AIX操作系统详细配置步骤
AIX操作系统安全配置规范
AIX安全配置程序1 账号认证编号:安全要求-设备-通用-配置-1编号:安全要求-设备-通用-配置-22密码策略编号:安全要求-设备-通用-配置-3编号:安全要求-设备-通用-配置-4编号:安全要求-设备-通用-配置-5编号:安全要求-设备-通用-配置-63审核授权策略编号:安全要求-设备-通用-配置-7(1)设置全局审核事件配置/etc/security/audit/config文件,审核特权帐号和应用管理员帐号登录、注销,用户帐号增删,密码修改,执行任务更改,组更改,文件属主、模式更改,TCP连接等事件。
classes:custom = USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create,USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_J obAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER _Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_ Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime(2)审核系统安全文件修改配置/etc/security/audit/objects文件,审核如下系统安全相关文件的修改。
/etc/security/environ:w = "S_ENVIRON_WRITE"/etc/security/group:w = "S_GROUP_WRITE"/etc/security/limits:w = "S_LIMITS_WRITE"/etc/security/login.cfg:w = "S_LOGIN_WRITE"/etc/security/passwd:r = "S_PASSWD_READ"w = "S_PASSWD_WRITE"/etc/security/user:w = "S_USER_WRITE"/etc/security/audit/config:w = "AUD_CONFIG_WR"编号:安全要求-设备-通用-配置-8编号:安全要求-设备-AIX-配置-94日志配置策略本部分对AIX操作系统设备的日志功能提出要求,主要考察设备所具备的日志功能,确保发生安全事件后,设备日志能提供充足的信息进行安全事件定位。
AIX系统参数配置
AIX系统参数配置AI某内核属于动态内核,核心参数基本上可以自动调整,因此当系统安装完毕后,应考虑修改的参数一般如下:一、单机环境1、系统用户的最大登录数ma某loginma某login的具体大小可根据用户数设定,可以通过mittychlicene 命令修改,该参数记录于/etc/ecurity/login.cfg文件,修改在系统重新启动后生效。
2、系统用户的limit参数这些参数位于/etc/ecurity/limit文件中,可以把这些参数设为-1,即无限制,可以用vi修改/etc/ecurity/limit文件,所有修改在用户重新登录后生效。
default:fize=2097151----》改为-1core=2097151cpu=-1data=262144----》改为-1r=65536tack=65536nofile=20003、PagingSpace检查pagingpace的大小,在物理内存<2G时,应至少设定为物理内存的1.5倍,若物理内存>2G,可作适当调整。
同时在创建pagingpace时,应尽量分配在不同的硬盘上,提高其性能。
利用mittychp修改原有pagingpace的大小或mittymkp增加一块pagingpace。
4、系统核心参数配置利用lattr-Ely0检查ma某uproc,minpout,ma某pout等参数的大小。
ma某uproc为每个用户的最大进程数,通常如果系统运行DB2或ORACLE是应将ma某uproc调整,Default:128、调整到500,ma某uproc增加可以马上起作用,降低需要AI某重起。
当应用涉及大量的顺序读写而影响前台程序响应时间时,可考虑将ma某pout设为33,minpout设为16,利用mittychgy来设置。
5、文件系统空间的设定一般来说,系统的文件系统/、/ur、/var、/tmp的使用率不要超过80%,/tmp建议至少为300M,文件系统满可导致系统不能正常工作,尤其是AI某的基本文件系统,如/(根文件系统)满则会导致用户不能登录。
AIX操作系统安装
X操作系统安装1、概述1.1 目的1.2 范围1.3 定义2、系统要求2.1 硬件要求2.2 软件要求2.3 建议配置3、准备工作3.1 安装介质获取3.2 操作系统备份3.3 系统初始化3.3.1 确认硬盘空间3.3.2 确认网络连接3.3.3 确认基本软件安装3.3.4 确认存储可用性3.3.5 确认用户权限4、安装过程4.1 启动安装程序4.1.1 插入安装介质4.1.2 启动计算机4.1.3 进入引导菜单4.2 安装选项4.2.1 选择安装类型4.2.2 配置磁盘分区4.2.3 设置网络4.2.4 选择软件包4.2.5 创建用户4.3 安装过程详解4.3.1 文件复制4.3.2 系统配置4.3.3 安装必要的补丁和更新5、验证安装5.1 检查系统完整性5.2 登录测试5.3 确认服务可用性5.4 检查网络连通性5.5 运行基本命令6、配置和优化6.1 系统配置6.1.1 修改主机名6.1.2 配置时间和日期 6.1.3 配置域名解析6.1.4 配置NTP时间同步 6.2 性能优化6.2.1 内核参数调整6.2.2 文件系统优化6.2.3 进程管理7、系统管理7.1 用户管理7.1.1 创建用户7.1.2 删除用户7.1.3 修改用户7.2 权限管理7.2.1 创建组7.2.2 修改组权限 7.2.3 分配权限7.3 定时任务7.3.1 创建定时任务 7.3.2 修改定时任务 7.3.3 删除定时任务 7.4 系统备份和恢复7.4.1 备份数据7.4.2 恢复数据8、故障排除8.1 系统启动问题8.2 网络连接问题8.3 软件包依赖问题8.4 应用程序问题9、维护和更新9.1 操作系统更新9.2 安全补丁更新9.3 硬件维护9.4 定期检查和优化附件:- 安装介质ISO镜像文件法律名词及注释:1、涉及的法律名词1:法律名词1的注释。
2、涉及的法律名词2:法律名词2的注释。
:::本文档涉及附件。
AIX操作系统安全配置要求及操作指南
AIX操作系统安全配置要求及操作指南
一、AIX操作系统安全配置要求
1.分级访问控制:要实施分级访问控制机制,明确管理者和普通用户
的访问等级,并分配不同的权限,使不同的用户层次由不同的权限控制。
2. 加强密码的安全策略:要加强密码的安全策略,包括定期更改密码,禁止使用过于简单的密码,不要在没有严格安全限制的情况下使用
root 权限。
3. 运行级别:禁止用户以root 身份登录系统,只有当用户需要以root 身份执行一些操作时,才能以root 身份登录,否则以普通用户身
份登录。
