| inetd/bootps |
inetd |
/etc/inetd.conf |
Служба загрузки бездисковых клиентов. |
- Необходима для NIM и удаленной загрузки систем.
- Работает вместе с tftp.
- В большинстве случаев следует отключить.
|
| inetd/chargen |
inetd |
/etc/inetd.conf |
Генератор символов (только для
тестирования). |
- Может применяться в качестве службы TCP и UDP.
- Открывает возможность атак типа "отказ в обслуживании".
- Отключите, если вы не тестируете сеть.
|
| inetd/cmsd |
inetd |
/etc/inetd.conf |
Служба календаря (используется CDE). |
- Работает под управлением ИД root, что представляет
потенциальную угрозу защите.
- Если эта служба не нужна CDE, то отключите ее.
- Отключите на серверах баз данных.
|
| inetd/comsat |
inetd |
/etc/inetd.conf |
Уведомляет о получении электронной почты. |
- Работает под управлением ИД root, что представляет
потенциальную угрозу защите.
- Требуется редко.
- Отключите.
|
| inetd/daytime |
inetd |
/etc/inetd.conf |
Устаревшая служба времени (только для тестирования). |
- Работает под управлением ИД root.
- Может применяться в качестве службы TCP и UDP.
- Открывает возможность атак типа "отказ в обслуживании"
с помощью PING.
- Служба устарела и применяется только для тестирования.
- Отключите.
|
| inetd/discard |
inetd |
/etc/inetd.conf |
Служба /dev/null (только для тестирования). |
- Может применяться в качестве службы TCP и UDP.
- Позволяет осуществлять атаки типа "отказ в обслуживании".
- Служба устарела и применяется только для тестирования.
- Отключите.
|
| inetd/dtspc |
inetd |
/etc/inetd.conf |
Управление подпроцессом CDE. |
- Эта служба автоматически запускается демоном
inetd в ответ на запрос клиента CDE на запуск
процесса на хосте демона. При этом возникает потенциальная
угроза атаки.
- Отключите на серверах без CDE.
- CDE может работать без этой службы.
- Отключите, если нет крайней необходимости в этой службе
|
| inetd/echo |
inetd |
etc/inetd.conf |
Служба эхо (только для тестирования). |
- Может применяться в качестве службы TCP и UDP.
- Позволяет осуществлять атаки типа "отказ в
обслуживании" и "Smurf".
- Применяется для передачи эхо-пакетов на чей-либо адрес
для проникновения через брандмауэр или атаки путем передачи
чрезмерного объема данных.
- Отключите.
|
| inetd/exec |
inetd |
/etc/inetd.conf |
Служба удаленного выполнения. |
- Работает под управлением ИД root.
- Требует ввода ИД пользователя и пароля, которые
передаются без шифрования.
- Эта служба чрезвычайно неустойчива к перехвату.
- Отключите.
|
| inetd/finger |
inetd |
/etc/inetd.conf |
Предоставляет информацию о пользователях. |
- Работает под управлением ИД root.
- Предоставляет информацию о системах и пользователях.
- Отключите.
|
| inetd/ftp |
inetd |
/etc/inetd.conf |
Протокол передачи файлов. |
- Работает под управлением ИД root.
- ИД пользователей и пароли передаются без шифрования,
что позволяет перехватывать их.
- Отключите эту службу и применяйте общедоступные
защищенные пакеты.
|
| inetd/imap2 |
inetd |
/etc/inetd.conf |
Почтовый протокол Internet. |
- Применяйте только последнюю версию этого сервера.
- Необходима только при использовании системы в качестве
почтового сервера. В противном случае необходимо отключить
эту службу.
- ИД пользователей и пароли передаются без шифрования.
|
| inetd/klogin |
inetd |
/etc/inetd.conf |
Вход в систему Kerberos. |
- Включена, если в вашей системе используется
идентификация Kerberos.
|
| inetd/kshell |
inetd |
/etc/inetd.conf |
Оболочка Kerberos. |
- Включена, если в вашей системе используется
идентификация Kerberos.
|
| inetd/login |
inetd |
/etc/inetd.conf |
Служба удаленного входа в систему rlogin. |
- Неустойчива к перехвату IP и DNS.
