常见AIX 系统服务摘要

常见AIX系统服务摘要下表列出AIX®中更加普通的系统服务。使用此表来识别保护系统的启动点。在保护系统之前，请备份所有的原始配置文件，特别是：•/etc/inetd.conf•/etc/inittab•/etc/rc.nfs•/etc/rc.tcpip服务守护程序如下启动功能注释inetd/bootpsinetd/etc/inetd.conf用于无盘客户机的bootp服务•对于“网络安装管理（NIM）”和系统的远程引导是必需的•与tftp一起工作•在大多数情况下禁用inetd/chargeninetd/etc/inetd.conf字符发生器（仅测试）•可用作TCP与UDP服务•为“拒绝服务”攻击提供机会•除非正在测试网络，否则禁用inetd/cmsdinetd/etc/inetd.conf日历服务（CDE使用）•以root用户身份运行，因此涉及安全性•除非用CDE请求该服务，否则禁用•在库房数据库服务服务守护程序如下启动功能注释器上禁用inetd/comsatinetd/etc/inetd.conf通知接收的电子邮件•以root用户身份运行，因此涉及安全性•很少需要的•禁用inetd/daytimeinetd/etc/inetd.conf废弃时间服务（仅测试）•以root用户身份运行•可用作TCP与UDP服务•为“拒绝服务PING”攻击提供机会•废弃服务并仅对测试使用•禁用inetd/discardinetd/etc/inetd.conf/dev/nullservice（仅测试）•可用作TCP与UDP服务•在“拒绝服务攻击”中使用•废弃服务并仅对测试使用•禁用inetd/dtspcinetd/etc/inetd.confCDE子过程控制•此服务由inetd守护程序自动启动以响应CDE客户机，服务守护程序如下启动功能注释该客户机请求在守护程序的主机上启动进程。这使它易受攻击•在没有CDE的库房数据库服务器上禁用•没有该服务CDE可能会起作用•除非绝对需要，否则禁用inetd/echoinetdetc/inetd.conf回传服务（只测试）•可用作TCP与UDP服务•可用于“拒绝服务或Smurf”攻击•用于回送信号给其他人从而穿过防火墙或启动数据传输•禁用inetd/execinetd/etc/inetd.conf远程执行服务•以root用户身份运行•要求输入一个用户标识和密码，它们将不受保护进行传递•该服务是非常容易遭到监听的•禁用服务守护程序如下启动功能注释inetd/fingerinetd/etc/inetd.conf在用户处进行取数•以root用户身份运行•给出有关您的系统与用户的信息•禁用inetd/ftpinetd/etc/inetd.conf文件传输协议•以root用户身份运行•用户标识与口令未加保护地传送，因此易受监听•禁用此服务并使用公共安全shell套件inetd/imap2inetd/etc/inetd.conf因特网邮件访问协议•确保您正使用该服务器的昀新版本•只当您运行邮件服务器时才必需。否则，禁用•用户标识与密码未加保护地传递inetd/klogininetd/etc/inetd.confKerberos登录•如果您的站点使用Kerberos认证则启用inetd/kshellinetd/etc/inetd.confKerberosshell•如果您的站点使用Kerberos认证则启用服务守护程序如下启动功能注释inetd/logininetd/etc/inetd.confrlogin服务•易于遭受IP欺骗与DNS欺骗•数据（包括用户标识与密码）未加保护地传递•以root用户身份运行•使用安全shell代替该服务inetd/netstatinetd/etc/inetd.conf当前网络状态报告•如在您的系统上运行，可能潜在地把网络信息给黑客•禁用inetd/ntalkinetd/etc/inetd.conf允许用户相互交谈•以root用户身份运行•不需要产品或库房服务器•除非绝对需要，否则禁用inetd/pcnfsdinetd/etc/inetd.confPCNFS文件服务•如果不是当前在使用则禁用服务•如果需要与此类似的服务，考虑Samba，pcnfsd守护程序早于Microsoft的SMB服务守护程序如下启动功能注释规范的发行版inetd/pop3inetd/etc/linetd.conf邮局协议•用户标识与密码未加保护地发送•如果您的系统是邮件服务器并且拥有使用仅支持POP3的应用程序的客户机时才需要•如果您的客户机使用IMAP，则用其作为替代，或使用POP3服务。该服务有安全套接字层（SSL）隧道•如果您不在运行邮件服务器或有需要POP服务的客户机，则禁用inetd/rexdinetd/etc/inetd.conf远程执行•以root用户身份运行•用on命令监视•禁用的服务•使用rsh与rshd作为替代inetd/quotadinetd/etc/inetd.conf文件限额的报告（对于NFS客户机）•如果您正在运行NFS文件服务才需要服务守护程序如下启动功能注释•除非需要对quota命令提供应答，否则禁用该服务•如果需要使用该服务，保持该服务的所有的补丁和修正包为昀新的inetd/rstatdinetd/etc/inetd.conf内核统计信息服务器•如果需要监视系统，使用SNMP并禁用该服务•需要使用rup命令inetd/rusersdinetd/etc/inetd.conf关于用户登录的信息•这不是基本的服务。禁用•以root用户身份运行•给出系统上当前用户的列表并用rusers监视inetd/rwalldinetd/etc/inetd.conf写给所有用户•以root用户身份运行•如果系统有交互式用户，可能需要保持该服务•如果系统为生产或数据库服务器，这就不需要服务守护程序如下启动功能注释•禁用inetd/shellinetd/etc/inetd.confrsh服务•如可能则禁用该服务。