使NTP-NETWORK TIME PROTOCOL无效(NTP会增加带宽和不安全的因素,建议使用
rdate到一台使用NTP的机器来获得精确时间):
rm /etc/rc2.d/S74xntpd
使SNMP无效:
rm /etc/rc2.d/K07snmpdx /etc/rc3.d/S76snmpdx
在Inetinit中是IP forwarding和sourec routing(源路)由无效(假如有超过一个网络接口的话)。在/etc/init.d/inetinit中增加下面所示设置:
ndd -set /dev/ip ip_forward_directed_broadcasts 0
ndd -set /dev/ip ip_forward_src_routed 0
ndd -set /dev/ip ip_forwarding 0
根据RFC1948建议在/etc/default/inetinit中增加如下的生成初始化序列号设置来防止TCP序列号预测攻击(ip欺骗):
TCP_STRONG_ISS=2
在/etc/system中增加如下设置来防止某些缓冲溢出攻击。这些保护是那些需在堆栈中执行的攻击方式。但需要硬件的支持(只在sun4u/sun4d/sun4m系统中有效):
set noexec_user_stack=1
set noexec_user_stack_log=1
使用默认路由:在/etc/defaultrouter中增加IP地址,或使用route在/etc/rc2.d/S99static_routes中建立启动文件。为了使动态路由无效:
touch /etc/notrouter
为了使多路广播(multicasting)无效请在/etc/init.d/inetsvc中注解掉
route add 224.0.0.0周围的几行。
为了记录INETD连接的所有信息,在inetd低端的启动行中增加-t参数,
即:: /usr/sbin/inetd -s -t
在/etc/hosts中配置一些你想取舍的主机(一些你不想通过DNS解析的)。
/etc/inetd.conf:
先使所有服务无效;
配置你真正需要的服务,但必须使用FWTK netacl或tcp wrappers来允许最小限度的IP地址访问和各种记录
标签: