下表列出了AIX® 中较为常见的系统服务。使用此表可作为确保系统安全的起点。
在保护系统之前,请备份所有的原始配置文件,特别是:
/etc/inetd.conf
/etc/inittab
/etc/rc.nfs
/etc/rc.tcpip
服务
守护程序
如下启动
函数
注释
inetd/bootps
inetd
/etc/inetd.conf
用于无盘客户机的 bootp 服务
对于“网络安装管理 (NIM)”和系统的远程引导是必需的
与 tftp 一起工作
在大多数情况下禁用
inetd/chargen
inetd
/etc/inetd.conf
字符发生器(仅测试)
可用作 TCP 与 UDP 服务
为“拒绝服务”攻击提供机会
除非正在测试网络,否则禁用
inetd/cmsd
inetd
/etc/inetd.conf
日历服务 (CDE 使用)
以 root 用户身份运行,因此涉及安全性
除非用 CDE 请求该服务,否则禁用
在库房数据库服务器上禁用
inetd/comsat
inetd
/etc/inetd.conf
通知接收的电子邮件
以 root 用户身份运行,因此涉及安全性
很少需要的
禁用
inetd/daytime
inetd
/etc/inetd.conf
废弃时间服务(仅测试)
以 root 用户身份运行
可用作 TCP 与 UDP 服务
为“拒绝服务 PING”攻击提供机会
废弃服务并仅对测试使用
禁用
inetd/discard
inetd
/etc/inetd.conf
/dev/null service(仅测试)
可用作 TCP 与 UDP 服务
在“拒绝服务攻击”中使用
废弃服务并仅对测试使用
禁用
inetd/dtspc
inetd
/etc/inetd.conf
CDE 子过程控制
此服务由 inetd 守护程序自动启动,以响应请求在守护程序主机上启动进程的 CDE 客户机。 这使它易受攻击
在没有 CDE 的库房数据库服务器上禁用
没有该服务 CDE 可能会起作用
除非绝对需要,否则禁用
inetd/echo
inetd
etc/inetd.conf
回传服务(只测试)
可用作 TCP 与 UDP 服务
可用于“拒绝服务或 Smurf”攻击
用于回送信号给其他人从而穿过防火墙或启动数据传输
禁用
inetd/exec
inetd
/etc/inetd.conf
远程执行服务
以 root 用户身份运行
要求输入一个用户标识和密码,它们将不受保护进行传递
该服务是非常容易遭到监听的
禁用
inetd/finger
inetd
/etc/inetd.conf
在用户处进行取数
以 root 用户身份运行
给出有关您的系统与用户的信息
禁用
inetd/ftp
inetd
/etc/inetd.conf
文件传输协议
以 root 用户身份运行
用户标识与密码未加保护地传送,因此易受监听
禁用此服务并使用公共域安全 shell 套件
inetd/imap2
inetd
/etc/inetd.conf
因特网邮件访问协议
确保您正使用该服务器的最新版本
只当您运行邮件服务器时才必需。 否则,禁用
用户标识与密码未加保护地传递
inetd/klogin
inetd
/etc/inetd.conf
Kerberos 登录
如果您的站点使用 Kerberos 认证则启用
inetd/kshell
inetd
/etc/inetd.conf
Kerberos shell
如果您的站点使用 Kerberos 认证则启用
inetd/login
inetd
/etc/inetd.conf
rlogin 服务
易于遭受 IP 欺骗与 DNS 欺骗
数据(包括用户标识与密码)未加保护地传递
以 root 用户身份运行
使用安全 shell 代替该服务
inetd/netstat
inetd
/etc/inetd.conf
当前网络状态报告
如在您的系统上运行,可能潜在地把网络信息给黑客
禁用
inetd/ntalk
inetd
/etc/inetd.conf
允许用户相互交谈
以 root 用户身份运行
不需要产品或库房服务器
除非绝对需要,否则禁用
inetd/pcnfsd
inetd
/etc/inetd.conf
PC NFS 文件服务
如果不是当前在使用则禁用服务
如果需要与此类似的服务,考虑 Samba,pcnfsd 守护程序早于 Microsoft 的 SMB 规范的发行版
inetd/pop3
inetd
/etc/linetd.conf
邮局协议
用户标识与密码未加保护地发送
如果您的系统是邮件服务器并且拥有使用仅支持 POP3 的应用程序的客户机时才需要
如果客户机使用 IMAP ,请改为使用 IMAP ,或者使用 POP3s 服务。 此服务具有安全套接字层 (SSL) 隧道
如果您不在运行邮件服务器或有需要 POP 服务的客户机,那么禁用
inetd/rexd
inetd
/etc/inetd.conf
远程执行