4.防火墙:根据网络的具体情况,采用专用防火墙或者网络模式的防
火墙,控制和限制外部计算机的访问权限。
5. 禁止外部访问:禁止外部访问系统,如FTP,telnet,外部的terminal访问等,除非有必要。
启用SSL/TLS 加密 socket 服务,防止
攻击者窃取数据。
6.定期备份:定期对重要的数据进行备份,以便在发生意外时及时进
行恢复。
7.实施流量监测:实施流量监测,实时检测系统中的网络流量和活动,以便及时捕获非法活动。
AIX 操作系统安全配置要求及操作指南
1、参考配置操作 通过 chmod 命令对目录的权限进行实际设置。 2、补充操作说明 chown -R root:security /etc/passwd /etc/group /etc/security chown -R root:audit /etc/security/audit chmod 644 /etc/passwd /etc/group chmod 750 /etc/security chmod -R go-w,o-r /etc/security /etc/passwd /etc/group /etc/security 的所有者必须是root 和 security 组成员 /etc/security/audit 的所有者必须是iroot 和audit 组成员 /etc/passwd 所有用户都可读,root 用户可写 –rw-r—r— /etc/shadow 只有root 可读 –r-------/etc/group 必须所有用户都可读,root 用户可写 –rw-r—r— 使用如下命令设置: chmod 644 /etc/passwd chmod 644 /etc/group 如果是有写权限,就需移去组及其它用户对/etc 的写权限(特殊 情 况除外) 执行命令#chmod -R go-w,o-r /etc
4
对于采用静态口令认证技术 的设备,应配置当用户连续 认证失败次数超过6 次(不 含6 次),锁定该用户使用 的账号。
1
在设备权限配置能力内,根 据用户的业务需要,配置其 所需的最小权限。
授权
2
控制 FTP 进程缺省访问权 限,当通过FTP 服务创建新 文件或目录 时应屏蔽掉新文件或目录不 应有的访问允许权限。
1、参考配置操作 把如下 shell 保存后,运行,会修改ssh 的安全设置项: unalias cp rm mv case `find /usr /etc -type f | grep -c ssh_config$` in 0) echo "Cannot find ssh_config" ;; 1) DIR=`find /usr /etc -type f 2>/dev/null | \ grep ssh_config$ | sed -e "s:/ssh_config::"` cd $DIR cp ssh_config ssh_config.tmp awk '/^#? *Protocol/ { print "Protocol 2"; next }; { print }' ssh_config.tmp > ssh_config if [ "`grep -El ^Protocol ssh_config`" = "" ]; then echo 'Protocol 2' >> ssh_config fi 4 rm ssh_config.tmp chmod 600 ssh_config ;; *) echo "You have multiple sshd_config files. Resolve" echo "before continuing." ;; esac #也可以手动编辑 ssh_config,在 "Host *"后输入 "Protocol 2", cd $DIR cp sshd_config sshd_config.tmp awk '/^#? *Protocol/ { print "Protocol 2"; next }; 1、参考配置操作 chsec -f /etc/security/user -s default -a minlen=8 chsec -f /etc/security/user -s default -a minalpha=1 chsec -f /etc/security/user -s default -a mindiff=1 chsec -f /etc/security/user -s default -a minother=1 chsec –f /etc/security/user –s default -a pwdwarntime=5 minlen=8 #密码长度最少8 位 minalpha=1 #包含的字母最少1 个 mindiff=1 #包含的唯一字符最少1 个 minother=1#包含的非字母最少1 个 pwdwarntime=5 #系统在密码过期前5 天发出修改密码的警告信息 给用户 2、补充操作说明
AIX操作系统安装配置步骤文档
AIX操作系统安装配置步骤文档作者:admin 添加时间:2012-01-17 15:32:29 浏览:45一、AIX安装:1.检查显示器﹑键盘﹑鼠标及各种连线是否都连接好。
2.先打开外设及主机电源(先外设后主机)3.将AIX光盘第一张放入CDROM4.加电在出现启动画面时按5或F5(或按F1或1进入SMS进行设置从光驱启动) 5.选完全安装自动安装..........二、AIX5安装完后系统设置1.修改系统时区(须重启)#smitty chtz (可以在安装时设置,注意)然后根据需要选择你的时区。
时区更改后必须重启操作系统才可以生效。
主机时钟如果和现在的本地时间有并异,更改后立刻就生效了。
2.修改系统时间#smitty date3.修改异步IO(须重启动机主机)#smitty chgaio (AIX6.1为动态的,无须更改)将“STATE to be configured at system restart”改为available。
4.设置ROOT口令#passwd5.更改最大进程数256或更多#smitty chgsys6.更改系统用户数99或更多#smitty chlicense7.配置主机名和IP地址#smitty mktcpip(可使用#lscfg -vl ent0命令查看en0网卡位于哪个扩展槽位上,便于将网线插在正确的网口上,.P2-I3,表示在第三个槽位,如为E1表示在主板上)选择en0,按回车:8.用ifconfig –a查看所有网卡的IP地址配置。
每块网卡应配置在不同网段。
如果两块网卡配置在同一网段,会产生网络通信故障。
9.bootinfo -K如果启用了32 位内核则返回“32”,如果启用了64 位内核则返回“64”。
可根据需要更改系统内核bootinfo -K查看系统内核32就是32位系统首先用如下命令确定当前的所使用的内核:# ls -l /unixlrwxrwxrwx 1 root system 21 May 06 2001 /unix -> /usr/lib/boot/unix_mp为32位内核。
AIX V7.1操作系统安装配置规范
