AIX中与安全相关的服务Word文档下载推荐.docx
《AIX中与安全相关的服务Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《AIX中与安全相关的服务Word文档下载推荐.docx(26页珍藏版)》请在冰豆网上搜索。
日历服务(CDE使用)
∙以root用户身份运行,因此涉及安全性
∙除非用CDE申请该服务,否则禁用
∙在库房数据库服务器上禁用
inetd/comsat
通知接收的电子邮件
∙很少需要的
∙禁用
inetd/daytime
废弃时间服务(仅测试)
∙以root用户身份运行
∙为“拒绝服务PING”攻击提供机会
∙废弃服务并仅对测试使用
inetd/discard
/dev/nullservice(仅测试)
∙在“拒绝服务攻击”中使用
inetd/dtspc
CDE子过程控制
∙此服务由inetd守护程序自动启动以响应CDE客户机,该客户机请求在守护程序的主机上启动进程。
这使它易受攻击
∙在没有CDE的库房数据库服务器上禁用
∙没有该服务CDE可能会起作用
∙除非绝对需要,否则禁用
inetd/echo
etc/inetd.conf
回传服务(只测试)
∙可用于“拒绝服务或Smurf”攻击
∙用于回送信号给其他人从而穿过防火墙或启动数据传输
inetd/exec
远程执行服务
∙要求输入无保护传递的用户标识和密码
∙该服务是非常容易遭到监听的
inetd/finger
在用户处进行取数
∙给出有关您的系统与用户的信息
inetd/ftp
文件传输协议
∙用户标识与口令未加保护地传送,因此易受监听
∙禁用此服务并使用公共安全shell套件
inetd/imap2
因特网邮件访问协议
∙确保您正使用该服务器的最新版本
∙只当您运行邮件服务器时才必需。
否则,禁用
∙用户标识与密码未加保护地传递
inetd/klogin
Kerberos登录
∙如果您的站点使用Kerberos认证则启用
inetd/kshell
Kerberosshell
inetd/login
rlogin服务
∙易于遭受IP欺骗与DNS欺骗
∙数据(包括用户标识与密码)未加保护地传递
∙使用安全shell代替该服务
inetd/netstat
当前网络状态报告
∙如在您的系统上运行,可能潜在地把网络信息给黑客
inetd/ntalk
允许用户相互交谈
∙不需要产品或库房服务器
inetd/pcnfsd
PCNFS文件服务
∙如果不是当前在使用则禁用服务
∙如果需要与此类似的服务,考虑Samba,pcnfsd守护程序早于Microsoft的SMB规范的发行版
inetd/pop3
/etc/linetd.conf
邮局协议
∙用户标识与密码未加保护地发送
∙如果您的系统是邮件服务器并且拥有使用仅支持POP3的应用程序的客户机时才需要
∙如果您的客户机使用IMAP,则用其作为替代,或使用POP3服务。
该服务有安全套接字层(SSL)报文封装
∙如果您不在运行邮件服务器或有需要POP服务的客户机,则禁用
inetd/rexd
远程执行
∙用on命令监视
∙禁用的服务
∙使用rsh与rshd作为替代
inetd/quotad
文件限额的报告(对于NFS客户机)
∙如果您正在运行NFS文件服务才需要
∙除非需要对quota命令提供应答,否则禁用该服务
∙如果需要使用该服务,保持该服务的所有的补丁和修正包为最新的
inetd/rstatd
内核统计信息服务器
∙如果需要监视系统,使用SNMP并禁用该服务
∙需要使用rup命令
inetd/rusersd
关于用户登录的信息
∙这不是基本的服务。
禁用
∙给出系统上当前用户的列表并用rusers监视
inetd/rwalld
写给所有用户
∙如果系统有交互式用户,可能需要保持该服务
∙如果系统为产品或数据库服务器,这就不需要
inetd/shell
rsh服务
∙如可能则禁用该服务。
使用“安全shell”作为替代
∙如果必须使用该服务,则使用TCP护封来停止电子欺骗与限制暴露
∙需要Xhier软件分布程序
inetd/sprayd
RPC喷射测试
∙可能不需要NFS网络问题的诊断
∙如果不在运行NFS则禁用
inetd/systat
/etc/inted.conf
“ps-ef”状态报告
∙允许远程站点察看系统上的进程状态
∙该服务缺省情况下禁用。
必须周期性地检查来确保未启用该服务
inetd/talk
在网上两个用户间建立分区屏幕
∙不是必需服务
∙与talk命令一起使用
∙在端口517提供UDP服务
∙除非对于UNIX用户您需要多个交互式交谈会话,否则禁用
“newtalk”在网上两个用户间建立分区屏幕
inetd/telnet
telnet服务
∙支持远程登录会话,但未加保护地传递密码和标识
∙如果可能,禁用该服务并使用远程访问“安全shell”作为替代
inetd/tftp
琐碎文件传送
∙在端口69提供UDP服务
∙以root用户身份运行并且可能危及安全
∙由NIM使用
∙除非您正使用NIM或必须引导无盘工作站,否则禁用
inetd/time
废弃时间服务
∙由rdate命令使用的inetd的内部功能。
∙有时在引导时用于同步时钟
∙该服务是过时的。
使用ntpdate作为替代
∙只有在您禁用该服务来测试系统而未发现问题之后,才能禁用该服务
inetd/ttdbserver
工具-交谈数据库服务器(用于CDE)
∙rpc.ttdbserverd以root用户身份运行,且可能危及安全
∙为CDE规定作为需要的服务,但CDE没有它也能工作
∙不应该在库房服务器或涉及安全性的任何系统上运行
inetd/uucp
UUCP网络
∙除非有使用UUCP的应用程序,否则禁用
inittab/dt
init
/etc/rc.dtscriptinthe/etc/inittab
桌面登录到CDE环境
∙在控制台启动X11服务器
∙支持“X11显示管理员控制协议”(xdcmp),这样其它X11站能登录到同一机器
∙应该只在个人工作站使用服务。
避免把它用于库房系统
inittab/dt_nogb
/etc/inittab
桌面登录到CDE环境(无图形引导)
∙直到系统充分地启动后才有图形显示
∙与inittab/dt涉及内容相同
inittab/httpdlite
用于docsearch命令的Web服务器
∙文档搜索引擎的缺省Web服务器
∙除非您的机器是文档服务器,否则禁用
inittab/i4ls
许可证管理员服务器
∙针对开发机器启用
∙针对生产机器禁用
∙针对有许可证需要的库房数据库机器启用
∙为编译器、数据库软件或任何其它得到许可的产品提供支持
inittab/imnss
docsearch命令的搜索引擎
∙用于文档搜索引擎的缺省Web服务器的一部分
inittab/imqss
用于“文档搜索”的搜索引擎
∙除非
升级会员 