- Данные, включая ИД и пароли пользователей, передаются
без шифрования.
- Работает под управлением ИД root.
- Вместо этой службы следует применять защищенную оболочку.
|
| inetd/netstat |
inetd |
/etc/inetd.conf |
Просмотр сведений о текущем состоянии
сети. |
- Может предоставить хакерам информацию о сети.
- Отключите.
|
| inetd/ntalk |
inetd |
/etc/inetd.conf |
Позволяет пользователям обмениваться
сообщениями. |
- Работает под управлением ИД root.
- Не требуется на рабочих или базовых серверах.
- Отключите, если нет крайней необходимости в этой службе
|
| inetd/pcnfsd |
inetd |
/etc/inetd.conf |
Служба поддержки сетевой файловой
системы PC. |
- Если эта служба не используется, отключите ее.
- Если такая служба необходима, то рекомендуется
применять службу Samba, поскольку демон pcnfsd является
предшественником разработанной фирмой Microsoft
спецификации SMB.
|
| inetd/pop3 |
inetd |
/etc/linetd.conf |
Протокол доступа к почтовому серверу. |
- ИД и пароли пользователей передаются без шифрования.
- Необходима только в том случае, если система
применяется в качестве почтового сервера и обслуживает
клиентов, поддерживающих только протокол POP3
- Вместо POP3 рекомендуется применять IMAP, если клиенты
поддерживают IMAP, либо POP3s.
Данная служба поддерживает
туннели SSL.
- Отключите эту службу, если система не применяется в
качестве почтового сервера или не обслуживает клиентов,
поддерживающих только POP.
|
| inetd/rexd |
inetd |
/etc/inetd.conf |
Удаленное выполнение команд. |
- Работает под управлением ИД root.
- Взаимодействует с командой on.
- Отключите.
- Вместо этой службы рекомендуется применять
rsh и rshd.
|
| inetd/quotad |
inetd |
/etc/inetd.conf |
Возвращает информацию о файловых
квотах для клиентов NFS. |
- Необходима только при использовании служб NFS.
- Отключите эту службу, если она не требуется для отправки ответов на команду quota
- Если эта служба необходима, то следует регулярно
устанавливать выпускаемые для нее исправления.
|
| inetd/rstatd |
inetd |
/etc/inetd.conf |
Служба сбора статистики ядра. |
- Для отслеживания систем рекомендуется применять SNMP, а
эту службу отключить.
- Данная служба необходима для работы команды
rup.
|
| inetd/rusersd |
inetd |
/etc/inetd.conf |
Передает информацию о работающих в
системе пользователях. |
- Это второстепенная служба. Отключите.
- Работает под управлением ИД root.
- Предоставляет команде rusers список работающих в системе пользователей.
|
| inetd/rwalld |
inetd |
/etc/inetd.conf |
Передает сообщение всем пользова- телям. |
- Работает под управлением ИД root.
- Если система используется пользователями в
интерактивном режиме, то эта служба может вам
потребоваться.
- В рабочих системах и на серверах баз данных эта служба
не нужна.
- Отключите.
|
| inetd/shell |
inetd |
/etc/inetd.conf |
Служба удаленной оболочки rsh. |
- Отключите эту службу. Вместо данной службы
рекомендуется применять защищенную оболочку.
- Если необходимо применять именно эту службу, то
используйте обрамляющие структуры TCP, чтобы избежать
перехвата данных и снизить опасность нарушения защиты.
- Необходима работы Xhier.
|
| inetd/sprayd |
inetd |
/etc/inetd.conf |
Проверка связи с помощью RPC и
команды spray. |
- Работает под управлением ИД root.
- Может потребоваться для диагностики неполадок NFS.
- Отключите эту службу, если вы не применяете NFS.
|
| inetd/systat |
inetd |
/etc/inted.conf |
Отчет "ps -ef". |
- Позволяет удаленным системам просматривать информацию о
состоянии процессов в вашей системе.
- По умолчанию эта служба отключена. Необходимо проверять
ее периодически и убеждаться, что она не включена.
|
| inetd/talk |
inetd |
/etc/inetd.conf |
Устанавливает сеанс связи между двумя
пользовате- лями в сети. |
- Это не обязательная служба.
