AIX中与安全相关的服务

./服务守护程序如下启动功能注释inetd/bootpsinetd/etc/inetd.conf用于无盘客户机的bootp服务对于"网络安装管理"〔NIM和系统远程引导是必需的与tftp一起工作在大多数情况下禁用inetd/chargeninetd/etc/inetd.conf字符发生器〔仅测试可用作TCP与UDP服务为"拒绝服务"攻击提供机会除非正在测试网络,否则禁用inetd/cmsdinetd/etc/inetd.conf日历服务〔CDE使用以root用户身份运行,因此涉及安全性除非用CDE申请该服务,否则禁用在库房数据库服务器上禁用inetd/comsatinetd/etc/inetd.conf通知接收的电子以root用户身份运行,因此涉及安全性很少需要的禁用inetd/daytimeinetd/etc/inetd.conf废弃时间服务〔仅测试以root用户身份运行可用作TCP与UDP服务为"拒绝服务PING"攻击提供机会废弃服务并仅对测试使用禁用inetd/discardinetd/etc/inetd.conf/dev/nullservice〔仅测试可用作TCP与UDP服务在"拒绝服务攻击"中使用废弃服务并仅对测试使用禁用inetd/dtspcinetd/etc/inetd.confCDE子过程控制此服务由inetd守护程序自动启动以响应CDE客户机,该客户机请求在守护程序的主机上启动进程。这使它易受攻击在没有CDE的库房数据库服务器上禁用没有该服务CDE可能会起作用除非绝对需要,否则禁用inetd/echoinetdetc/inetd.conf回传服务〔只测试可用作TCP与UDP服务可用于"拒绝服务或Smurf"攻击用于回送信号给其他人从而穿过防火墙或启动数据传输禁用inetd/execinetd/etc/inetd.conf远程执行服务以root用户身份运行要求输入无保护传递的用户标识和密码该服务是非常容易遭到监听的禁用inetd/fingerinetd/etc/inetd.conf在用户处进行取数以root用户身份运行给出有关您的系统与用户的信息禁用inetd/ftpinetd/etc/inetd.conf文件传输协议以root用户身份运行用户标识与口令未加保护地传送,因此易受监听禁用此服务并使用公共安全shell套件inetd/imap2inetd/etc/inetd.conf因特网访问协议确保您正使用该服务器的最新版本只当您运行服务器时才必需。否则,禁用用户标识与密码未加保护地传递inetd/klogininetd/etc/inetd.confKerberos登录如果您的站点使用Kerberos认证则启用inetd/kshellinetd/etc/inetd.confKerberosshell如果您的站点使用Kerberos认证则启用inetd/logininetd/etc/inetd.confrlogin服务易于遭受IP欺骗与DNS欺骗数据〔包括用户标识与密码未加保护地传递以root用户身份运行使用安全shell代替该服务inetd/netstatinetd/etc/inetd.conf当前网络状态报告如在您的系统上运行,可能潜在地把网络信息给黑客禁用inetd/ntalkinetd/etc/inetd.conf允许用户相互交谈以root用户身份运行不需要产品或库房服务器除非绝对需要,否则禁用inetd/pcnfsdinetd/etc/inetd.confPCNFS文件服务如果不是当前在使用则禁用服务如果需要与此类似的服务,考虑Samba,pcnfsd守护程序早于Microsoft的SMB规的发行版inetd/pop3inetd/etc/linetd.conf邮局协议用户标识与密码未加保护地发送如果您的系统是服务器并且拥有使用仅支持POP3的应用程序的客户机时才需要如果您的客户机使用IMAP,则用其作为替代,或使用POP3服务。该服务有安全套接字层〔SSL报文封装如果您不在运行服务器或有需要POP服务的客户机,则禁用inetd/rexdinetd/etc/inetd.conf远程执行以root用户身份运行用on命令监视禁用的服务使用rsh与rshd作为替代inetd/quotadinetd/etc/inetd.conf文件限额的报告〔对于NFS客户机如果您正在运行NFS文件服务才需要除非需要对quota命令提供应答,否则禁用该服务如果需要使用该服务,保持该服务的所有的补丁和修正包为最新的inetd/rstatdinetd/etc/inetd.conf核统计信息服务器如果需要监视系统,使用SNMP并禁用该服务需要使用rup命令inetd/rusersdinetd/etc/inetd.conf关于用户登录的信息这不是基本的服务。禁用以root用户身份运行给出系统上当前用户的列表并用rusers监视inetd/rwalldinetd/etc/inetd.conf写给所有用户以root用户身份运行如果系统有交互式用户,可能需要保持该服务如果系统为产品或数据库服务器,这就不需要禁用inetd/shellinetd/etc/inetd.confrsh服务如可能则禁用该服务。