AIX中与安全相关的服务
AIX中与安全相关的服务
内容提要: 本文介绍了AIX中与安全相关的服务,内容包括了一些我们平常容易忽略或者比较不常用的服务。对于系统管理员增强系统安全性有一定的参考作用。
说明:
内容提要: 本文介绍了AIX中与安全相关的服务,内容包括了一些我们平常容易忽略或者比较不常用的服务。对于系统管理员增强系统安全性有一定的参考作用。
说明:
| 服务 | 守护程序 | 如下启动 | 功能 | 注释 |
| inetd/bootps | inetd | /etc/inetd.conf | 用于无盘客户机的 bootp 服务 | 对于“网络安装管理”(NIM)和系统远程引导是必需的 与 tftp 一起工作 在大多数情况下禁用 |
| inetd/chargen | inetd | /etc/inetd.conf | 字符发生器(仅测试) | 可用作 TCP 与 UDP 服务 为“拒绝服务”攻击提供机会 除非正在测试网络,否则禁用 |
| inetd/cmsd | inetd | /etc/inetd.conf | 日历服务(CDE 使用) | 以 root 用户身份运行,因此涉及安全性 除非用 CDE 申请该服务,否则禁用 在库房数据库服务器上禁用 |
| inetd/comsat | inetd | /etc/inetd.conf | 通知接收的电子邮件 | 以 root 用户身份运行,因此涉及安全性 很少需要的 禁用 |
| inetd/daytime | inetd | /etc/inetd.conf | 废弃时间服务(仅测试) | 以 root 用户身份运行 可用作 TCP 与 UDP 服务 为“拒绝服务 PING”攻击提供机会 废弃服务并仅对测试使用 禁用 |
| inetd/discard | inetd | /etc/inetd.conf | /dev/null service(仅测试) | 可用作 TCP 与 UDP 服务 在“拒绝服务攻击”中使用 废弃服务并仅对测试使用 禁用 |
| inetd/dtspc | inetd | /etc/inetd.conf | CDE 子过程控制 | 此服务由 inetd 守护程序自动启动以响应 CDE 客户机,该客户机请求在守护程序的主机上启动进程。这使它易受攻击 在没有 CDE 的库房数据库服务器上禁用 没有该服务 CDE 可能会起作用 除非绝对需要,否则禁用 |
| inetd/echo | inetd | etc/inetd.conf | 回传服务(只测试) | 可用作 TCP 与 UDP 服务 可用于“拒绝服务或 Smurf”攻击 用于回送信号给其他人从而穿过防火墙或启动数据传输 禁用 |
| inetd/exec | inetd | /etc/inetd.conf | 远程执行服务 | 以 root 用户身份运行 要求输入无保护传递的用户标识和密码 该服务是非常容易遭到监听的 禁用 |
| inetd/finger | inetd | /etc/inetd.conf | 在用户处进行取数 | 以 root 用户身份运行 给出有关您的系统与用户的信息 禁用 |
| inetd/ftp | inetd | /etc/inetd.conf | 文件传输协议 | 以 root 用户身份运行 用户标识与口令未加保护地传送,因此易受监听 禁用此服务并使用公共安全 shell 套件 |
| inetd/imap2 | inetd | /etc/inetd.conf | 因特网邮件访问协议 | 确保您正使用该服务器的最新版本 只当您运行邮件服务器时才必需。否则,禁用 用户标识与密码未加保护地传递 |
| inetd/klogin | inetd | /etc/inetd.conf | Kerberos 登录 | 如果您的站点使用 Kerberos 认证则启用 |
| inetd/kshell | inetd | /etc/inetd.conf | Kerberos shell | 如果您的站点使用 Kerberos 认证则启用 |
| inetd/login | inetd | /etc/inetd.conf | rlogin 服务 | 易于遭受 IP 欺骗与 DNS 欺骗 数据(包括用户标识与密码)未加保护地传递 以 root 用户身份运行 使用安全 shell 代替该服务 |
| inetd/netstat | inetd | /etc/inetd.conf | 当前网络状态报告 | 如在您的系统上运行,可能潜在地把网络信息给黑客 禁用 |
