| inetd/bootps |
inetd |
/etc/inetd.conf |
ディスクレス・クライアントへの bootp サービス |
- ネットワーク・インストール管理 (NIM) およびシステムのリモート・ブートのために必要
- tftp と並行して動作する
- ほとんどの場合、使用不可にする
|
| inetd/chargen |
inetd |
/etc/inetd.conf |
文字生成プログラム (テストのみ) |
- TCP および UDP サービスとして使用可能
- サービス妨害攻撃の機会を与える
- ネットワークをテストしているのでない限り、使用不可にする
|
| inetd/cmsd |
inetd |
/etc/inetd.conf |
カレンダー・サービス (CDE で使用される) |
- root として実行するので、セキュリティーが問題
- CDE でこのサービスが必要でない限り、使用不可にする
- バック・ルーム・データベース・サーバー上では使用不可にする
|
| inetd/comsat |
inetd |
/etc/inetd.conf |
電子メールの着信を通知する |
- root として実行するので、セキュリティーが問題
- めったに必要とされない
- 使用不可にする
|
| inetd/daytime |
inetd |
/etc/inetd.conf |
旧式のタイム・サービス (テストのみ) |
- root として実行する
- TCP および UDP サービスとして使用可能
- サービス妨害 PING 攻撃の機会を与える
- サービスは旧式であり、テストのみに使用される
- 使用不可にする
|
| inetd/discard |
inetd |
/etc/inetd.conf |
/dev/null サービス (テストのみ) |
- TCP および UDP サービスとして使用可能
- サービス妨害攻撃で使用される
- サービスは旧式であり、テストのみに使用される
- 使用不可にする
|
| inetd/dtspc |
inetd |
/etc/inetd.conf |
CDE サブプロセス制御 |
- このサービスは、デーモンのホスト上でのプロセス開始を要求している CDE クライアントへの応答として、 inetd デーモンによって自動的に開始される。 これにより、サービスが攻撃されやすくなる。
- CDE を使用していないバック・ルーム・サーバー上では使用不可にする
- CDE は、このサービスがないと機能できない
- 絶対に必要というのでない限り、使用不可にする
|
| inetd/echo |
inetd |
etc/inetd.conf |
エコー・サービス (テストのみ) |
- UDP および TCP サービスとして使用可能
- サービス妨害または Smurf 攻撃で使用される可能性がある
- 誰か他の人にエコーして、ファイアウォールをすり抜けたり、
またはデータストームを開始するために使用される
- 使用不可にする
|
| inetd/exec |
inetd |
/etc/inetd.conf |
リモート実行サービス |
- root ユーザーとして実行する
- ユーザー ID およびパスワードを入力する必要がある。
それらは無保護のまま渡される。
- このサービスは、スヌープされる可能性が高い
- 使用不可にする
|
| inetd/finger |
inetd |
/etc/inetd.conf |
ユーザーの finger 検査 |
- root ユーザーとして実行する
- システムおよびユーザーに関する情報を提供する
- 使用不可にする
|
| inetd/ftp |
inetd |
/etc/inetd.conf |
ファイル転送プロトコル |
- root ユーザーとして実行する
- ユーザー ID およびパスワードは無保護のまま転送されるので、それらをスヌープすることができる
- このサービスを使用不可にして、パブリック・ドメイン・セキュア・シェルの組を使用する
|
| inetd/imap2 |
inetd |
/etc/inetd.conf |
インターネット・メール・アクセス・プロトコル |
- このサーバーの最新バージョンを使用しているか確認する
- メール・サーバーを実行している場合にのみ必要。 その他の場合には、使用不可にする。
- ユーザー ID およびパスワードは無保護のまま渡される
|
| inetd/klogin |
inetd |
/etc/inetd.conf |
Kerberos ログイン |
- 自分のサイトが Kerberos 認証を使用する場合には、使用可能にする
|
| inetd/kshell |
inetd |
/etc/inetd.conf |
Kerberos シェル |
- 自分のサイトが Kerberos 認証を使用する場合には、使用可能にする
|
| inetd/login |
inetd |
/etc/inetd.conf |
rlogin サービス |
- IP スプーフィング、DNS スプーフィングされやすい
- ユーザー ID およびパスワードを含むデータは無保護のまま渡される
- root ユーザーとして実行する
- このサービスの代わりに、セキュア・シェルを使用する
|
| inetd/netstat |
inetd |
/etc/inetd.conf |
現行のネットワーク状況の報告 |
- システム上で実行している場合、ネットワーク情報がハッカーに提供される可能性がある
- 使用不可にする
|
| inetd/ntalk |
inetd |
/etc/inetd.conf |
ユーザーは相互に通話することができる |
- root ユーザーとして実行する
- 実動サーバー上またはバック・ルーム・サーバー上では必須でない
- 絶対に必要というのでない限り、使用不可にする
|
| inetd/pcnfsd |
inetd |
/etc/inetd.conf |
PC NFS ファイル・サービス |
- 現在使用中でない場合には、サービスを使用不可にする
- このサービスと類似のサービスが必要な場合には、
Microsoft の SMB 仕様のリリースより前の pcnfsd デーモンとして Samba を考慮する
|
| inetd/pop3 |
inetd |
/etc/linetd.conf |
Post Office Protocol |
- ユーザー ID およびパスワードは無保護のまま送信される
- ご使用のシステムがメール・サーバーであり、
POP3 のみをサポートするアプリケーションを使用しているクライアントを持っている場合にのみ必要
- クライアントが IMAP を使用する場合には、それで代用するか、または POP3 サービスを使用する。
このサービスは、Secure Socket Layer (SSL) トンネルを持っている。
- メール・サーバーを実行していたり、
POP サービスを必要とするクライアントを持っていたりする場合を除き、使用不可にする
|
| inetd/rexd |
inetd |
/etc/inetd.conf |
リモート実行 |
- root ユーザーとして実行する
- on コマンドと同等
- サービスを使用不可にする
- その代わりに、rsh および rshd を使用する
|
| inetd/quotad |
inetd |
/etc/inetd.conf |
ファイル・クォータのレポート (NFS クライアント用) |
- NFS ファイル・サービスを実行している場合にのみ必要
- このサービスは、quota コマンドに応答する必要があるのでない限り、
使用不可にする
- このサービスを使用する必要がある場合には、
このサービス用のすべてのパッチおよびフィックスを最新のものに保つ
|
| inetd/rstatd |
inetd |
/etc/inetd.conf |
カーネル統計サーバー |
- システムをモニターする必要がある場合には、SNMP を使用して、このサービスを使用不可にする
- rup コマンドを使用するためには必要
|
| inetd/rusersd |
inetd |
/etc/inetd.conf |
ログインされたユーザーについての情報 |
- これは必須サービスではない。 使用不可にする
- root ユーザーとして実行する
- システム上の現行ユーザーのリストを提供する。rusers と同等。
|
| inetd/rwalld |
inetd |
/etc/inetd.conf |
すべてのユーザーへの書き込み |
- root ユーザーとして実行する
- ご使用のシステムが対話式ユーザーを持っている場合には、このサービスを保持する必要がある
- ご使用のシステムが実動サーバーまたはデータベース・サーバーである場合には、必要ない
- 使用不可にする
|
| inetd/shell |
inetd |
/etc/inetd.conf |
rsh サービス |
- 可能であれば、このサービスを使用不可にする。 その代わりにセキュア・シェルを使用する
- このサービスを使用しなければならない場合には、
TCP ラッパーを使用して、スプーフィングを停止し、公開を制限する
- Xhier ソフトウェア配布プログラムには必須
|
| inetd/sprayd |
inetd |
/etc/inetd.conf |
RPC スプレー・テスト |
- root ユーザーとして実行する
- NFS ネットワーク問題の診断に必要な場合がある
- NFS を実行しない場合には、使用不可にする
|
| inetd/systat |
inetd |
/etc/inted.conf |
"ps -ef" 状況レポート |
- リモート・サイトで、ご使用のシステム上の処理状況を表示できるようにする
- デフォルトでは、このサービスは使用不可。 サービスが使用可能になっていないことを周期的に確認しなければならない。
|
| inetd/talk |
inetd |
/etc/inetd.conf |
ネット上の 2 人のユーザー間で分割画面を確立する |
- 必須サービスではない