使用"安全shell"作为替代如果必须使用该服务,则使用TCP护封来停止电子欺骗与限制暴露需要Xhier软件分布程序inetd/spraydinetd/etc/inetd.confRPC喷射测试以root用户身份运行可能不需要NFS网络问题的诊断如果不在运行NFS则禁用inetd/systatinetd/etc/inted.conf"ps-ef"状态报告允许远程站点察看系统上的进程状态该服务缺省情况下禁用。必须周期性地检查来确保未启用该服务inetd/talkinetd/etc/inetd.conf在网上两个用户间建立分区屏幕不是必需服务与talk命令一起使用在端口517提供UDP服务除非对于UNIX用户您需要多个交互式交谈会话,否则禁用inetd/ntalkinetd/etc/inetd.conf"newtalk"在网上两个用户间建立分区屏幕不是必需服务与talk命令一起使用在端口517提供UDP服务除非对于UNIX用户您需要多个交互式交谈会话,否则禁用inetd/telnetinetd/etc/inetd.conftelnet服务支持远程登录会话,但未加保护地传递密码和标识如果可能,禁用该服务并使用远程访问"安全shell"作为替代inetd/tftpinetd/etc/inetd.conf琐碎文件传送在端口69提供UDP服务以root用户身份运行并且可能危及安全由NIM使用除非您正使用NIM或必须引导无盘工作站,否则禁用inetd/timeinetd/etc/inetd.conf废弃时间服务由rdate命令使用的inetd的部功能。可用作TCP与UDP服务有时在引导时用于同步时钟该服务是过时的。使用ntpdate作为替代只有在您禁用该服务来测试系统而未发现问题之后,才能禁用该服务inetd/ttdbserverinetd/etc/inetd.conf工具－交谈数据库服务器〔用于CDErpc.ttdbserverd以root用户身份运行,且可能危及安全为CDE规定作为需要的服务,但CDE没有它也能工作不应该在库房服务器或涉及安全性的任何系统上运行inetd/uucpinetd/etc/inetd.confUUCP网络除非有使用UUCP的应用程序,否则禁用inittab/dtinit/etc/rc.dtscriptinthe/etc/inittab桌面登录到CDE环境在控制台启动X11服务器支持"X11显示管理员控制协议"〔xdcmp,这样其它X11站能登录到同一机器应该只在个人工作站使用服务。避免把它用于库房系统inittab/dt_nogbinit/etc/inittab桌面登录到CDE环境〔无图形引导直到系统充分地启动后才有图形显示与inittab/dt涉及容相同inittab/httpdliteinit/etc/inittab用于docsearch命令的Web服务器文档搜索引擎的缺省Web服务器除非您的机器是文档服务器,否则禁用inittab/i4lsinit/etc/inittab许可证管理员服务器针对开发机器启用针对生产机器禁用针对有许可证需要的库房数据库机器启用为编译器、数据库软件或任何其它得到许可的产品提供支持inittab/imnssinit/etc/inittabdocsearch命令的搜索引擎用于文档搜索引擎的缺省Web服务器的一部分除非您的机器是文档服务器,否则禁用inittab/imqssinit/etc/inittab用于"文档搜索"的搜索引擎用于文档搜索引擎的缺省Web服务器的一部分除非您的机器是文档服务器,否则禁用inittab/lpdinit/etc/inittabBSD行式打印机界面从其它的系统接受打印作业可以禁用该服务但仍然发送作业到打印服务器在确认打印不受影响后,禁用该服务inittab/nfsinit/etc/inittab网络文件系统／网络信息服务基于建立在UDP/RPC上的NFS与NIS服务认证是最小的对库房机器禁用此项inittab/piobeinit/etc/inittab打印机I/O后端〔用于打印处理由qdaemon提交的作业的调度、假脱机与打印如果因为您正发送打印作业到服务器而不从您的系统打印,则禁用inittab/qdaemoninit/etc/inittab将守护程序排入队列〔用于打印提交打印作业到piobe守护程序如果不从系统打印则禁用inittab/uprintfdinit/etc/inittab核消息通常不是必需的禁用inittab/writesrvinit/etc/inittab写注释到ttys只由交互式的UNIX工作站用户使用对服务器、库房数据库与开发机器禁用该服务对工作站启用该服务inittab/xdminit/etc/inittab传统的"X11显示管理"请不要在库房生产或数据库服务器上运行请不要在开发系统上运行,除非X11显示管理是需要的如果需要图形,则可以在工作站上运行rc.nfs/automountd/etc/rc.nfs自动文件系统如果使用NFS,为工作站启用该服务不要把自动安装器用于开发或库房服务器rc.nfs/biod/etc/rc.nfs阻拦IO守护程序〔NFS服务器所必需的只为NFS服务器启用如果不是NFS服务器,连同nfsd与rpc.mountd禁用该服务rc.nfs/keyserv/etc/rc.nfs安全RPC密钥服务器管理安全RPC