| inetd/ntalk | inetd | /etc/inetd.conf | 允许用户相互交谈 | 以 root 用户身份运行 不需要产品或库房服务器 除非绝对需要,否则禁用 |
| inetd/pcnfsd | inetd | /etc/inetd.conf | PC NFS 文件服务 | 如果不是当前在使用则禁用服务 如果需要与此类似的服务,考虑 Samba,pcnfsd 守护程序早于 Microsoft 的 SMB 规范的发行版 |
| inetd/pop3 | inetd | /etc/linetd.conf | 邮局协议 | 用户标识与密码未加保护地发送 如果您的系统是邮件服务器并且拥有使用仅支持 POP3 的应用程序的客户机时才需要 如果您的客户机使用 IMAP,则用其作为替代,或使用 POP3 服务。该服务有安全套接字层(SSL)报文封装 如果您不在运行邮件服务器或有需要 POP 服务的客户机,则禁用 |
| inetd/rexd | inetd | /etc/inetd.conf | 远程执行 | 以 root 用户身份运行 用 on 命令监视 禁用的服务 使用 rsh 与 rshd 作为替代 |
| inetd/quotad | inetd | /etc/inetd.conf | 文件限额的报告(对于 NFS 客户机) | 如果您正在运行 NFS 文件服务才需要 除非需要对 quota 命令提供应答,否则禁用该服务 如果需要使用该服务,保持该服务的所有的补丁和修正包为最新的 |
| inetd/rstatd | inetd | /etc/inetd.conf | 内核统计信息服务器 | 如果需要监视系统,使用 SNMP 并禁用该服务 需要使用 rup 命令 |
| inetd/rusersd | inetd | /etc/inetd.conf | 关于用户登录的信息 | 这不是基本的服务。禁用 以 root 用户身份运行 给出系统上当前用户的列表并用 rusers 监视 |
| inetd/rwalld | inetd | /etc/inetd.conf | 写给所有用户 | 以 root 用户身份运行 如果系统有交互式用户,可能需要保持该服务 如果系统为产品或数据库服务器,这就不需要 禁用 |
| inetd/shell | inetd | /etc/inetd.conf | rsh 服务 | 如可能则禁用该服务。使用“安全 shell”作为替代 如果必须使用该服务,则使用 TCP 护封来停止电子欺骗与限制暴露 需要 Xhier 软件分布程序 |
| inetd/sprayd | inetd | /etc/inetd.conf | RPC 喷射测试 | 以 root 用户身份运行 可能不需要 NFS 网络问题的诊断 如果不在运行 NFS 则禁用 |
| inetd/systat | inetd | /etc/inted.conf | “ps -ef”状态报告 | 允许远程站点察看系统上的进程状态 该服务缺省情况下禁用。必须周期性地检查来确保未启用该服务 |
| inetd/talk | inetd | /etc/inetd.conf | 在网上两个用户间建立分区屏幕 | 不是必需服务 与 talk 命令一起使用 在端口 517 提供 UDP 服务 除非对于 UNIX 用户您需要多个交互式交谈会话,否则禁用 |
| inetd/ntalk | inetd | /etc/inetd.conf | “new talk”在网上两个用户间建立分区屏幕 | 不是必需服务 与 talk 命令一起使用 在端口 517 提供 UDP 服务 除非对于 UNIX 用户您需要多个交互式交谈会话,否则禁用 |
| inetd/telnet | inetd | /etc/inetd.conf | telnet 服务 | 支持远程登录会话,但未加保护地传递密码和标识 如果可能,禁用该服务并使用远程访问“安全 shell”作为替代 |
| inetd/tftp | inetd | /etc/inetd.conf | 琐碎文件传送 | 在端口 69 提供 UDP 服务 以 root 用户身份运行并且可能危及安全 由 NIM 使用 除非您正使用 NIM 或必须引导无盘工作站,否则禁用 |
| inetd/time | inetd | /etc/inetd.conf | 废弃时间服务 | 由 rdate 命令使用的 inetd 的内部功能。 可用作 TCP 与 UDP 服务 有时在引导时用于同步时钟 该服务是过时的。使用 ntpdate 作为替代 只有在您禁用该服务来测试系统而未发现问题之后,才能禁用该服务 |
| inetd/ttdbserver | inetd | /etc/inetd.conf | 工具 - 交谈数据库服务器(用于 CDE) | rpc.ttdbserverd 以 root 用户身份运行,且可能危及安全 为 CDE 规定作为需要的服务,但 CDE 没有它也能工作 不应该在库房服务器或涉及安全性的任何系统上运行 |
| inetd/uucp | inetd | /etc/inetd.conf | UUCP 网络 | 除非有使用 UUCP 的应用程序,否则禁用 |
| inittab/dt | init | /etc/rc.dt script in the /etc/inittab | 桌面登录到 CDE 环境 | 在控制台启动 X11 服务器 支持“X11 显示管理员控制协议”(xdcmp),这样其它 X11 站能登录到同一机器 应该只在个人工作站使用服务。避免把它用于库房系统 |
| inittab/dt_nogb | init | /etc/inittab | 桌面登录到 CDE 环境(无图形引导) | 直到系统充分地启动后才有图形显示 与 inittab/dt 涉及内容相同 |
| inittab/httpdlite | init | /etc/inittab | 用于 docsearch 命令的 Web 服务器 | 文档搜索引擎的缺省 Web 服务器 除非您的机器是文档服务器,否则禁用 |
| inittab/i4ls | init | /etc/inittab | 许可证管理员服务器 | 针对开发机器启用 针对生产机器禁用 针对有许可证需要的库房数据库机器启用 为编译器、数据库软件或任何其它得到许可的产品提供支持 |
| inittab/imnss | init | /etc/inittab | docsearch 命令的搜索引擎 | 用于文档搜索引擎的缺省 Web 服务器的一部分 除非您的机器是文档服务器,否则禁用 |
| inittab/imqss | init | /etc/inittab | 用于“文档搜索”的搜索引擎 | 用于文档搜索引擎的缺省 Web 服务器的一部分 除非您的机器是文档服务器,否则禁用 |
| inittab/lpd | init | /etc/inittab | BSD 行式打印机界面 | 从其它的系统接受打印作业 可以禁用该服务但仍然发送作业到打印服务器 在确认打印不受影响后,禁用该服务 |
| inittab/nfs | init | /etc/inittab | 网络文件系统/网络信息服务 | 基于建立在 UDP/RPC 上的 NFS 与 NIS 服务 认证是最小的 对库房机器禁用此项 |
| inittab/piobe | init | /etc/inittab | 打印机 I/O 后端(用于打印) | 处理由 qdaemon 提交的作业的调度、假脱机与打印 如果因为您正发送打印作业到服务器而不从您的系统打印,则禁用 |
| inittab/qdaemon | init | /etc/inittab | 将守护程序排入队列(用于打印) | 提交打印作业到 piobe 守护程序 如果不从系统打印则禁用 |
| inittab/uprintfd | init | /etc/inittab | 内核消息 | 通常不是必需的 禁用 |
| inittab/writesrv | init | /etc/inittab | 写注释到 ttys | 只由交互式的 UNIX 工作站用户使用 对服务器、库房数据库与开发机器禁用该服务 对工作站启用该服务 |
| inittab/xdm | init | /etc/inittab | 传统的“X11 显示管理” | 请不要在库房生产或数据库服务器上运行 请不要在开发系统上运行,除非 X11 显示管理是需要的 如果需要图形,则可以在工作站上运行 |
| rc.nfs/automountd | /etc/rc.nfs | 自动文件系统 | 如果使用 NFS,为工作站启用该服务 不要把自动安装器用于开发或库房服务器 | |
| rc.nfs/biod | /etc/rc.nfs | 阻拦 IO 守护程序(NFS 服务器所必需的) | 只为 NFS 服务器启用 如果不是 NFS 服务器,连同 nfsd 与 rpc.mountd 禁用该服务 | |
| rc.nfs/keyserv | /etc/rc.nfs | 安全 RPC 密钥服务器 | 管理安全 RPC 所需要的密钥 对 NIS+ 来说很重要 如果您 不 在使用 NFS、NIS 与 NIS+,则禁用此服务 | |
| rc.nfs/nfsd | /etc/rc.nfs | NFS 服务(NFS 服务器所所必需的) | 认证为弱 能提供其本身堆栈帧崩溃 如果在 NFS 文件服务器上则启用 如果禁用该服务,那么一起禁用 biod 、 nfsd 与 rpc.mountd | |
| rc.nfs/rpc.lockd | /etc/rc.nfs | NFS 文件锁定 | 如果不在使用 NFS, 禁用此服务 如果不通过网络使用文件锁定则禁用此服务 在“SANS 十种最大安全性威胁”中提到 lockd 守护程序 | |
| rc.nfs/rpc.mountd | /etc/rc.nfs | NFS 文件安装(NFS 服务器所必需的) | 认证为弱 能提供其本身堆栈帧崩溃 应该仅在 NFS 文件服务器上启用 如果禁用该服务,那么一起禁用 biod 与 nfsd | |
| rc.nfs/rpc.statd | /etc/rc.nfs | NFS 文件锁定(来恢复它们) | 通过 NFS 实现文件锁定 除非在使用 NFS 否则禁用该服务 | |
| rc.nfs/rpc.yppasswdd | /etc/rc.nfs | NIS 密码守护程序(用于 NIS 主控机) | 用来操作本地密码文件 只有当有问题的机器是 NIS 主控机时才是必需的,在所有其它情况下禁用 | |
| rc.nfs/ypupdated | /etc/rc.nfs | NIS 更新守护程序(用于 NIS 从属机) | 接收由 NIS 主控机推进的 NIS 数据库映射 只有当有问题的机器是主 NIS 服务器的 NIS 从属机时才是必需的 | |
| rc.tcpip/autoconf6 | /etc/rc.tcpip | IPv6 界面 | 除非在运行 IPV6,否则禁用 | |
| rc.tcpip/dhcpcd | /etc/rc.tcpip | 动态主机配置协议(客户机) | 库房服务器不应该依赖于 DHCP。禁用该服务 如果主机不在使用 DHCP,则禁用 | |
| rc.tcpip/dhcprd | /etc/rc.tcpip | 动态主机配置协议(中继 | 夺取 DHCP 广播并发送它们到另一网络的服务器 在路由器上查找到的服务的副本 如果不在使用 DHCP 或依赖于在网络间发送信息,则禁用 | |
| rc.tcpip/dhcpsd | /etc/rc.tcpip | 动态主机配置协议(服务器 | 在引导时从客户机应答 DHCP 请求;给予客户机信息,例如 IP 名称、号码、网掩码、路由器与广播地址 如果不在使用 DHCP ,则禁用该服务 在生产与库房服务器连同不在使用 DHCP 的主机上禁用 | |
| rc.tcpip/dpid2 | /etc/rc.tcpip | 过期的 SNMP 服务 | 除非需要 SNMP,否则禁用 | |
| rc.tcpip/gated | /etc.rc.tcpip | 接口间控制的路由 | 仿真路由器功能 禁用该服务并使用 RIP 或路由器替代 | |
| rc.tcpip/inetd | /etc/rc.tcpip | inetd 服务 | 彻底地保护系统则可以禁用该服务,但这通常是不实际的 禁用该服务会禁用一些邮件与 Web 服务器需要的远程 shell 服务 | |
| rc.tcpip/mrouted | /etc/rc.tcpip | 多播路由 | 仿真路由器在网段间发送多点广播信息包的功能 禁用此服务。使用路由器替代 | |
| rc.tcpip/names | /etc/rc.tcpip | DNS 名称服务器 | 只有如果您的机器是 DNS 名称服务器的话,使用此项 对工作站、开发与生产机器禁用 | |
| rc.tcpip/ndp-host | /etc/rc.tcpip | IPv6 主机 | 禁用,除非使用 IPV6 | |
| rc.tcpip/ndp-router | /etc/rc.tcpip | IPv6 路由 | 禁用,除非使用 IPV6。考虑使用路由器替代 IPv6 | |
