器功能 · 禁用如果您有用于网络间的信息包的路由器 rc.tcpip/rwhod /etc/rc.tcpip 远程“who”守护程序 · 收集并广播数据来监视同一网络上的服务器 · 禁用该服务 rc.tcpip/sendmail /etc/rc.tcpip 邮件服务 · 以 root 用户身份运行 · 禁用该服务，除非该机器用作邮件服务器 · 如果禁用，那么做以下的一项： · 在 crontab 放置一项来清除队列。使用 /usr/lib/sendmail -q 命令 &#

29、183; 配置 DNS 服务器，从而传送服务器的邮件到某些其它的系统 rc.tcpip/snmpd /etc/rc.tcpip 简单网络管理协议 · 如果您不在通过 SNMP 工具监视该系统，则禁用 · 在关键服务器上可能需要 SNMP rc.tcpip/syslogd /etc/rc.tcpip 事件的系统日志 · 不 建议禁用该服务 · 倾向于拒绝服务攻击 · 任何系统必需 rc.tcpip/timed /etc/rc.tcpip 旧的时间守护程序 · 禁用该服务并使用 xntp 代替 rc.tcpip/xntpd /etc/rc.tcpip 新的时间守护程序 · 在 sync 中保持系统上的时钟 · 禁用该服务。 · 配置其它系统为时间服务器并通过使用调用 ntpdate 的 cron 作业让其它系统与其同步 dt login /usr/dt/config/Xaccess 未限制的 CDE · 如果不提供 CDE 登录到 X11 站的组，可以限制 dtlogin 到控制台。 匿名 FTP 协议服务 user rmuser -p <username> 匿名 FTP 协议 · 匿名 FTP 协议能力