所需要的密钥对NIS+来说很重要如果您不在使用NFS、NIS与NIS+,则禁用此服务rc.nfs/nfsd/etc/rc.nfsNFS服务〔NFS服务器所所必需的认证为弱能提供其本身堆栈帧崩溃如果在NFS文件服务器上则启用如果禁用该服务,那么一起禁用biod、nfsd与rpc.mountdrc.nfs/rpc.lockd/etc/rc.nfsNFS文件锁定如果不在使用NFS,禁用此服务如果不通过网络使用文件锁定则禁用此服务在"SANS十种最大安全性威胁"中提到lockd守护程序rc.nfs/rpc.mountd/etc/rc.nfsNFS文件安装〔NFS服务器所必需的认证为弱能提供其本身堆栈帧崩溃应该仅在NFS文件服务器上启用如果禁用该服务,那么一起禁用biod与nfsdrc.nfs/rpc.statd/etc/rc.nfsNFS文件锁定〔来恢复它们通过NFS实现文件锁定除非在使用NFS否则禁用该服务rc.nfs/rpc.yppasswdd/etc/rc.nfsNIS密码守护程序〔用于NIS主控机用来操作本地密码文件只有当有问题的机器是NIS主控机时才是必需的,在所有其它情况下禁用rc.nfs/ypupdated/etc/rc.nfsNIS更新守护程序〔用于NIS从属机接收由NIS主控机推进的NIS数据库映射只有当有问题的机器是主NIS服务器的NIS从属机时才是必需的rc.tcpip/autoconf6/etc/rc.tcpipIPv6界面除非在运行IPV6,否则禁用rc.tcpip/dhcpcd/etc/rc.tcpip动态主机配置协议〔客户机库房服务器不应该依赖于DHCP。禁用该服务如果主机不在使用DHCP,则禁用rc.tcpip/dhcprd/etc/rc.tcpip动态主机配置协议〔中继夺取DHCP广播并发送它们到另一网络的服务器在路由器上查找到的服务的副本如果不在使用DHCP或依赖于在网络间发送信息,则禁用rc.tcpip/dhcpsd/etc/rc.tcpip动态主机配置协议〔服务器在引导时从客户机应答DHCP请求；给予客户机信息,例如IP名称、、网掩码、路由器与广播地址如果不在使用DHCP,则禁用该服务在生产与库房服务器连同不在使用DHCP的主机上禁用rc.tcpip/dpid2/etc/rc.tcpip过期的SNMP服务除非需要SNMP,否则禁用rc.tcpip/gated/etc.rc.tcpip接口间控制的路由仿真路由器功能禁用该服务并使用RIP或路由器替代rc.tcpip/inetd/etc/rc.tcpipinetd服务彻底地保护系统则可以禁用该服务,但这通常是不实际的禁用该服务会禁用一些与Web服务器需要的远程shell服务rc.tcpip/mrouted/etc/rc.tcpip多播路由仿真路由器在网段间发送多点广播信息包的功能禁用此服务。使用路由器替代rc.tcpip/names/etc/rc.tcpipDNS名称服务器只有如果您的机器是DNS名称服务器的话,使用此项对工作站、开发与生产机器禁用rc.tcpip/ndp-host/etc/rc.tcpipIPv6主机禁用,除非使用IPV6rc.tcpip/ndp-router/etc/rc.tcpipIPv6路由禁用,除非使用IPV6。考虑使用路由器替代IPv6rc.tcpip/portmap/etc/rc.tcpipRPC服务必需的服务RPC服务器用portmap守护程序注册。需要定位RPC服务的客户机要求portmap守护程序告诉它们特定的服务位于何处只有当您已成功减少RPC服务,从而唯一剩余的是portmap时,禁用rc.tcpip/routed/etc/rc.tcpip接口间的RIP路由仿真路由器功能禁用如果您有用于网络间的信息包的路由器rc.tcpip/rwhod/etc/rc.tcpip远程"who"守护程序收集并广播数据来监视同一网络上的服务器禁用该服务rc.tcpip/sendmail/etc/rc.tcpip服务以root用户身份运行禁用该服务,除非该机器用作服务器如果禁用,那么做以下的一项：在crontab放置一项来清除队列。使用/usr/lib/sendmail-q命令配置DNS服务器,从而传送服务器的到某些其它的系统rc.tcpip/snmpd/etc/rc.tcpip简单网络管理协议如果您不在通过SNMP工具监视该系统,则禁用在关键服务器上可能需要SNMPrc.tcpip/syslogd/etc/rc.tcpip事件的系统日志不建议禁用该服务倾向于拒绝服务攻击任何系统必需rc.tcpip/timed/etc/rc.tcpip旧的时间守护程序禁用该服务并使用xntp代替rc.tcpip/xntpd/etc/rc.tcpip新的时间守护程序在sync中保持系统上的时钟禁用该服务。配置其它系统为时间服务器并通过使用调用ntpdate的cron作业让其它系统与其同步dtlogin/usr/dt/config/Xaccess未限制的CDE如果不提供CDE登录到X11站的组,可以限制dtlogin到控制台。匿名FTP协议服务userrmuser-p<username>匿名FTP协议匿名FTP协议能力使您不能跟踪某个特定用户FTP的使用如果用户存在,则除去用户ftp,按如下操作：