| rc.tcpip/portmap | /etc/rc.tcpip | RPC 服务 | 必需的服务 RPC 服务器用 portmap 守护程序注册。需要定位 RPC 服务的客户机要求 portmap 守护程序告诉它们特定的服务位于何处 只有当您已成功减少 RPC 服务,从而唯一剩余的是 portmap 时,禁用 | |
| rc.tcpip/routed | /etc/rc.tcpip | 接口间的 RIP 路由 | 仿真路由器功能 禁用如果您有用于网络间的信息包的路由器 | |
| rc.tcpip/rwhod | /etc/rc.tcpip | 远程“who”守护程序 | 收集并广播数据来监视同一网络上的服务器 禁用该服务 | |
| rc.tcpip/sendmail | /etc/rc.tcpip | 邮件服务 | 以 root 用户身份运行 禁用该服务,除非该机器用作邮件服务器 如果禁用,那么做以下的一项: 在 crontab 放置一项来清除队列。使用 /usr/lib/sendmail -q 命令 配置 DNS 服务器,从而传送服务器的邮件到某些其它的系统 | |
| rc.tcpip/snmpd | /etc/rc.tcpip | 简单网络管理协议 | 如果您不在通过 SNMP 工具监视该系统,则禁用 在关键服务器上可能需要 SNMP | |
| rc.tcpip/syslogd | /etc/rc.tcpip | 事件的系统日志 | 不 建议禁用该服务 倾向于拒绝服务攻击 任何系统必需 | |
| rc.tcpip/timed | /etc/rc.tcpip | 旧的时间守护程序 | 禁用该服务并使用 xntp 代替 | |
| rc.tcpip/xntpd | /etc/rc.tcpip | 新的时间守护程序 | 在 sync 中保持系统上的时钟 禁用该服务。 配置其它系统为时间服务器并通过使用调用 ntpdate 的 cron 作业让其它系统与其同步 | |
| dt login | /usr/dt/config/Xaccess | 未限制的 CDE | 如果不提供 CDE 登录到 X11 站的组,可以限制 dtlogin 到控制台。 | |
| 匿名 FTP 协议服务 | user rmuser -p | 匿名 FTP 协议 | 匿名 FTP 协议能力使您不能跟踪某个特定用户 FTP 的使用 如果用户帐户存在,则除去用户 ftp,按如下操作: rmuser -p ftp 通过将 /etc/ftpusers 文件(带有那些不可以使用 ftp 的用户的列表)植入系统可以获得更高的安全性 | |
| 匿名 FTP 写入 | 匿名 ftp 上载 | 没有文件属于 ftp。 FTP 匿名上载允许在系统上安置处理不当代码的潜能。 把那些您想要禁止的用户的名称放到 /etc/ftpusers 文件 一些系统创建的用户(您可能想要禁止通过 FTP 匿名上载到系统的用户)的示例是:root、daemon、bin.sys、 admin.uucp、guest、nobody、 lpd、nuucp、ladp、 imnadm 更改 ftpusers 文件的所有者和组权限,按如下所示: chown root:system /etc/ftpusers 更改 ftpusers 文件的许可权,使之为更严格的设置,如下所示: chmod 644 /etc/ftpusers | ||
| ftp.restrict | ftp 到系统帐户 | 不应该允许外部用户通过 ftpusers 文件替换 root 文件 | ||
| root.access | /etc/security/user | rlogin/telnet 到 root 帐户 | 在 etc/security/user 文件设置 rlogin 选项为 false 以 root 用户身份登录的任何人应该先以自己的名称登录,然后将 su 改为 root;这提供了审计跟踪 | |
| snmpd.readWrite | /etc/snmpd.conf | SNMP 读写团体 | 如果 不 在使用 SNMP,则禁用 SNMP 守护程序。 在 /etc/snmpd.conf 文件中禁用团体 private 与团体 system 对那些正监视您系统的 IP 地址限制“public”团体 | |
| syslog.conf | 配置 syslogd | 如果还未配置 /etc/syslog.conf ,则禁用该守护程序 如果正使用 syslog.conf 来记录系统信息,则保持它是启用的 |