- Применяется вместе с командой talk.
- Применяет порт UDP 517.
- Отключите эту службу, если вам не требуется устанавливать сеансы диалога между интерактивными пользователями UNIX
|
| inetd/ntalk |
inetd |
/etc/inetd.conf |
Новый вариант команды talk.
Устанавливает сеанс связи между двумя пользовате- лями в
сети. |
- Это не обязательная служба.
- Применяется вместе с командой talk.
- Применяет порт UDP 517.
- Отключите эту службу, если вам не требуется устанавливать сеансы диалога между интерактивными пользователями UNIX
|
| inetd/telnet |
inetd |
/etc/inetd.conf |
Служба telnet. |
- Поддерживает удаленный вход в систему. ИД и пароли
пользователей передаются без шифрования.
- Если это возможно, отключите данную службу и
используйте вместо нее защищенную оболочку.
|
| inetd/tftp |
inetd |
/etc/inetd.conf |
Упрощенный протокол передачи файлов. |
- Применяет порт UDP 69.
- Работает под управлением ИД root.
- Применяется NIM.
- Отключите эту службу, если вы не применяете NIM и не
используете систему для загрузки бездисковых рабочих
станций.
|
| inetd/time |
inetd |
/etc/inetd.conf |
Устаревшая служба времени. |
- Внутренняя функция демона inetd, применяемая командой rdate.
- Может применяться в качестве службы TCP и UDP.
- Иногда применяется для синхронизации системных часов
при загрузке.
- Устаревшая служба. Вместо нее рекомендуется применять ntpdate
- Отключите эту службу и протестируйте работу своих
систем (загрузка/перезагрузка). Если неполадок не
обнаружено, не включайте эту службу.
|
| inetd/ttdbserver |
inetd |
/etc/inetd.conf |
Сервер баз данных tool-talk (для CDE). |
- rpc.ttdbserverd работает под
управлением ИД root.
- Запускается как обязательная служба CDE, но CDE может
работать и без этой службы.
- Не следует применять эту службу на базовых серверах, а
также в системах с высокими требованиями к защите.
|
| inetd/uucp |
inetd |
/etc/inetd.conf |
Поддержка сети UUCP. |
- Отключите эту службу, если вы не применяете приложения,
работающие с UUCP.
|
| inittab/dt |
init |
Сценарий /etc/rc.dt в /etc/inittab |
Вход в систему рабочего стола среды CDE. |
- Запускает на консоли сервер X11.
- Поддерживает протокол управления дисплеями X11 (xdcmp),
обеспечивая возможность входа в ту же систему с других
станций X11.
- Эта служба должна применяться только на персональных
рабочих станциях. Не следует применять ее на базовых
серверах.
|
| inittab/dt_nogb |
init |
/etc/inittab |
Вход в систему рабочего стола среды
CDE (загрузка без графики). |
- Графический дисплей инициализируется лишь после полной
загрузки системы.
- Ограничения те же, что и у inittab/dt
|
| inittab/httpdlite |
init |
/etc/inittab |
Web-сервер для команды docsearch. |
- Web-сервер по умолчанию для службы поиска документации.
- Отключите, если ваша система не используется в качестве
сервера документации.
|
| inittab/i4ls |
init |
/etc/inittab |
Серверы администра- тора лицензий. |
- Включите в системах, используемых для разработки
приложений.
- Отключите в рабочих системах.
- Включите на серверах баз данных, к которым
предъявляются особые требования по лицензированию.
- Обеспечивает поддержку компиляторов, баз данных и
других лицензионных продуктов.
|
| inittab/imqss |
init |
/etc/inittab |
Механизм поиска для службы поиска
документации. |
- Компонент Web-сервера для службы поиска документации.
- Отключите, если ваша система не используется в качестве
сервера документации.
|
| inittab/lpd |
init |
/etc/inittab |
Интерфейс построчного принтера BSD. |
- Принимает задания печати, поступающие из других систем.
- Вы можете отключить эту службу, сохранив возможность
отправки заданий на сервер печати.