AIX7.1操作系统安装配置规范文档信息项目名称:AIX7.1操作系统安装配置规范文档版本号:1.0文档作者:环境保障二处生成日期:2015年7月文档审核者:环境保障二处审核日期:文档维护记录版本号维护日期作者/维护人描述1.0 2015-7-7 环境保障二处根据中心内部相关处室讨论意见及部门会商意见修订,形成正式文档2015年7月信息科技部适用范围本安装配置规范适用于AIX V7.1版。
除条文中特别规定适用范围的,本安装配置规范条文适用于总分行的生产、研发和测试等环境。
鉴于AIX7.1操作系统小版本在不断变化中,且还分为express、standard、enterprise三个版本,本文档根据standard版安装过程截取步骤及截图,若安装其他版本操作系统,文档中所涉及的步骤或截图可能与实际环境有所差异,请注意结合实际情况做出判断。
目录适用范围 (1)一、硬件配置要求(生产环境必须满足,研发测试环境供参考) (3)二、操作系统安装过程 (3)(一)准备工作 (3)(二)安装过程 (3)(三)其他软件包的安装 (20)三、操作系统的配置步骤 (21)(一)修改时区 (21)(二)修正操作系统时间 (22)(三)修改ROOT用户的密码 (23)(四)修改机器名 (23)(五)修改操作系统属性参数 (24)(六)设置系统DUMP (25)(七)VG创建及配置 (27)(八)修改系统交换空间 (31)(九)激活串口 (32)(十)修改IP地址和路由设置 (33)(十一)建立逻辑卷WORKLV (35)(十二)创建文件系统 (36)(十三)系统内核参数调优 (38)(十四)系统资源参数调整 (38)(十五)配置安全连接软件SSH (39)(十六)部署NTP服务(生产环境必须设置,研发测试环境供参考) (40)(十七)部署生产系统操作系统自动备份脚本(生产环境必须设置,研发测试环境供参考) 40四、操作系统的安全设置步骤 (41)(一)关闭所有不必要的系统服务进程 (41)(二)设置登录超时时间 (44)(三)限制用户使用SU (44)(四)操作系统用户帐户设置规范如下: (44)(五)用户密码策略设置(生产环境必须设置,研发测试环境供参考) (45)(六)系统安全其他方面的设置步骤 (47)五、双网卡配置与监控部署 (48)(一)小型机双网卡配置(生产环境必须设置,研发测试环境供参考) (48)(二)部署生产系统综合管理脚本(生产环境必须设置,研发测试环境供参考) (49)(三)部署系统集中监控平台T IVOLI监控代理(生产环境必须设置,研发测试环境供参考)50一、硬件配置要求(生产环境必须满足,研发测试环境供参考)AIX操作系统适用于IBM 小型机和刀片式基于Power系列芯片开发的机型,相应的硬件要求建议如下:➢双电源模块冗余配置(拷机过程中需进行电源冗余测试工作)。
aix主机参数配置方法
1.主机文件系统设置大小如下:/usr/dt/bin/dtconfig -e2、数据库服务器操作系统patch:-操作系统打到最高补丁3、主机的系统参数和其他配置要求:3.1 操作系统参数要求:3.1 考虑BSS平台每卷组中的裸设备数量较多,在创建VG时,为避免lv个数限制,建议大家建成Scalable类型的VG,同时Scalable可直接避免oracle读取数据文件头错误;lv需做stripe,stripe unitsize为32K,stripe width 8,具体此项配置和数据库服务器配置要求应由庄斌撰写负责。
3.2rootvg要做mirror镜像修改方法:vmo -p -o lru_file_repage=0vmo -p -o maxperm%=90vmo -p -o minperm%=3chdev -l sys0 -a maxpout=320chdev -l sys0 -a minpout=240chdev -l sys0 -a ncargs=16vmo -p -o maxclient%=90maxuproc的调整# smit chgsys选择Maximum number of PROCESSES allowed per user 项配置为:4096aio状态调整smit dev选择Asynchronous I/O后,出现Posix Asynchronous I/OAsynchronous I/O (Legacy)两选项都需要做修改,结果如下:FLOATING licensing修改smit system选择Change / Show Number of Licensed Users ,修改结果如下:3.4 双机Hacmp同步时钟修改为10 默认604. 主机上安装的应用软件版本要求如下:tuxedo 10ORACLE 10g 服务端(10.2.0.4)ORACLE 10g 客户端(10.2.0.4)weblogic 10.3。
AIX操作系统安装配置规范
AIX操作系统安装配置规范目录AIX操作系统安装配置规范 (1)1 系统安装配置标准 (4)2 安装配置指南 (6)2.1 操作系统安装 (6)2.2 语言包安装 (9)2.3 软件包安装 (10)2.4 补丁安装 (15)2.5 系统配置 (17)2.5.1 时区时间配置 (17)2.5.2 系统参数设置 (17)2.5.3 设置dump大小 (19)2.5.4 修改磁盘定额 (19)2.5.5 rootvg镜像 (19)2.5.6 配置TCP/IP (20)2.5.7 修改用户限制 (20)2.5.8 调整Paging Space (20)2.5.9 启动异步IO (21)2.5.10 修改系统引导映像、顺序 (22)2.5.11 syncd daemon的数据刷新频率 (22)1系统安装配置标准更改操作系统参数Maximum number ofPROCESSES allowedper userHIGH water markLOW water mark设置每个用户支持的最大进程数:chdev –l sys0 –amaxuproc=1024设置High water mark:chdev –l sys0 –a maxpout=33设置Low water mark:chdev –l sys0 –a minpout=24有HA测试需求的环境调整High water mark、Low watermark这两个值,其他无需执行设置dump大小为系统估计值和物理内存的三分之一值的较大者系统估计值:sysdumpdev -esmitty extendlv修改lg_dumplv的大小lsvg –l rootvgprtconf查看物理内存大小smitty mklvcopy 复制lg-dumplv调整PagingSpace大小如果内存>8G,则Paging Space大小和内存一样大如果内存<=8G ,则Paging Space大小是内存的1.5倍lsps –a 查看当前页面空间的大小lsvg rootvg查看smitty chps调整用户限制default: fsize=-1cpu=-1nofiles=-1vi /etc/security/limits将default段中3个值改为-1default: fsize=-1cpu=-1nofiles=-1配置TCP/IP根据实际情况进行配置smitty mktcpip适当增大rootvg的文件系统/usr为10G,/softinstall为5G,其他rootvg文件系统为1Gchfs –a size=10G /usr文件系统路径smitty jfs2 创建文件/softinstallmount /softinstall 挂载rootvg镜像确保rootvg中有两块内置磁盘,且互为镜像smitty extendvgextend rootvg hdisk1将hdisk1添加到rootvgsmitty mirrorvgbosboot –a 写入ha不选2安装配置指南2.1操作系统安装将AIX系统光盘放进主机的cdrom中,启动主机,选1进入到SMS Menu,选择从光盘引导启动。
