1. 优化 AIX 系统服务1.1. 禁用不必要的启动服务配置/etc/inittab 文件，将所有不是必须的服务全部禁用掉。一般建议禁用下列服务：piobe 打印作业管理器，有的版本存在漏洞，造成程序溢出qdaemon qdaemon 进程调用这些程序来管理队列中等候打印的打印作业。Writesrv 允许用户发送消息到远程系统和从远程系统接收消息。Uprintfd 打印内核信息服务Httpdlite http 检索服务Imnss IBM db2 数据库的检索服务（单字节）Imqss IBM db2 数据库的检索服务（双字节）Rcnfs 启动 nfs 系统服务1.2. 禁用不必要的系统服务配置/etc/inetd.conf 文件，将所有不是必须的服务全部禁用掉。一般建议禁用下列服务：Shell 以用户的缺省凭证和环境执行 shelllogin 启动用户会话exec 执行命令comsat comsat 通信守护程序是接收来到邮件报表的服务器，并如果用户用 biff 命令启用该服务的话通知用户。它由 inetd 守护程序启动，comsat 守护程序不能在命令行使用。comsat 守护程序接收数据报端口上的消息，该端口与 biff 服务规范相关联。单行消息具有如下格式：AIX 系统基准安全配置标准 第 2 页 共 8 页usermailbox-offset如果指定用户登录系统并运行 biff y 命令，则消息的前 7 行或 560 个字符显示在用户登录终端上。作为消息头的一部分的行除了 From: 或 Subject: 行，都不被包含在显示的消息中。uucp 从一个系统复制文件到另一个系统。Bootps 设置“因特网引导协议” 服务器。finger、 关于当前系统或者一个用户的状态报告netstat、 网络基本信息获得服务tftp、 网络传输文件talk、 本地或远程对话服务rpc.rquotad、rpc.rexd、 rpc.rusersd、rpc.ttdbserver、rpc.sprayd、rpc.cmsd、rpc.rwalld、rpc.pcnfsd、rpc.rstatd、rpc.ssalld、 远程程序调用echo、 将字符串写到标准输出discard、 废弃接收的数据包chargen、 废弃接收的数据包并发送预定义的或随机的数据。daytime、 以用户可读的格式发送当前数据time、 以用户可读的格式发送当前日期和时间。comsat、 通知用户有来到的邮件。imap2、 启动因特网消息访问协议（IMAP）服务器进程。它支持 IMAP4 远程邮件访问协议。并且，在标准输入上接受命令，在标准输出上响应。通常用 inetd 守护程序调用 imapd 命令，且在使用该守护程序时使用与远程客户机连接关联的那些描述符pop3、 远程邮件访问协议xmquery 消息查询协议AIX 系统基准安全配置标准 第 3 页 共 8 页1.3. 禁用不必要的网络服务配置/etc/rc.tcpip 文件，将所有不是必须的服务全部禁用掉。一般建议禁用下列服务：routed 管理网络路由表gated、 为 RIP、RIPng、EGP、BGP、BGP4+、HELLO、IS-IS、ICMP 、 ICMPv6 和 SNMP 协议提供网关路由功能dhcpcd、 实现动态主机配置协议（DHCP）客户机。服务器地址和 DHCP 服务器的配置信息 autoconf6、 在引导时自动配置 IPv6 网络接口ndpd-host、 主机的 NDP 守护程序ndpd-router、 守护程序管理非内核活动的邻节点发现协议（NDP） 。它接收路由器请求并发送路由器公告。它也能够使用 RIPng 协议交换路由信息。lpd、 在网络上提供远程打印服务器。named、 域名解析服务timed、 时间管理服务xntpd、 启动网络计时协议（NTP) 守护程序rwhod、 为 rwho 和 ruptime 命令提供服务器功能snmp、 简单网络管理系协议dpid2、 snmp 协议转换mrouted、 多播协议路由sendmail、 发送邮件nfsd、 网络文件系统服务portmap 将 RPC 程序号转换成因特网端口号。AIX 系统基准安全配置标准 第 4 页 共 8 页2. solaris 系统2.1. 禁用不必要的系统服务Dtspcd CDE 子进程控制服务(dtspcd)是一个从客户端接收请求，远程执行命令和启动应用程序的网络守护程序。在使用 CDE 的系统中，dtspcd 是由互联网服务守护程序(一般是 inetd 或 xinetd)根据 CDE 客户端请求而生成的。echo、 将字符串写到标准输出discard、 废弃接收的数据包chargen、 废弃接收的数据包并发送预定义的或随机的数据。daytime、 以用户可读的格式发送当前数据time、 以用户可读的格式发送当前日期和时间。comsat、 通知用户有来到的邮件。exec 执行命令comsat comsat 通信守护程序是接收来到邮件报表的服务器，并如果用户用 biff 命令启用该服务的话通知用户。它由 inetd 守护程序启动，comsat 守护程序不能在命令行使用。comsat 守护程序接收数据报端口上的消息，该端口与 biff 服务规范相关联。单行消息具有如下格式：usermailbox-offset如果指定用户登录系统并运行 biff y 命令，则消息的前 7 行或 560 个字符显示在用户登录终端上。作为消息头的一部分的行除了 From: 或 Subject: 行，都不被包含在显示的消息中。Talk 同 aixFinger 同 aixUucp 同 aixName 同 aixAIX 系统基准安全配置标准 第 5 页 共 8 页Xaudio 音频的处理服务Netstat 同 aixUfsd 网络文件系统服务Rexd rpc 子模块systat 显示系统状态sun-dr (关闭可能造成宕机 )uuidgen 借口信息获得krb5_prop，kerbd kerob5 认证协议服务rusersd ，rstatd，sprayd，walld，rquotad 远程程序调用printer 打印服务tftp、 网络传输文件AIX 系统基准安全配置标准 第 6 页 共 8 页3. HP-UX 系统3.1. 禁用不必要的系统服务rpc.rquotad、rpc.rexd、 rpc.rusersd、rpc.ttdbserver、rpc.sprayd、rpc.cmsd、rpc.rwalld、rpc.pcnfsd、rpc.rstatd、rpc.ssalld、 远程程序调用echo、 将字符串写到标准输出discard、 废弃接收的数据包chargen、 废弃接收的数据包并发送预定义的或随机的数据。daytime、 以用户可读的格式发送当前数据time、 以用户可读的格式发送当前日期和时间。comsat、 通知用户有来到的邮件。dtspcd . CDE 子进程控制服务(dtspcd)是一个从客户端接收请求，远程执行命令和启动应用程序的网络守护程序。在使用 CDE 的系统中，dtspcd 是由互联网服务守护程序(一般是 inetd 或 xinetd)根据 CDE 客户端请求而生成的。ident、 auth、这 是 一 个 许 多 机 器 上 运 行 的 协 议 ， 用 于 鉴 别 TCP 连 接 的 用 户 。 使用 标 准 的 这 种 服 务 可 以 获 得 许 多 机 器 的 信 息 （ 会 被 Hacker 利 用 ） 。instl_boots 安装 bootstrap 服务recserv 支持和 windows 共享文件服务kcms_server Kodak Color Management System (KCMS)是一组为不同设备和色彩空间提供色彩管理的 API。kcms_server 是一个守护进程，允许 KCMS 库函数访问远程主机的上的资料文件(profile)。printer 打印服务Shell 以用户的缺省凭证和环境执行 shellAIX 系统基准安全配置标准 第 7 页 共 8 页login 启动用户会话tftp、 网络传输文件Bootps 设置“因特网引导协议”服务器。kshell、klogin 接受 bsd 方式的 rlogin 会话，但需要使用 kerbeos5 验证服务4. 内核参数调整说明4.1. 堆栈保护用来防止缓冲区溢出（AIX+SOLARIS+UNIX）4.2. 网络参数调整用来提高网络传输性能（AIX+SOLARIS+UNIX）5. 文件和目录权限说明5.1. 设置粘滞位防止其他用户删除重要文件（AIX+SOLARIS+UNIX ）6. 系统访问，认证与授权说明6.1. at/cron 作业调度只允许 root 执行，防止其他用户调度（AIX+SOLARIS+UNIX ）6.2. 删除 .netrc、.rhosts 以及 .shosts 文件防止用户远程执行危险程序（AIX+SOLARIS+UNIX ）AIX 系统基准安全配置标准 第 8 页 共 8 页6.3. 删除/etc/hosts.equiv 防止远程用户执行危险程序 （AIX ）