- talk コマンドで使用される
- ポート 517 で UDP サービスを提供する
- UNIX ユーザー用の複数の対話式チャット・セッションが必要であるのでない限り、使用不可にする
|
| inetd/ntalk |
inetd |
/etc/inetd.conf |
"new talk" は、ネット上の 2 人のユーザー間で分割画面を確立する |
- 必須サービスではない
- talk コマンドで使用される
- ポート 517 で UDP サービスを提供する
- UNIX ユーザー用の複数の対話式チャット・セッションが必要であるのでない限り、使用不可にする
|
| inetd/telnet |
inetd |
/etc/inetd.conf |
Telnet サービス |
- リモート・ログイン・セッションをサポートしているが、パスワードおよび ID は無保護のまま渡される
- 可能であれば、このサービスを使用不可にし、
その代わりにリモート・アクセス用のセキュア・シェルを使用する
|
| inetd/tftp |
inetd |
/etc/inetd.conf |
小規模ファイル転送 |
- ポート 69 で UDP サービスを提供する
- root ユーザーとして実行するので、暗号漏えいの可能性がある
- NIM によって使用される
- NIM を使用しているか、
またはディスクレス・ワークステーションをブートしなければならないのでない限り、使用不可にする
|
| inetd/time |
inetd |
/etc/inetd.conf |
旧式のタイム・サービス |
- rdate コマンドで使用される inetd の内部機能
- TCP および UDP サービスとして使用可能
- ブート時にクロックを同期化するために使用されることがある
- このサービスは旧式である。 その代わりに、ntpdate を使用する
- このサービスを使用可能にし、ご使用のシステムをテスト (ブート/リブート) して、
問題がなくなったら、このサービスを使用不可にする
|
| inetd/ttdbserver |
inetd |
/etc/inetd.conf |
tool-talk データベース・サーバー (CDE 用) |
- rpc.ttdbserverd は root ユーザーとして実行するので、
暗号漏えいの可能性がある
- CDE の必須サービスとして述べられているが、CDE はそれがなくても作動できる
- セキュリティーが重要なバック・ルーム・サーバーまたはシステム上で実行してはならない
|
| inetd/uucp |
inetd |
/etc/inetd.conf |
UUCP ネットワーク |
- UUCP を使用するアプリケーションを持っているのでない限り、使用不可にする
|
| inittab/dt |
init |
/etc/rc.dt script in the /etc/inittab |
CDE 環境へのデスクトップ・ログイン |
- コンソール上で X11 サーバーを開始する
- 他の X11 ステーションが同じマシンにログインできるようにするために、
X11 Display Manager Control Protocol (xdcmp) をサポートする
- サービスは、個人のワークステーション上でのみ使用する必要がある。 バック・ルーム・システムのためにこのサービスを使用することは避ける。
|
| inittab/dt_nogb |
init |
/etc/inittab |
CDE 環境へのデスクトップ・ログイン (グラフィック・ブートでない) |
- システムが完全に立ち上がるまでグラフィック表示されない
- inittab/dt と同じ問題
|
| inittab/httpdlite |
init |
/etc/inittab |
docsearch コマンド用の Web サーバー |
- docsearch エンジン用のデフォルトの Web サーバー
- ご使用のマシンが文書サーバーであるのでない限り、使用不可にする
|
| inittab/i4ls |
init |
/etc/inittab |
ライセンス・マネージャー・サーバー |
- 開発マシンの場合には、使用可能にする
- 実動マシンの場合には、使用不可にする
- ライセンス要件を持つバック・ルーム・データベース・マシンの場合には、使用可能にする
- コンパイラー、データベース・ソフトウェア、
またはその他のいずれかのライセンス交付を受けたプロダクト用のサポートを提供する
|
| inittab/imqss |
init |
/etc/inittab |
"docsearch" 用の検索エンジン |
- docsearch エンジン用のデフォルトの Web サーバーのパーツ
- ご使用のマシンが文書サーバーであるのでない限り、使用不可にする
|
| inittab/lpd |
init |
/etc/inittab |
BSD ライン・プリンター・インターフェース |
- 他のシステムからの印刷ジョブを受け入れる
- このサービスを使用不可にしても、印刷サーバーにジョブを送信できる
- 印刷に影響を与えないことを確認した後に、このサービスを使用不可にする
|
| inittab/nfs |
init |
/etc/inittab |
ネットワーク・ファイルシステム (NFS)/ネット情報サービス (NIS) |
- NFS および NIS サービスは、UDP 上または RPC 上のどちらに構築されたかに基づいている
- 認証は最小である
- バック・ルーム・マシンの場合には、このサービスを使用不可にする
|
| inittab/piobe |
init |
/etc/inittab |
プリンター入出力バックエンド (印刷用) |
- qdaemon デーモンで実行依頼されるジョブのスケジューリング、
スプーリング、および印刷を処理する
- サーバーに印刷ジョブを送信しているためにご使用のシステムから印刷していない場合には、使用不可にする
|
| inittab/qdaemon |
init |
/etc/inittab |
キュー・デーモン (印刷用) |
- piobe デーモンに印刷ジョブを実行依頼する
- ご使用のシステムから印刷していない場合には、使用不可にする
|
| inittab/uprintfd |
init |
/etc/inittab |
カーネル・メッセージ |
|
| inittab/writesrv |
init |
/etc/inittab |
tty への注釈の書き込み |
- 対話式 UNIX ワークステーション・ユーザーによってのみ使用される
- サーバー、バック・ルーム・データベース、
および開発マシンの場合には、このサービスを使用不可にする
- ワークステーションの場合には、このサービスを使用可能にする
|
| inittab/xdm |
init |
/etc/inittab |
従来型の X11 Display Management |
- バック・ルーム実動サーバーまたはデータベース・サーバー上で実行しない
- X11 Display Management が必要とされるのでない限り、開発システム上で実行しない
- グラフィックスが必要である場合、ワークステーション上での実行を受け入れ可能にする
|
| rc.nfs/automountd |
|
/etc/rc.nfs |
自動ファイルシステム |
- NFS を使用する場合、ワークステーションでは、このサービスを使用可能にする
- 開発サーバーまたはバック・ルーム・サーバーの場合には、自動マウント機能を使用しない
|
| rc.nfs/biod |
|
/etc/rc.nfs |
ブロック入出力デーモン (NFS サーバーには必須) |
- NFS サーバーのみに使用可能にする
- NFS サーバーでない場合には、nfsd および rpc.mountd とともにこのサービスを使用不可にする
|
| rc.nfs/keyserv |
|
/etc/rc.nfs |
セキュア RPC 鍵サーバー |
- セキュア RPC に必要な鍵を管理する
- NIS+ には重要
- NFS、NIS、および NIS+ を使用していない 場合、
このサービスを使用不可にする
|
| rc.nfs/nfsd |
|
/etc/rc.nfs |
NFS サービス (NFS サーバーには必須) |
- 認証が貧弱
- このサービス自体がスタック・フレームの破壊に加担する可能性がある
- NFS ファイル・サーバー上では、使用可能にする
- このサービスを使用不可にする場合には、biod、nfsd、
および rpc.mountd も使用不可にする
|
| rc.nfs/rpc.lockd |
|
/etc/rc.nfs |
NFS ファイル・ロック |
- NFS を使用しない場合には、使用不可にする
- ネットワークにまたがってファイル・ロックを使用していない場合には、
このサービスを使用不可にする
- lockd デーモンについては、「SANS Top Ten Security Threats」で言及されている
|
| rc.nfs/rpc.mountd |
|
/etc/rc.nfs |
NFS ファイル・マウント (NFS サーバーには必須) |
- 認証が貧弱
- このサービス自体がスタック・フレームの破壊に加担する可能性がある
- NFS ファイル・サーバー上でのみ使用可能にする
- このサービスを使用不可にする場合には、biod および nfsd も使用不可にする
|
| rc.nfs/rpc.statd |
|
/etc/rc.nfs |
NFS ファイル・ロック (それらをリカバリーするため) |
- NFS にまたがってファイル・ロックを実装する
- NFS を使用しているのでない限り、使用不可にする
|
| rc.nfs/rpc.yppasswdd |
|
/etc/rc.nfs |
NIS パスワード・デーモン (NIS マスター用) |
- ローカル・パスワード・ファイルを取り扱うために使用される
- 問題のマシンが NIS マスターであるときにのみ必須。その他のすべての場合には使用不可にする。