AIX系统安装,配置手册(个人)
目录AIX系统的安装 (1)AIX系统安装后要做的事 (4)系统参数配置 (9)HA安装及配置 (11)IBM C 4.3 For AIX的安装 (26)AIX上为rootvg做镜像 (31)解除镜像 (33)关闭和打开dtlogin(CDE图形界面) (35)镜像盘mksysb恢复到单个磁盘 (37)mksysb磁带备份 (37)磁带恢复备份 (37)AIX上克隆rootvg的操作方法 (37)AIX系统补丁下载网站 (40)AIX系统的安装安装介质与方式AIX操作系统的安装可以:1)通过Tape安装。
需要16M RAM。
PCI总线的RS/6000系列小型机不支持该方式。
2)通过CD-ROM安装。
需要有8M RAM.3)通过网络安装。
这需要使用AIX Network Install Manager (NIM)来实现。
系统支持通过Token Ring 、FDDI、ethernet的安装。
4)预先安装(Preinstall).在购买时选择“预装操作系统”。
AIX操作系统的安装方式(Installation Method)有以下四种:完全覆盖安装:操作系统被安装在rootvg的第一块硬盘上,这将覆盖原系统中所有的系统保留目录。
保留安装:这种安装方式可以保留操作系统的版本不变,同时保留 rootvg上的用户数据,但将覆盖/usr 、/tmp、/var 和/ 目录。
用户还可以利用/etc/preserve.list指定系统安装时需要保留的文件系统。
默认的需保留的文件系统为/etc/filesystem 中所列。
升级安装:这种安装方式用于操作系统的升级,这将覆盖/tmp目录。
这是系统默认的安装方式。
备份带安装:恢复用mksysb命令生成的安装带中/image.data中指定的文件系统,这种安装方式用于系统(rootvg)的复制。
BOS(Base Operating System)安装? 打开主机电源。
? 连接好系统终端,把第一张安装介质(磁带、光碟)插入驱动器。
AIX操作系统安装配置
AIX操作系统安装配置目录1 安装操作系统 (1)1.1 配置HMC (1)1.2 配置ASMI (4)1.3 开始安装操作系统 (5)2 配置操作系统 (15)2.1 Bundle安装 (15)2.2 安装中文语言环境 (15)2.3 Mirror rootvg (15)2.4 调整文件系统大小 (16)2.5 修改ps空间 (16)2.6 调整/etc/security/limits (16)2.7 创建修改/.profile (16)2.8 调整系统时间 (16)2.9 重启系统 (16)1安装操作系统1.1配置HMC启动HMC,点击如下选项更改网络设置选择下图选项卡,点击details…配置IP地址如下,此地址与720 HMC1口默认IP地址169.254.2.147在同一网段用双绞线将HMC与720HMC1口连接,给720加电但不开机,将720添加到HMC在如下窗口中点击OK,HMC提示更改密码,修改为admin1.2配置ASMI打开刚刚添加进HMC的720的ASMI用户名admin,密码admin,点log in进去ASMI将系统启动模式改为standby,如下图所示1.3开始安装操作系统将720开机,将AIX系统介质插入CD-ROM,激活720全分区并打开console窗口,等待字符开机界面出现后迅速按1,进去SMS菜单如下选择5选择1选择3选择相应接口,后选择CD-ROM设备选择2选择1按2选择当前显示设备按1选择安装过程中语言为英文选择2开始安装AIX操作系统按1按1选择全新安装操作系统选择本地硬盘进行安装,可以选择一块,也可以选择两块选择3按上图所示进行选择,后按0检查没有问题按1开始安装安装完毕后选择虚拟终端类型为vt100如上图所示选择阅读license,后退出选择接受license,如下图选择为yes之后退出,设置root密码后选择最后一项完成操作系统安装2配置操作系统2.1B undle安装Smit install_bundle⏹APP-DEV⏹Server⏹CDE2.2安装中文语言环境Smit mlang2.3M irror rootvgextendvg –f rootvg hdisk1Mirrorvg rootvgBosboot –ad /dev/hdisk1Bootlist –m normal hdisk0 hdisk12.4调整文件系统大小Chfs –a size=20G /Chfs –a size=10G /usrChfs –a size=10G /varChfs –a size=20G /tmpChfs –a size=20G /homeChfs –a size=10G /opt2.5修改ps空间Chps –s lps_to_add(60) hd62.6调整/etc/security/limits 调整default节如下:default:fsize = -1core = -1cpu = -1data = -1rss = -1stack = -1nofiles =-12.7创建修改/.profile添加如下行:export PS1=`hostname`@'$PWD'#. ./.profile2.8调整系统时间Smit chtz_date2.9重启系统Shutdown -Fr。
AIX6.1系统安装配置及HACMP详细配置
**省操作风险管理系统小型机安装配置手册目录小型机安装配置手册 (4)1.1操作系统安装 (4)1.2安装操作系统bundle (10)1.3limit参数设置 (11)1.4开启IOCP (11)1.5打开fullcore设置 (12)1.6调整maxpout,minpout设置 (12)1.7调整maxuproc设置 (12)1.8调整syncd设置 (12)1.9设置时区 (13)1.10增加error log文件大小 (13)1.11系统网络参数设置 (13)1.12系统AIO参数设置 (14)1.13系统VM参数设置 (14)1.14HBA卡参数设置 (15)1.15语言包安装 (15)1.16补丁包安装 (16)1.17创建oracle软件的文件系统 (16)1.18操作系统镜像 (17)1.19设置SWAP大小 (17)1.20修改文件系统大小设置 (17)1.21dump设置 (18)1.22安装hacmp软件 (19)1.23安装hacmp补丁 (20)1.24配置网络 (20)1.25添加cluster 名字 (21)1.26添加cluster的主机 (21)1.27添加基于IP的网络 (22)1.28添加基于非IP的网络(即串口心跳) (22)1.29添加IP地址 (22)1.30添加串口设备 (23)1.31添加资源组 (24)1.32添加SVC IP (25)1.33添加应用脚本 (26)1.34添加卷组到资源组 (28)1.35同步串口通讯 (30)1.36同步两台主机HACMP配置 (30)1.37主节点上启动Cluster (31)1.38备节点上启动Cluster (34)1.39查看hacmp的运行状态 (34)1.40Hacmp资源组切换测试 (38)1.41EMC存储powerpath多路径管理软件安装 (41)1.42创建VG (47)1.41.1 创建sqdbvg (47)1.41.2创建hddbvg (54)1.41.3创建rmansqvg (58)1.41.4创建rmanhdvg (59)小型机安装配置手册1.1操作系统安装要求统一使用****6100-07 SP4操作系统安装介质进行操作系统安装。
AIX操作系统安全配置手册
AIX操作系统安全配置手册许新新***************.com2011-6-8 版本号:V1.0目录1. 引言 (2)2. 用户管理 (2)2.1 用户账号安全设置 (2)2.2 删除一个用户账号 (3)2.3 禁止root用户直接登录 (4)2.4 用户登录审计 (4)2.5 密码规则设置 (6)2.6 文件和目录的默认访问权限 (6)2.7 用户错误登录次数过多导致账号被锁定 (7)2.8 查看密码的上次修改时间 (7)2.9 chpasswd和pwdadmin命令的使用 (8)3. 网络安全 (9)3.1 安装SSH文件集并设置 (9)3.2 TELNET和SSH的安全性比较 (10)3.3 禁止TELNET、FTP、RLOGIN等网络服务 (11)3.4 限制某些用户FTP登录 (12)3.5 设置目录的FTP访问权限 (12)3.6 将用户FTP访问限定在自己的$HOME目录 (15)3.7 实现基于IP地址的访问控制 (15)3.8 查看当前的TCPIP网络连接 (18)4. 系统安全管理 (19)4.1 设置用户终端长时间不操作后自动退出 (19)4.2 设置NTP网络时钟协议 (20)4.3 停止NFS服务 (22)4.4 设置用户limits参数 (23)4.5 wtmp文件的使用 (24)1. 引言AIX作为IBM Power系列开放平台服务器的专用操作系统,属于UNIX操作系统的一个商业版本。
作为企业级服务器的操作平台,安全性是AIX必备的一个重要特性。
由于我们的小型机上往往运行着客户的核心生产业务,因此对于系统的安全设置往往会有着严格的要求。
2. 用户管理AIX是一个多用户操作系统,多个用户要在同一个系统环境中协同工作,用户访问权限的设置、用户作业的相互隔离、用户系统资源的限制,都是AIX操作系统不可或缺的功能。
2.1 用户账号安全设置为了保证整个操作系统的安全,每个用户账号必须满足如下安全设置要求:(1)每个系统管理员应该设置单独的账号,不允许多个管理员共用一个账号;(2)root用户不允许直接登录,必须通过其他用户登录后,通过su命令获得root用户权限;(3)禁用或者删除不使用的系统账号;(4)设置必要的密码规则。
AIX系统安装、配置文档
一、AIX操作系统的安装与调整AIX 全名为(Advanced Interactive Executive),它是IBM 公司的UNIX操作系统,整个系统的设计从网络、主机硬件系统,到操作系统完全遵守开放系统的原则。
下面对AIX 作以介绍。
RS/6000 采用IBM 的UNIX操作系统-AIX作为其操作系统。
这是一个目前操作系统界最成功,应用领域最广,最开放的第二代的UNIX系统。
它特别适合于做关键数据处理(CRITICAL)。
AIX 包含了许多IBM 大型机传统受欢迎的特征,如系统完整性,系统可管理性和系统可用性。
在 AIX 操作系统上,有许多的数据库和开发工具,用户除了选用已有的应用软件外,还可以根据各自的需要进行开发。
此外,在AIX 之上,有一组功能强,使用方便的系统管理工具。
对于异种平台互存,互操作有很成熟的解决方案。
由于该 UNIX 的先进的内核技术和最好的开放性,因此,虽然RS/6000从宣布到今天只有短短的5 年多的时间,它已在各行各业有了广泛的运用,并在1993和1994年连续二年在MIDRANGE商用 UNIX 领域处于第一位。
RISC SYSTEM/6000的操作系统是AIX ,它是性能卓越的、开放的UNIX,汇集了多年来计算机界在UNIX上的研究成果,以IBM 在计算机体系结构、操作系统方面40多年极其丰富的经验。
最大限度的使用RISC技术,安装了象AIX 这样的具备工业界实力的UNIX操作系统。
它既可连接SAA 体系结构,又能与非IBM 系统的网络相连,因此,可以和多数专业银行现有的系统实现互连,这对今后业务系统拓展将带来极大的灵活性,并降低投资。
AIX 遵循一系列的国际标准:* IEEE POSIX1004.1-1990* X/OPEN 移植指南ISSUE3的基本级(XPG3)* AES/OS REVISION A (OSF/1 LEVEL 2 资格)* FIPS 151-1* AIX的编译器: XLC、C++(可选)、FORTRAN(可选)、PASCAL(可选)、COBOL(可选)* ADA 的编译器已达到XPG3“成员”级的认可。
AIX操作系统安装配置规范
AIX操作系统安装配置规范目录AIX操作系统安装配置规范 (1)1 系统安装配置标准 (3)2 安装配置指南 (7)2.1 操作系统安装 (7)2.2 语言包安装 (10)2.3 软件包安装 (11)2.4 补丁安装 (16)2.5 系统配置 (18)2.5.1 时区时间配置 (18)2.5.2 系统参数设置 (18)2.5.3 设置dump大小 (20)2.5.4 修改磁盘定额 (20)2.5.5 rootvg镜像 (20)2.5.6 配置TCP/IP (21)2.5.7 修改用户限制 (21)2.5.8 调整Paging Space (21)2.5.9 启动异步IO (22)2.5.10 修改系统引导映像、顺序 (23)2.5.11 syncd daemon的数据刷新频率 (23)1系统安装配置标准lsps –a 查看当前页面空间的大小lsvg rootvg查看smitty chpsvi /etc/security/limits将default段中3个值改为-1ha不选2安装配置指南2.1操作系统安装将AIX系统光盘放进主机的cdrom中,启动主机,选1进入到SMS Menu,选择从光盘引导启动。
进入如下安装界面后,选择2更改设置安装:安装磁盘为hdisk0,语言环境为English,键盘默认。
选择0开始安装。
安装完成后,接受安装许可,进入系统。
2.2语言包安装将AIX系统安装光盘放入光驱安装,安装三种中文语言包,输入smitty mlang,选择添加额外语言环境,在CULTURAL convention to install,LANGUAGE translation toinstall中选择ZH_CN.UTF-8、zh_CN.IBM-eucCN、Zh_CN.GB18030,确认安装,输入smitty installp,选择Install Software Bundle,安装App-Dev,CDE,Server三个软件包,选择从cdrom安装(如果从磁盘安装请输入对应的磁盘路径),接受license,直至提示安装成功,安装单独的软件包:bos.data、bos.adt.*、bos.dosutil、devices.fcp.*、bos.dlc、bos.alt_disk_install、rsct.basic。
AIX操作系统详细配置步骤
AIX 操作系统详细配置步骤1)设置系统时区(非夏令时制、北京时区)和时间。
设置系统时区:“smitty chtz ”。
(如果在“安装助手阶段”配置过时区,这一步可以忽略)可以忽略)设置系统时间:“smitty date ”。
注意:在设置系统时间前必须确保时区设置正确,时区正确与否可用命令“echo $TZ ”查看(在时区不正确的情况下,设置时间是徒劳的)。
设置完时区后必须重启系统才能生效。
重启后可用命令“echo $TZ ”查看时区,正确的时区显示是BEIST-8。
然后再对系统时间作调整。
系统时间可用命令“date ”查看。
”查看。
2) 修改操作系统参数需要修改的操作系统参数包括支持的用户最大进程数、High water mark 、Low water mark 。
设置支持的用户最大进程数:“chdev chdev ––l sys0 l sys0 ––a maxuproc=2048” 设置High water mark :“chdev chdev ––l sys0 l sys0 ––a maxpout=8193” (对于Power5以前的旧机器,建议设置为513,对于连接7133 SSA 的阵列,一定要设置为33)设置Low water mark :“chdev chdev ––l sys0 l sys0 ––a minpout=4096” (对于Power5以前的旧机器,建议设置为256,对于连接7133 SSA 的阵列,一定要设置为24)验证方法:验证方法:验证支持的用户最大进程数:“lsattr lsattr ––El sys0 |grep maxuproc ” 显示结果应该为:显示结果应该为:maxuproc2048 Maximum number of PROCESSES allowed per user True验证High water mark 值:“lsattr lsattr ––El sys0 |grep maxpout ” 显示结果应该为:显示结果应该为:maxpout8193 HIGH water mark for pending write I/Os per file True 验证Low water mark 值:“lsattr lsattr ––El sys0 |grep minpout ”显示结果应该为:显示结果应该为:minpout4096 LOW water mark for pending write I/Os per file True3) 设置Dump 设备参数dump lv 初始大小调整原则:规定初始大小为内存大小的三分之一。
AIX安装后基本系统设置
AIX安装后基本系统设置安装基本操作系统(BOS)打开计算机或在开机状态下重新启动(#reboot)将AIX安装盘放入光驱当系统自检keyboard 通过后,按"5"(从光驱引导)系统提示:Please define 定义the system Console 控制台后,按"1"(确认终端)系统提示:Type a "1" and press Enter to use this termina终端l as the system console键入 "1" ,而且杂志报纸进入以这个终端机作为系统控制台后按1(选择英语为安装语言)进入安装程序,按系统提示操作:选择“ 2 Chang/show Installation Settings and Install”指示安装设定和装置一、其它选项不需改变,只需改以下两项:将安装方式改为“New and Complete Installation“选择所要安装系统的disk开始install。
二、设置终端类型(TTY)结束安装后,第一次启动时,系统提示选择终端类型,应选择ibm3151用"root"登录,接着出现系统设置(时间,密码等),直接退出即可#export TERM=ibm3151(设置终端类型,否则无法进入smit)#smit tty (设置终端类型,否则以后启动还会要求选择终端类型)选择chang/show characeristics of a TTY (修改)修改ENABLE LOGIN 为"enable"修改TERMINAL type 为ibm3151三、安装Bundle (包)#smit easy_install选择INPUT device / directory for software 为[/dev/cd0](按F4选择)选择Select a FileSet Bundle 为Server 及App-Dev(有图形设备需选Graphics-Startup)四、选择安装软件#smit进入Software Installation and Maintenance-〉Install and Update-〉SoftwareInstall andUpdata from LA TEST A vailable Software选择INPUT device / directory for software 为[/dev/cd0](按F4选择)进入SOFTW ARE to install选择所需安装的软件开头有"@"符即已安装过开头有"+"符即未安装过如不装图形终端,则以"X11"开头的不装以下必须装:/doc/d5*******.html,pat (兼容AIX 3)bos.databos.dosutil (dos utility)有关info,msg的必须装五、设置TCP/IP#lsdev -Cc adapter查看网卡设置(选择IBM 10/100 Mbps Ethernet PCI Adapter)#smit tcpip选择"Minimum Configuration & Startup"在"A vailable Network Interfaces"对话框中选择"en0 Standard Ethernet Network Interface" 注意:如有多块网卡,根据前面查看的设置,选择正确的网卡,一般不选"et0 IEEE 802.3 Ethernet NetworkInterface"在HOSTNAME中填入所起的主机名(F50-CMIS).