使NTP-NETWORK TIME PROTOCOL无效(NTP会增加带宽和不安全的因素，建议使用

　　rdate到一台使用NTP的机器来获得精确时间)：

　　rm /etc/rc2.d/S74xntpd

　　使SNMP无效：

　　rm /etc/rc2.d/K07snmpdx /etc/rc3.d/S76snmpdx

　　在Inetinit中是IP forwarding和sourec routing(源路)由无效(假如有超过一个网络接口的话)。在/etc/init.d/inetinit中增加下面所示设置:

　　ndd -set /dev/ip ip_forward_directed_broadcasts 0

　　ndd -set /dev/ip ip_forward_src_routed 0

　　ndd -set /dev/ip ip_forwarding 0

　　根据RFC1948建议在/etc/default/inetinit中增加如下的生成初始化序列号设置来防止TCP序列号预测攻击(ip欺骗):

　　TCP_STRONG_ISS=2

　　在/etc/system中增加如下设置来防止某些缓冲溢出攻击。这些保护是那些需在堆栈中执行的攻击方式。但需要硬件的支持(只在sun4u/sun4d/sun4m系统中有效)：

　　set noexec_user_stack=1

　　set noexec_user_stack_log=1

　　使用默认路由：在/etc/defaultrouter中增加IP地址，或使用route在/etc/rc2.d/S99static_routes中建立启动文件。为了使动态路由无效：

　　touch /etc/notrouter

　　为了使多路广播(multicasting)无效请在/etc/init.d/inetsvc中注解掉

　　route add 224.0.0.0周围的几行。

　　为了记录INETD连接的所有信息，在inetd低端的启动行中增加-t参数，

　　即:: /usr/sbin/inetd -s -t

　　在/etc/hosts中配置一些你想取舍的主机(一些你不想通过DNS解析的)。

　　/etc/inetd.conf:

　　先使所有服务无效；

　　配置你真正需要的服务，但必须使用FWTK netacl或tcp wrappers来允许最小限度的IP地址访问和各种记录

标签：