以 root 用户身份运行
用 on 命令监视
禁用的服务
使用 rsh 与 rshd 作为替代
inetd/quotad
inetd
/etc/inetd.conf
文件限额的报告(对于 NFS 客户机)
如果您正在运行 NFS 文件服务才需要
除非需要对 quota 命令提供应答,否则禁用该服务
如果需要使用该服务,保持该服务的所有的补丁和修正包为最新的
inetd/rstatd
inetd
/etc/inetd.conf
内核统计信息服务器
如果需要监视系统,使用 SNMP 并禁用该服务
需要使用 rup 命令
inetd/rusersd
inetd
/etc/inetd.conf
关于用户登录的信息
这不是基本的服务。 禁用
以 root 用户身份运行
给出系统上当前用户的列表并用 rusers 监视
inetd/rwalld
inetd
/etc/inetd.conf
写给所有用户
以 root 用户身份运行
如果系统有交互式用户,可能需要保持该服务
如果系统为生产或数据库服务器,这就不需要
禁用
inetd/shell
inetd
/etc/inetd.conf
rsh 服务
如可能则禁用该服务。 使用“安全 shell”作为替代
如果必须使用该服务,那么使用 TCP 护封来停止电子欺骗与限制暴露
需要 Xhier 软件分布程序
inetd/sprayd
inetd
/etc/inetd.conf
RPC 喷射测试
以 root 用户身份运行
可能需要 NFS 网络问题的诊断
如果不在运行 NFS 则禁用
inetd/systat
inetd
/etc/inted.conf
“ps -ef”状态报告
允许远程站点察看系统上的进程状态
该服务缺省情况下禁用。 必须周期性地检查来确保未启用该服务
inetd/talk
inetd
/etc/inetd.conf
在网上两个用户间建立分区屏幕
不是必需服务
与 talk 命令一起使用
在端口 517 提供 UDP 服务
除非您需要针对 UNIX 用户的多个交互式交谈会话,否则请禁用
inetd/ntalk
inetd
/etc/inetd.conf
“new talk”在网上两个用户间建立分区屏幕
不是必需服务
与 talk 命令一起使用
在端口 517 提供 UDP 服务
除非您需要针对 UNIX 用户的多个交互式交谈会话,否则请禁用
inetd/telnet
inetd
/etc/inetd.conf
telnet 服务
支持远程登录会话,但密码和标识将不受保护地进行传递
如果可能,禁用该服务并使用远程访问“安全 shell”作为替代
inetd/tftp
inetd
/etc/inetd.conf
基本文件传输
在端口 69 提供 UDP 服务
以 root 用户身份运行并且可能危及安全
由 NIM 使用
除非您在使用 NIM 或必须引导无盘工作站,否则禁用
inetd/time
inetd
/etc/inetd.conf
废弃时间服务
rdate 命令使用的 inetd 的内部函数。
可用作 TCP 与 UDP 服务
有时在引导时用于同步时钟
该服务是过时的。 使用 ntpdate 替代
只有在您禁用该服务来测试系统而未发现问题之后,才能禁用该服务
inetd/ttdbserver
inetd
/etc/inetd.conf
工具 - 交谈数据库服务器(用于 CDE)
rpc.ttdbserverd 以 root 用户身份运行,且可能危及安全
为 CDE 规定作为需要的服务,但 CDE 没有它也能工作
不应该在库房服务器或涉及安全性的任何系统上运行
inetd/uucp
inetd
/etc/inetd.conf
UUCP 网络
除非有使用 UUCP 的应用程序,否则禁用
inittab/dt
init
/etc/rc.dt script in the /etc/inittab
桌面登录到 CDE 环境
在控制台启动 X11 服务器
支持“X11 显示管理员控制协议”(xdcmp),这样其他 X11 站能登录到同一机器
应该只在个人工作站使用服务。 避免把它用于库房系统
inittab/dt_nogb
init
/etc/inittab
桌面登录到 CDE 环境(无图形引导)
直到系统充分地启动后才有图形显示
与 inittab/dt 具有相同问题
inittab/httpdlite
init
/etc/inittab
docsearch 命令的 Web 服务器
文档搜索引擎的缺省 Web 服务器
除非您的机器是文档服务器,否则禁用
inittab/i4ls
init
/etc/inittab
许可证管理员服务器
针对开发机器启用
针对生产机器禁用
针对有许可证需要的库房数据库机器启用
为编译器、数据库软件或任何其他得到许可的产品提供支持
inittab/imqss
init
/etc/inittab
用于“文档搜索”的搜索引擎
用于文档搜索引擎的缺省 Web 服务器的一部分
除非您的机器是文档服务器,否则禁用
inittab/lpd
init
/etc/inittab
BSD 行式打印机界面
从其他的系统接受打印作业
可以禁用该服务但仍然发送作业到打印服务器
在确认打印不受影响后,禁用该服务
inittab/nfs
init
/etc/inittab
网络文件系统/网络信息服务
基于建立在 UDP/RPC 上的 NFS 与 NIS 服务
认证是最小的
对库房机器禁用此项
inittab/piobe
init
/etc/inittab
打印机 I/O 后端(用于打印)
处理由 qdaemon 守护程序提交的作业的调度、假脱机与打印活动
如果因为您正发送打印作业到服务器而不从您的系统打印,那么禁用
inittab/qdaemon
init
/etc/inittab
将守护程序排入队列(用于打印)
提交打印作业到 piobe 守护程序
如果不从系统打印则禁用
inittab/uprintfd
init
/etc/inittab
内核消息
通常不是必需的
禁用
inittab/writesrv
init
/etc/inittab
写注释到 ttys
仅供交互式 UNIX 工作站用户使用
对服务器、库房数据库与开发机器禁用该服务
对工作站启用该服务
inittab/xdm
init
/etc/inittab
传统的“X11 显示管理”
请不要在库房生产或数据库服务器上运行
请不要在开发系统上运行,除非需要 X11 显示管理
如果需要图形,那么可以在工作站上运行
rc.nfs/automountd
/etc/rc.nfs
自动文件系统
如果使用 NFS,为工作站启用该服务
不要把自动安装器用于开发或库房服务器
rc.nfs/biod
/etc/rc.nfs
阻拦 IO 守护程序 (NFS 服务器所必需的)
只为 NFS 服务器启用
如果不是 NFS 服务器,使用 nfsd 与 rpc.mountd 禁用该服务
rc.nfs/keyserv
/etc/rc.nfs
安全 RPC 密钥服务器
管理安全 RPC 所需要的密钥
如果您 未 使用 NFS 和 NIS
rc.nfs/nfsd
/etc/rc.nfs
NFS 服务 (NFS 服务器所所必需的)
认证为弱
能提供其本身堆栈帧崩溃
如果在 NFS 文件服务器上则启用
如果禁用该服务,那么一起禁用 biod、
nfsd 与 rpc.mountd
rc.nfs/rpc.lockd
/etc/rc.nfs
NFS 文件锁定
如果不在使用 NFS, 禁用此服务
如果不通过网络使用文件锁定则禁用此服务
在“SANS 十种最大安全性威胁”中提到 lockd 守护程序
rc.nfs/rpc.mountd
/etc/rc.nfs
NFS 文件安装 (NFS 服务器所必需)
认证为弱
能提供其本身堆栈帧崩溃
应该仅在 NFS 文件服务器上启用
如果禁用该服务,那么一起禁用 biod 与
nfsd
rc.nfs/rpc.statd
/etc/rc.nfs
NFS 文件锁定(来恢复它们)
通过 NFS 实现文件锁定
除非在使用 NFS 否则禁用该服务
rc.nfs/rpc.yppasswdd
/etc/rc.nfs
NIS 密码守护程序(用于 NIS 主控机)
用来操作本地密码文件
只有当有问题的机器是 NIS 主控机时才是必需的,在所有其他情况下禁用
rc.nfs/ypupdated
/etc/rc.nfs
NIS 更新守护程序 (针对 NIS 工作程序)
接收由 NIS 主控机推进的 NIS 数据库映射
仅当所讨论的机器是主 NIS 服务器的 NIS 工作程序时才需要
rc.tcpip/autoconf6
/etc/rc.tcpip
IPv6 界面
除非正在运行 IP V6,否则禁用
rc.tcpip/dhcpcd
/etc/rc.tcpip
动态主机配置协议(客户机)
库房服务器不应该依赖于 DHCP。 禁用该服务
如果主机不在使用 DHCP,那么禁用
rc.tcpip/dhcprd
/etc/rc.tcpip
动态主机配置协议(中继
夺取 DHCP 广播并发送它们到另一网络的服务器
在路由器上查找到的服务的副本
如果不在使用 DHCP 或依赖于在网络间发送信息,那么禁用
rc.tcpip/dhcpsd
/etc/rc.tcpip
动态主机配置协议(服务器
在引导时从客户机应答 DHCP 请求;给予客户机信息,例如 IP 名称、号码、网掩码、路由器与广播地址
如果不在使用 DHCP,那么禁用该服务
在生产与库房服务器连同不在使用 DHCP 的主机上禁用
rc.tcpip/dpid2
/etc/rc.tcpip
过期的 SNMP 服务
除非需要 SNMP,否则禁用
rc.tcpip/gated
/etc.rc.tcpip
接口间控制的路由
仿真路由器功能
禁用该服务并使用 RIP 或路由器替代
rc.tcpip/inetd
/etc/rc.tcpip
inetd 服务
彻底地保护系统则可以禁用该服务,但这通常是不实际的