在Internet ADDRESS (dotted decimal)设IP地址(16.54.2.7)在Network MASK (dotted decimal)设掩码(255.255.255.0)在Default GA TEWAY Address设网关在Y our CABLE Type选择"TP"全部选定后按回车(Enter)运行六、设置VG(卷组)#smit vg选择Add a V olume Group设置V olume Grorp Name设置Physical partition Size in megabytes(PP值,一般2.2G可设4,4.5G可设8,9.1G可设16)设置Physical V olume Names(选择所需disk)全部选定后按回车(Enter)运行七、设置LV(逻辑卷)#smit lv选择Add a Logical V olumeVOLUME GROUP name中选择VG nameLogical volume NAME中填入所起的LV 的名字Number of LOGICAL PARTITIONS中填入LV大小(这里的数量为Logical Partition数量,一块LP缺省值等于一块PP)全部选定后按回车(Enter)运行八、设置File Systems#smit进入System Storage Management (Physical & Logical Storage)->File Systems->Add/Chang/Show/Delete File Systems->Journaled File System->Add Journaled File System 修改本文件系统块数(Size of File System),一块为512 Bytes修改Mount Point(为文件系统指定PA THS,如[/oracle])决定是否在系统启动时自动Mount该文件系统全部选定后按回车(Enter)运行九、安装C及C++语言查看C安装手册中安装C语言所必须先安装的软件(Software Must be Installed)#lslpp -l|grep bos.adt.include#lslpp -l|grep bos.adt.lib用上述两条命令查看这些文件是否Comitted#smit install_latest将C/C++语言安装盘放入光驱进入INPUT device / directory for software 选择"/dev/cd0 (SCSI Multimedia CD-ROM Drive)",SOFTWARE to install按"F4",系统显示选择安装文件选择以xlc开头的所有文件全部选定后按回车(Enter)运行十、连接7133磁盘阵列中的磁盘将7133中磁盘连上(具体连接方法可查看7133/Model600随机资料)注意:7133 SSA接口的磁盘为回路连接,从主机后SSA ADAPTER 连出后从另一根线连进,此回路中所串联的硬盘即该主机所使用硬盘#cfgmgr (激活系统,配置磁盘)注意:在关机状态下连接后再开系统自动调用cfgmgr十一、系统磁盘热插拔必须将所需拔出的磁盘中所在VG中的LV(Logical V olume)与File System进行umount #lsvg -l datavg (查看datavg中的详细信息).#df -k (查看文件系统的信息)#umount /cmis (umount 文件系统cmis)#varyoffvg datavg (切断datavg)#lsvg -o (查看当前激活的VG)#exportvg datavg.(输出datavg)此时可以拿出该磁盘(该磁盘可以为内置式).将该磁盘放入另外一台主机#importvg -y datavg hdisk1(在另外一台主机上键入该命令).十二、备份策略rootvg可采用#smit mksysb 来备份datavg中的文件系统可进入smit->System Storage Management (Physical & Logical Storage)->File Systems->Backup a File System,选定预备份的文件系统,回车确认即可datavg可采用smit命令smit vg->Back Up a V olume Group,选定预备份的vg,回车确认即可----许多用户在*作系统安装完后,不对系统进行一些基本设置,而使用系统的缺省参数。
aix操作系统系统安全配置手册
UNIX系统安全加固实施细则:1日志记录选择不合理或系统日志数据不完整设置审计,在/etc/syslog.conf文件中增加下列四行内容: /var/adm/croerr.log /var/adm/auth.loguser. warning /var/adm/user.log /var/adm/kern.log2日志记录备份建议使用磁带机定期做系统差分备份。
由系统管理员定期完成。
#mksysb3系统开启了与业务无关的服务关闭不需要的服务:#vi /etc/inetd.conf在文件中找到相关服务名称,将其注释即可。
更改后需要刷新:#refresh –s inetd。
4系统开启了与业务无关的端口关闭服务即关闭了端口,故只需找到无关服务即可。
5账户策略配置不当在/etc/security/user中修改maxrepeat=3、minlen=6;在/etc/security/login.cfg中修改maxlogin=5;6定时任务在/etc/crontab文件中注释掉不需要的定时任务。
7系统未限制能够su为root的用户在/etc/security/user中修改default中su=false;在需要保留su功能的相应账户名下添加su=ture。
8系统未开启超时自动注销功能在/etc/profile、/etc/enviroment、/etc/security/.profile文件中添加下列三行内容:TMOUT=600TIMEOUT=600export TMOUT TIMEOUT9远程管理方式配置不当关闭ftp 和telnet进程。
#vi /etc/inetd.conf。
安装SSH工具。
10操作系统存在弱口令账号建议使用长密码,包含数字,字母和符号的密码。
11访问旗标泄漏系统信息1在/etc/security/login.cfg中修改head项旗标内容。
/etc/motd中添加旗标内容。
12系统R族文件配置不合理13系统允许root用户远程登录要禁止远程登录root用户,需要编辑/etc/security/user,在root项中选定false为rlogin的值。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
AIX操作系统详细配置步骤1)设置系统时区(非夏令时制、北京时区)和时间。
设置系统时区:“smitty chtz”。
(如果在“安装助手阶段”配置过时区,这一步可以忽略)设置系统时间:“smitty date”。
注意:在设置系统时间前必须确保时区设置正确,时区正确与否可用命令“echo $TZ”查看(在时区不正确的情况下,设置时间是徒劳的)。
设置完时区后必须重启系统才能生效。
重启后可用命令“echo $TZ”查看时区,正确的时区显示是BEIST-8。
然后再对系统时间作调整。
系统时间可用命令“date”查看。
2) 修改操作系统参数需要修改的操作系统参数包括支持的用户最大进程数、High water mark、Low water mark。