|
| rc.nfs/ypupdated |
|
/etc/rc.nfs |
NIS 更新デーモン (NIS スレーブ用) |
- NIS マスターからプッシュされる NIS データベース・マップを受信する
- 問題のマシンがマスター NIS サーバーへの NIS スレーブであるときにのみ必須
|
| rc.tcpip/autoconf6 |
|
/etc/rc.tcpip |
IPv6 インターフェース |
- IP バージョン 6 を実行しているのでない限り、使用不可にする
|
| rc.tcpip/dhcpcd |
|
/etc/rc.tcpip |
動的ホスト構成プロトコル (クライアント) |
- バック・ルーム・サーバーは DHCP に依存すべきでない。 このサービスを使用不可にする。
- ホストが DHCP を使用していない場合には、使用不可にする
|
| rc.tcpip/dhcprd |
|
/etc/rc.tcpip |
動的ホスト構成プロトコル (リレー) |
- DHCP ブロードキャストをグラブし、それらを別のネットワーク上のサーバーに送信する
- ルーター上で見つかったサービスを複製する
- DHCP を使用していないか、またはネットワーク間での情報の引き渡しに依存していない場合には、
このサービスを使用不可にする
|
| rc.tcpip/dhcpsd |
|
/etc/rc.tcpip |
動的ホスト構成プロトコル (サーバー) |
- ブート時にクライアントからの DHCP 要求に応答する。
IP 名、番号、ネットマスク、ルーター、およびブロードキャスト・アドレスなどの、
クライアント情報を提供する。
- DHCP を使用していない場合には、このサービスを使用不可にする
- DHCP を使用していないホストとともに、
実動サーバーおよびバック・ルーム・サーバー上で使用不可にする
|
| rc.tcpip/dpid2 |
|
/etc/rc.tcpip |
旧式の SNMP サービス |
- SNMP を必要とするのでない限り、使用不可にする
|
| rc.tcpip/gated |
|
/etc.rc.tcpip |
インターフェース間でのゲート経路指定 |
- ルーター機能をエミュレートする
- このサービスを使用不可にし、その代わりに、RIP またはルーターを使用する
|
| rc.tcpip/inetd |
|
/etc/rc.tcpip |
inetd サービス |
- 完全に保護されているシステムでは、このサービスを使用不可にする必要があるが、
多くの場合、実際的でない
- このサービスを使用不可にすると、
一部のメールおよび Web サーバーに必要なリモート・シェル・サービスが使用不可になる
|
| rc.tcpip/mrouted |
|
/etc/rc.tcpip |
マルチキャスト経路指定 |
- ネットワーク・セグメント間でマルチキャスト・パケットを送信するためのルーター機能をエミュレートする
- このサービスを使用不可にする。 その代わりに、ルーターを使用する。
|
| rc.tcpip/names |
|
/etc/rc.tcpip |
DNS ネーム・サーバー |
- ご使用のマシンが DNS ネーム・サーバーである場合にのみ、このサービスを使用する
- ワークステーション、開発マシン、および実動マシンの場合には使用不可にする
|
| rc.tcpip/ndp-host |
|
/etc/rc.tcpip |
IPv6 ホスト |
- IP バージョン 6 を使用するのでない限り、使用不可にする
|
| rc.tcpip/ndp-router |
|
/etc/rc.tcpip |
IPv6 経路指定 |
- IP バージョン 6 を使用している場合以外は、これを使用不可にします。IP バージョン 6 の代わりにルーターの使用を考慮してください。
|
| rc.tcpip/portmap |
|
/etc/rc.tcpip |
RPC サービス |
- 必須サービス
- RPC サーバーは、portmap デーモンを使って登録される。 RPC サービスを位置指定する必要のあるクライアントは、
特定のサービスが位置付けられている場所をクライアントに通知するように portmap デーモンに依頼する
- 残っている唯一のデーモンが portmap であるように、
RPC サービスを削減するように管理した場合にのみ、使用不可にする
|
| rc.tcpip/routed |
|
/etc/rc.tcpip |
インターフェース間での RIP 経路指定 |
- ルーター機能をエミュレートする
- ネットワーク間でパケット用のルーターを持っている場合には、使用不可にする
|
| rc.tcpip/rwhod |
|
/etc/rc.tcpip |
リモート "who" デーモン |
- データを収集し、同じネットワーク上のピア・サーバーにブロードキャストする
- このサービスを使用不可にする。
|
| rc.tcpip/sendmail |
|