- Отключите эту службу, убедившись, что это не повлияло
на функции печати.
|
| inittab/nfs |
init |
/etc/inittab |
Службы сетевой файловой системы и
информации о сети. |
- Службы NFS и NIS на основе UDP/RPC.
- Минимальный объем идентификации.
- Отключите службу на базовых серверах.
|
| inittab/piobe |
init |
/etc/inittab |
Базовая программа печати. |
- Обрабатывает планирование, буферизацию и печать заданий, переданных на выполнение демоном qdaemon
- Отключите эту службу, если вы не печатаете документы в
своей системе, а отправляете их на сервер печати.
|
| inittab/qdaemon |
init |
/etc/inittab |
Демон очередей (для печати). |
- Передает задания печати демону
piobe.
- Отключите эту службу, если вы не печатаете документы в
своей системе.
|
| inittab/uprintfd |
init |
/etc/inittab |
Сообщения ядра. |
- Обычно эта служба не требуется.
- Отключите.
|
| inittab/writesrv |
init |
/etc/inittab |
Отправка сообщений на терминалы. |
- Применяется только пользователями интерактивных рабочих станций UNIX
- Отключите эту службу на серверах, базовых серверах баз
данных и в системах, применяемых для разработки приложений.
- Включите эту службу на рабочих станциях.
|
| inittab/xdm |
init |
/etc/inittab |
Традиционный администратор дисплеев X11. |
- Не запускайте на базовых рабочих серверах и серверах
баз данных.
- Не запускайте в системах для разработки приложений,
если не требуются функции управления дисплеями X11.
- Может применяться на рабочих станциях, если необходима
поддержка графического режима.
|
| rc.nfs/automountd |
|
/etc/rc.nfs |
Авт. монтирование файловых
систем. |
- Включите эту службу на рабочих станциях, если вы
применяете NFS.
- Не включайте службу автоматического монтирования на
базовых серверах и в системах, применяемых для разработки
приложений.
|
| rc.nfs/biod |
|
/etc/rc.nfs |
Демон блокового ввода-вывода
(необходим для сервера NFS). |
- Включите для поддержки сервера NFS.
- Если вы не работаете с сервером NFS, то отключите эту службу, а также nfsd и rpc.mountd
|
| rc.nfs/keyserv |
|
/etc/rc.nfs |
Защищенный сервер ключей RPC. |
- Управляет ключами, необходимыми для обеспечения защиты
RPC.
- Отключите эту службу, если вы не используете NFS и NIS.
|
| rc.nfs/nfsd |
|
/etc/rc.nfs |
Службы NFS (необходимы для сервера NFS). |
- Слабые средства идентификации.
- Может привести к краху стека.
- Включите на файловых серверах, использующих NFS.
- Если вы отключили эту службу, то отключите также
biod, nfsd и
rpc.mountd.
|
| rc.nfs/rpc.lockd |
|
/etc/rc.nfs |
Блокировка файлов NFS. |
- Отключите, если вы не применяете NFS.
- Отключите эту службу, если вы не применяете блокировку
файлов в сети.
- Демон lockd представляет
потенциальную угрозу защите системы, он упомянут в списке
SANS Top Ten Security Threats.
|
| rc.nfs/rpc.mountd |
|
/etc/rc.nfs |
Монтирование файлов NFS (служба
необходима для сервера NFS). |
- Слабые средства идентификации.
- Может привести к краху стека.
- Следует включить на файловых серверах, применяющих NFS.
- Если вы отключили эту службу, то отключите также
biod и nfsd.
|
| rc.nfs/rpc.statd |
|
/etc/rc.nfs |
Блокировка файлов NFS (для восст.). |
- Реализует блокировку файлов в NFS.
- Отключите, если вы не применяете NFS.
|
| rc.nfs/rpc.yppasswdd |
|
/etc/rc.nfs |
Демон паролей NIS (для сервера NIS). |
- Применяется для управления локальным файлом паролей.
- Эта служба необходима только на сервере NIS. Отключите
ее на всех остальных системах.
|
| rc.nfs/ypupdated |
|
/etc/rc.nfs |
Демон обновления NIS (для подчиненных
серверов NIS). |
- Получает образы баз данных NIS с сервера NIS.