禁用该服务会禁用一些邮件与 Web 服务器需要的远程 shell 服务
rc.tcpip/mrouted
/etc/rc.tcpip
多点广播路由
仿真路由器在网段间发送多点广播数据包的功能
禁用此服务。 使用路由器替代
rc.tcpip/names
/etc/rc.tcpip
DNS 名称服务器
只有如果您的机器是 DNS 名称服务器的话,使用此项
对工作站、开发与生产机器禁用
rc.tcpip/ndp-host
/etc/rc.tcpip
IPv6 主机
除非要使用 IP V6,否则禁用
rc.tcpip/ndp-router
/etc/rc.tcpip
IPv6 路由
除非您使用 IP 版本 6 ,否则请将其禁用。 请考虑使用路由器而不是 IP 版本 6
rc.tcpip/portmap
/etc/rc.tcpip
RPC 服务
必需的服务
RPC 服务器用 portmap 守护程序注册。 需要找到 RPC 服务的客户机要求 portmap 守护程序
告诉它们特定的服务位于何处
只有当您已成功减少 RPC 服务,从而唯一剩余的是 portmap 时,禁用
rc.tcpip/routed
/etc/rc.tcpip
接口间的 RIP 路由
仿真路由器功能
禁用如果您有用于网络间的数据包的路由器
rc.tcpip/rwhod
/etc/rc.tcpip
远程“who”守护程序
收集并广播数据来监视同一网络上的服务器
禁用该服务
rc.tcpip/sendmail
/etc/rc.tcpip
邮件服务
以 root 用户身份运行
禁用该服务,除非该机器用作邮件服务器
如果禁用,请执行以下操作之一:
在 crontab 放置一项来清除队列。 使用 /usr/lib/sendmail
-q 命令
配置 DNS 服务器,从而传送服务器的邮件到某些其他的系统
rc.tcpip/snmpd
/etc/rc.tcpip
简单网络管理协议
如果您不在通过 SNMP 工具监视该系统,那么禁用
在关键服务器上可能需要 SNMP
rc.tcpip/syslogd
/etc/rc.tcpip
事件的系统日志
不建议禁用该服务
倾向于拒绝服务攻击
任何系统必需
rc.tcpip/timed
/etc/rc.tcpip
旧的时间守护程序
禁用该服务并使用 xntp 代替
rc.tcpip/xntpd
/etc/rc.tcpip
新的时间守护程序
在 sync 中保持系统上的时钟
禁用此服务。
配置其他系统为时间服务器并通过使用调用 ntpdate 的 cron 作业让其他系统与其同步
dt login
/usr/dt/config/Xaccess
未限制的 CDE
如果不提供 CDE 登录到 X11 站的组,可以限制 dtlogin 到控制台。
匿名 FTP 协议服务
user rmuser-p<用户名>
匿名 FTP 协议
匿名 FTP 协议能力使您不能跟踪某个特定用户 FTP 的使用
如果用户帐户存在,那么除去该用户 ftp,按如下操作:
rmuser -p ftp
通过使用不应该 ftp 到系统的人员的列表填充 /etc/ftpusers 文件,可以获得进一步的安全性
匿名 FTP 写入
匿名 ftp 上载
没有文件属于 ftp。
FTP 匿名上载允许在系统上安置处理不当代码的潜能。
将要禁止的那些用户的名称放入 /etc/ftpusers 文件中
一些系统创建的用户(您可能想要禁止通过 FTP 匿名上载到系统的用户)的示例是:root、daemon、bin.sys、
admin.uucp、guest、nobody、
lpd、nuucp 和 ladp
更改 ftpusers 文件的所有者和组权限,按如下所示:chown root:system /etc/ftpusers
更改 ftpusers 文件的许可权,使之为更严格的设置,如下所示:chmod 644 /etc/ftpusers
ftp.restrict
ftp 到系统帐户
不应该允许任何外部用户使用 ftpusers 文件替换 root 文件
root.access
/etc/security/user
rlogin/telnet 到 root 帐户
在 etc/security/user 文件设置 rlogin 选项为 false
以 root 用户身份登录的任何人应该先以自己的名称登录,然后将 su 改为 root;这提供了审计跟踪
snmpd.readWrite
/etc/snmpd.conf
SNMP 读写团体
如果不在使用 SNMP,那么禁用 SNMP 守护程序。
在 /etc/snmpd.conf 文件中禁用团体 private 与团体 system
对那些正监视您系统的 IP 地址限制“public”团体
syslog.conf
配置 syslogd
如果还未配置 /etc/syslog.conf,那么禁用该守护程序
如果正使用 syslog.conf 来记录系统信息,那么保持它是启用的