/etc/rc.tcpip |
メール・サービス |
- root ユーザーとして実行する
- マシンがメール・サーバーとして使用されるのでない限り、このサービスを使用不可にする
- 使用不可にする場合には、以下のいずれかを行う。
- キューを消去するために crontab 内にエントリーを入れる。 /usr/lib/sendmail -q コマンドを使用する。
- ご使用のサーバー用のメールが他の何らかのシステムに送達されるように、DNS サービスを構成する
|
| rc.tcpip/snmpd |
|
/etc/rc.tcpip |
Simple Network Management Protocol (SNMP) |
- SNMP ツールを介してシステムをモニターしない場合には、使用不可にする
- SNMP は、クリティカル・サーバー上で必要
|
| rc.tcpip/syslogd |
|
/etc/rc.tcpip |
イベントのシステム・ログ |
- このサービスを使用不可にすることは推奨しない
- サービス妨害攻撃されやすい
- どんなシステムでも必要
|
| rc.tcpip/timed |
|
/etc/rc.tcpip |
古い時刻デーモン |
- このサービスを使用不可にし、その代わりに xntp を使用する
|
| rc.tcpip/xntpd |
|
/etc/rc.tcpip |
新しい時刻デーモン |
- システム上のクロックの同期を保つ
- このサービスを使用不可にする
- 他のシステムをタイム・サーバーとして構成し、
その他のシステムが ntpdate を呼び出す cron ジョブでそれらに同期化できるようにする
|
| dt login |
|
/usr/dt/config/Xaccess |
制限付きでない CDE |
- X11 ステーションのグループに CDE ログインを提供していない場合には、
dtlogin をコンソールに制限することができる。
|
| anonymous FTP service |
|
user rmuser -p <username> |
匿名 FTP |
- 匿名 FTP 機能により、特定のユーザーへの FTP 使用をトレースできないようにする。
- 以下のように、そのユーザー・アカウントが存在する場合には、
ユーザー ftp を除去する。rmuser -p ftp
- ご使用のシステムに ftp できない者のリストを /etc/ftpusers ファイルに移植することによって、
さらに良いセキュリティーが得られる。
|
| anonymous FTP writes |
|
|
匿名 FTP アップロード |
- FTP に属しているべきファイルはない
- FTP 匿名アップロードにより、ご使用のシステム上に入れられるコードが間違った動作をする可能性がある
- /etc/ftpusers ファイルに、許可しないユーザーの名前を入れる
- ご使用のシステムに FTP を介して匿名でアップロードすることを許可しないシステム生成ユーザーの例は、
以下のとおり。root、daemon、bin.sys、
admin.uucp、guest、nobody、
lpd、nuucp、ladp
- 以下のように、ftpusers ファイルへの所有者権限およびグループ権限を変更する。
chown root:system /etc/ftpusers
- 以下のように、ftpusers ファイルへの許可をさらに厳密な設定に変更する。
chmod 644 /etc/ftpusers。
|
| ftp.restrict |
|
|
システム・アカウントへの ftp |
- 外部からのどのユーザーも、ftpusers ファイルを使用して root ファイルの置換が許可されるべきではない。
|
| root.access |
|
/etc/security/user |
root アカウントへの rlogin/telnet |
- etc/security/user ファイル内の rlogin オプションを false に設定する
- root としてログインする人は、まず、自分の名前の下でログインしてから、
root に su する必要がある。これにより、監査証跡が提供される。
|
| snmpd.readWrite |
|
/etc/snmpd.conf |
SNMP 読み取り/書き込みコミュニティー |
- SNMP を使用していない 場合には、SNMP デーモンを使用不可にする。
- /etc/snmpd.conf ファイルでは、
コミュニティー・プライベートおよびコミュニティー・システムを使用不可にする
- ご使用のシステムをモニターしている IP アドレスに 'public' コミュニティーを制限する
|
| syslog.conf |
|
|
syslogd を構成する |
- /etc/syslog.conf が構成されていない場合には、
このデーモンを使用不可にする
- システム・メッセージをログ記録するために syslog.conf を使用している場合には、
このサービスを使用可能のままにする
|