- Эта служба необходима только на подчиненном сервере
главного сервера NIS.
|
| rc.tcpip/autoconf6 |
|
/etc/rc.tcpip |
Интерфейсы IPv6. |
- Отключите, если вы не работаете с IPv6
|
| rc.tcpip/dhcpcd |
|
/etc/rc.tcpip |
Протокол динамической настройки
хостов (клиент). |
- Базовые серверы не должны выполнять функции
промежуточных агентов DHCP. Отключите эту службу.
- Если хост не применяет DHCP, отключите эту службу.
|
| rc.tcpip/dhcprd |
|
/etc/rc.tcpip |
Протокол динамической настройки
хостов (промежу- точный агент). |
- Получает широковещательные запросы DHCP и отправляет их
на сервер в другой сети.
- Дублирует функции аналогичной службы маршрутизаторов.
- Отключите эту службу, если вы не применяете DHCP или не
передаете информацию между сетями.
|
| rc.tcpip/dhcpsd |
|
/etc/rc.tcpip |
Протокол динамической настройки
хостов (сервер). |
- Отвечает на запросы DHCP, отправляемые клиентами при
загрузке; передает клиентам такую информацию, как имя,
IP-адрес, номер, маска сети, а также адрес маршрутизатора и
широковещательный адрес.
- Отключите эту службу, если вы не применяете DHCP.
- Отключите на рабочих и базовых серверах, а также на
хостах, не использующих DHCP.
|
| rc.tcpip/dpid2 |
|
/etc/rc.tcpip |
Устаревшая служба SNMP. |
- Отключите, если вам не требуется поддержка SNMP.
|
| rc.tcpip/gated |
|
/etc.rc.tcpip |
Маршрутиза- ция между интерфейсами. |
- Обеспечивает функции маршрутизации.
- Отключите эту службу и применяйте вместо нее RIP или
маршрутизатор.
|
| rc.tcpip/inetd |
|
/etc/rc.tcpip |
Службы inetd. |
- Для обеспечения максимальной защиты системы эти службы
необходимо отключить, однако в большинстве случаев это
невозможно.
- Отключение приведен к запрету служб удаленных оболочек,
необходимых для некоторых почтовых и Web-серверов.
|
| rc.tcpip/mrouted |
|
/etc/rc.tcpip |
Маршрутиза- ция многоцелевой рассылки. |
- Эмулирует функции маршрутизатора по рассылке пакетов
многоцелевой рассылки между сегментами сети.
- Отключите эту службу. Вместо нее воспользуйтесь
маршрутизатором.
|
| rc.tcpip/names |
|
/etc/rc.tcpip |
сервер имен DNS |
- Включите эту службу только в том случае, если система
применяется в качестве сервера имен DNS.
- Отключите эту службу на рабочих станциях, системах,
применяемых для разработки приложений, а также на рабочих
серверах.
|
| rc.tcpip/ndp-host |
|
/etc/rc.tcpip |
Служба хоста IPv6. |
- Отключите, если вы не применяете IPv6
|
| rc.tcpip/ndp-router |
|
/etc/rc.tcpip |
Маршрутиза- ция IPv6. |
- Отключите, если вы не работаете с IPv6. Вместо IPv6 воспользуйтесь маршрутизатором.
|
| rc.tcpip/portmap |
|
/etc/rc.tcpip |
Службы RPC |
- Необходимая служба.
- Серверы RPC регистрируются демоном
portmap. Клиенты, которым необходимо
обратиться к службе RPC, обращаются к демону
portmap, который им сообщает, как
обратиться к той или иной службе.
- Отключите службу portmap только в
том случае, если вы отказались от всех остальных служб RPC.
|
| rc.tcpip/routed |
|
/etc/rc.tcpip |
Маршрутиза- ция RIP между интерфейсами. |
- Обеспечивает функции маршрутизации.
- Отключите, если у вас есть маршрутизатор для пересылки
пакетов между сетями.
|
| rc.tcpip/rwhod |
|
/etc/rc.tcpip |
Удаленный демон команды "who". |
- Собирает данные и рассылает их серверам той же сети.
- Отключите эту службу.
|
| rc.tcpip/sendmail |
|
/etc/rc.tcpip |
Почтовая служба. |
- Работает под управлением ИД root.