使用“安全shell”作为替代•如果必须使用该服务，则使用TCP护封来停止电子欺骗与限制暴露•需要Xhier软件分布程序inetd/spraydinetd/etc/inetd.confRPC喷射测试•以root用户身份运行•可能需要NFS网络问题的诊断•如果不在运行NFS则禁用inetd/systatinetd/etc/inted.conf“ps-ef”状态报告•允许远程站点察看系统上的进程状态•该服务缺省情况下禁用。必须周期性地检查来确保未启用该服务inetd/talkinetd/etc/inetd.conf在网上两个用户间建立分区屏幕•不是必需服务•与talk命令一起使用•在端口517提供服务守护程序如下启动功能注释UDP服务•除非对于UNIX®用户您需要多个交互式会话，否则禁用inetd/ntalkinetd/etc/inetd.conf“newtalk”在网上两个用户间建立分区屏幕•不是必需服务•与talk命令一起使用•在端口517提供UDP服务•除非对于UNIX用户您需要多个交互式会话，否则禁用inetd/telnetinetd/etc/inetd.conftelnet服务•支持远程登录会话，但密码和标识将不受保护地进行传递•如果可能，禁用该服务并使用远程访问“安全shell”作为替代inetd/tftpinetd/etc/inetd.conf琐碎文件传送•在端口69提供UDP服务•以root用户身份运行并且可能危及安全•由NIM使用•除非您在使用NIM或必须引导无服务守护程序如下启动功能注释盘工作站，否则禁用inetd/timeinetd/etc/inetd.conf废弃时间服务•由rdate命令使用的inetd的内部功能。•可用作TCP与UDP服务•有时在引导时用于同步时钟•该服务是过时的。使用ntpdate替代•只有在您禁用该服务来测试系统而未发现问题之后，才能禁用该服务inetd/ttdbserverinetd/etc/inetd.conf工具－交谈数据库服务器（用于CDE）•rpc.ttdbserverd以root用户身份运行，且可能危及安全•为CDE规定作为需要的服务，但CDE没有它也能工作•不应该在库房服务器或涉及安全性的任何系统上运行inetd/uucpinetd/etc/inetd.confUUCP网络•除非有使用UUCP的应用程序，服务守护程序如下启动功能注释否则禁用inittab/dtinit/etc/rc.dtscriptinthe/etc/inittab桌面登录到CDE环境•在控制台启动X11服务器•支持“X11显示管理员控制协议”（xdcmp），这样其他X11站能登录到同一机器•应该只在个人工作站使用服务。避免把它用于库房系统inittab/dt_nogbinit/etc/inittab桌面登录到CDE环境（无图形引导）•直到系统充分地启动后才有图形显示•与inittab/dt具有相同问题inittab/httpdliteinit/etc/inittab用于docsearch命令的Web服务器•文档搜索引擎的缺省Web服务器•除非您的机器是文档服务器，否则禁用inittab/i4lsinit/etc/inittab许可证管理员服务器•针对开发机器启用•针对生产机器禁用•针对有许可证需要的库房数据库机器启用•为编译器、数据库软件或任何其他得到服务守护程序如下启动功能注释许可的产品提供支持inittab/imqssinit/etc/inittab用于“文档搜索”的搜索引擎•用于文档搜索引擎的缺省Web服务器的一部分•除非您的机器是文档服务器，否则禁用inittab/lpdinit/etc/inittabBSD行式打印机界面•从其他的系统接受打印作业•可以禁用该服务但仍然发送作业到打印服务器•在确认打印不受影响后，禁用该服务inittab/nfsinit/etc/inittab网络文件系统／网络信息服务•基于建立在UDP/RPC上的NFS与NIS服务•认证是昀小的•对库房机器禁用此项inittab/piobeinit/etc/inittab打印机I/O后端（用于打印）•处理由qdaemon守护程序提交的作业的调度、假脱机与打印活动•如果因为您正发送打印作业到服务器而服务守护程序如下启动功能注释不从您的系统打印，则禁用inittab/qdaemoninit/etc/inittab将守护程序排入队列（用于打印）•提交打印作业到piobe守护程序•如果不从系统打印则禁用inittab/uprintfdinit/etc/inittab内核消息•通常不是必需的•禁用inittab/writesrvinit/etc/inittab写注释到ttys•只由交互式UNIX工作站用户使用•对服务器、库房数据库与开发机器禁用该服务•对工作站启用该服务inittab/xdminit/etc/inittab传统的“X11显示管理”•请不要在库房生产或数据库服务器上运行•请不要在开发系统上运行，除非需要X11显示管理•如果需要图形，则可以在工作站上运行rc.nfs/automountd/etc/rc.nfs自动文件系统•如果使用NFS，为服务守护程序如下启动功能注释工作站启用该服务•不要把自动安装器用于开发或库房服务器rc.nfs/biod/etc/rc.nfs阻拦IO守护程序（NFS服务器所必需的）•只为NFS服务器启用•如果不是NFS服务器，使用nfsd与rpc.mountd禁用该服务rc.nfs/keyserv/etc/rc.nfs安全RPC密钥服务器•管理安全RPC所需要的密钥•对NIS+来说很重要•如果您不在使用NFS、NIS与NIS+，则禁用此服务rc.nfs/nfsd/etc/rc.nfsNFS服务（NFS服务器所所必需的）•认证为弱•能提供其本身堆栈帧崩溃•如果在NFS文件服务器上则启用•如果禁用该服务，那么一起禁用biod、nfsd与rpc.mountd服务守护程序如下