- Отключите эту службу, если система не применяется в
качестве почтового сервера.
- Если служба отключена, то выполните одно из следующих
действий:
- Добавьте запись в crontab для очистки очереди. Укажите
команду /usr/lib/sendmail -q.
- Настройте службы DNS таким образом, чтобы почта вашей
системы доставлялась в какую-либо другую систему.
|
| rc.tcpip/snmpd |
|
/etc/rc.tcpip |
Простой протокол управления сетью. |
- Отключите эту службу, если вы не отслеживаете состояние
системы с помощью инструментов SNMP.
- Наличие SNMP может быть существенным для важных серверов.
|
| rc.tcpip/syslogd |
|
/etc/rc.tcpip |
Системный протокол событий. |
- Выключать эту службу не рекомендуется.
- Подвержена атакам типа "отказ в обслуживании".
- Необходима во всех системах.
|
| rc.tcpip/timed |
|
/etc/rc.tcpip |
Устаревший демон времени. |
- Отключите эту службу и применяйте вместо нее xntp.
|
| rc.tcpip/xntpd |
|
/etc/rc.tcpip |
Новый демон времени. |
- Обеспечивает синхронизацию часов в системах.
- Отключите эту службу.
- Настройте некоторые системы в качестве серверов времени
и разрешите остальным системам синхронизировать время по
серверам с помощью заданий cron, вызывающих ntpdate.
|
| dt login |
|
/usr/dt/config/Xaccess |
CDE без ограничений. |
- Если вы не обеспечиваете вход в систему CDE группе
станций X11, то вы можете ограничить dtlogin для консоли.
|
| Анонимная служба FTP |
|
user rmuser -p <имя-пользователя> |
Анонимный ftp. |
- Анонимный FTP не обеспечивает контроля за операциями
отдельных пользователей, выполняемых с помощью FTP.
- Если существует учетная запись пользователя ftp, удалите ее с помощью
команды rmuser -p ftp.
- Для повышения надежности защиты можно перечислить в
файле /etc/ftpusers пользователей,
которым должен быть запрещен доступ к системе с помощью
FTP.
|
| Запись с помощью анонимного FTP. |
|
|
Передача файлов на сервер с помощью
анонимного FTP. |
- Пользователю ftp не должны принадлежать какие-либо
файлы.
- Загрузка файлов с помощью анонимного FTP потенциально
разрешает размещение в системе программ, созданных
злоумышленниками.
- Перечислите в файле /etc/ftpusers
пользователей, которым необходимо запретить доступ.
- Примеры системных пользователей, которым следует
запретить загрузку файлов в систему с помощью анонимного
FTP: root, daemon, bin.sys, admin.uucp,
guest, nobody, lpd, nuucp, ladp.
- Измените владельца и группу для файла
ftpusers с помощью следующей команды:
chown root:system /etc/ftpusers
- Измените права доступа к файлу
ftpusers с помощью следующей команды:
chmod 644 /etc/ftpusers
|
| ftp.restrict |
|
|
Доступ к системным учетным записям с
помощью FTP. |
- С помощью файла ftpusers следует запретить всем внешним пользователям заменять файлы в корневом каталоге
|
| root.access |
|
/etc/security/user |
Подключение к учетной записи root с
помощью rlogin/telnet. |
- Присвойте опции rlogin в файле
etc/security/user значение false.
- Любой пользователь, входящий в систему под именем root,
должен сначала войти под собственным именем и лишь затем
переключиться на учетную запись root с помощью команды
su; это обеспечит необходимый
контрольный след.
|
| snmpd.readWrite |
|
/etc/snmpd.conf |
Поддержка SNMP readWrite. |
- Если вы не применяете SNMP, то
отключите демон SNMP.
- Запретите связи систем и частные связи с помощью файла
/etc/snmpd.conf.
- Для связи 'public' разрешите только те IP-адреса, с
которых отслеживается ваша система.
|
| syslog.conf |
|
|
Настройка syslogd. |
- Если вы не настроили
/etc/syslog.conf, то запретите запуск
этого демона.
- Если вы применяете syslog.conf
для ведения протокола системных сообщений, то включите эту
службу.
|