设置支持的用户最大进程数:“chdev –l sys0 –a maxuproc=2048”设置High water mark:“chdev –l sys0 –a maxpout=8193” (对于Power5以前的旧机器,建议设置为513,对于连接7133 SSA的阵列,一定要设置为33) 设置Low water mark:“chdev –l sys0 –a minpout=4096” (对于Power5以前的旧机器,建议设置为256,对于连接7133 SSA的阵列,一定要设置为24)验证方法:验证支持的用户最大进程数:“lsattr –El sys0 |grep maxuproc”显示结果应该为:maxuproc 2048 Maximum number of PROCESSES allowed per user True 验证High water mark值:“lsattr –El sys0 |grep maxpout”显示结果应该为:maxpout 8193 HIGH water mark for pending write I/Os per file True 验证Low water mark值:“lsattr –El sys0 |grep minpout”显示结果应该为:minpout 4096 LOW water mark for pending write I/Os per file True3) 设置Dump 设备参数dump lv初始大小调整原则:规定初始大小为内存大小的三分之一。
调整方法:使用命令“sysdumpdev –l”查看当前dump所处的lv。
使用命令“lsvg –l rootvg”查看当前dump设备的大小。
使用命令“lsvg rootvg”查看PP size大小。
使用命令“lsattr –El mem0”查看内存大小。
使用命令“smit extendlv”扩dump lv大小。
使用命令“lsvg –l rootvg”确认dump设备大小。
4) 修改异步IO (即AIO。
仅对于数据库服务器来说,需要开启这个功能。
)smitty aio->Change / Show Characteristics of Asynchronous I/O“STATE to be configured at system restart”中设置为available,并按enter键。
验证AIO设置:使用命令“lsdev -Cc aio”。
显示结果应该是:aio0 Available Asynchronous I/O (Legacy)5) Paging Space大小调整系统安装完后,默认的Paging Space大小是512MB。
这个大小一般不能满足应用需求,需要做适当调整。
调整原则:如果内存〉8G,则Paging Space大小和内存一样大如果内存<=8G ,则Paging Space大小是内存的1.5倍调整方法:用“lsattr –El mem0”查看内存大小。
用“lsps –a”查看当前Paging Space大小。
用“lsvg rootvg”查看PP size大小。
用“smitty chps”增加Paging Space大小。
验证修改结果:用“lsps –a”查看修改结果。
6) 修改用户限制修改default用户的限制:通过命令“vi /etc/security/limits”,将其中default用户的fsize值改成-1。
验证修改结果:用“cat /etc/security/limits”命令查看default用户的fsize是否是-1。
7)配置TCP/IP根据中行系统处要求,配置相应的主机名、IP地址和网关信息。
使用下列命令配置主机名、IP地址和网关信息。
smitty tcpip->Minimum Configuration & Startup验证方法:验证主机名的命令:hostname验证IP地址的命令:ifconfig –a验证网关的命令:netstat –rn8) 修改 /etc/profile, /etc/hosts文件1.修改/etc/profile文件执行命令vi /etc/profile,在文件最后加入如下几行:set -o viif [ `/usr/bin/whoami` = root ] ; thenPS1='['$LOGNAME'@'`/usr/bin/hostname`':$PWD]# 'elsePS1='['$LOGNAME'@'`/usr/bin/hostname`':$PWD]$ 'fialias lf="ls -F"alias l="ls -l"2.修改/etc/hosts文件执行vi /etc/hosts命令,将其中一些冗余IP地址和主机名信息删除,并添加系统和应用所需的IP地址和主机名信息。
/etc/hosts文件格式规范如下:################################127.0.0.1 loopback localhost #loopback (lo0) name/address#DLPAR CONFIG***.*.*.* HMC***.*.*.* lpar1***.*.*.* lpar2#HACMP CONFIG***.*.*.* NodeA_boot***.*.*.* NodeA_svc NodeA***.*.*.* NodeA_stb***.*.*.* NodeB_boot***.*.*.* NodeB_svc NodeB***.*.*.* NodeB_stb# APPLICATION CONFIG***.*.*.* ***APP#OTHER***.*.*.* ***#################################如上所示,除了127.0.0.1回环地址这一行外,该文件的初始内容还包括DLPAR configuration、HACMP configuration、APPLICATION configuration和OTHER四类。
DLPAR configuration类中包括了动态分区信息。
(视情况而定,有些设备不支持动态分区)HACMP configuration类中包括了HACMP网络配置信息。
(视情况而定,有些系统不需要HA)APPLICATION configuration类,它预留给应用使用。
如果需要添加应用相关IP地址和主机名信息,请添加在此后面。
文件的最后是OTHER类,它预留给其他内网相关使用,比如NFS等等。
9) 适当增大rootvg的文件系统,并确保rootvg文件系统使用率在50%以下。
使用命令“chfs –a size=N G FileSystemName”修改注:命令中的斜体字表示参数。
N是个数字,表示文件系统需要修改为多大,例如“/”文件系统需要扩至2GB,这里的N就是2;G表示GB;FileSystemName表示需要修改的文件系统名,如:“/”。
文件系统大小定义如下:文件系统名大小“/”2G“/tmp”2G“/usr”10G“/opt”2G“/home”2G“/var”2G/softinstall 5G验证方式:文件系统大小及使用率可用“df –g”命令查看。
10)vmo设置对于数据库服务器来说,需要调整虚拟内存管理器的一些参数。
使用下列命令调整参数:vmo –p –o maxclient%=20vmo –p –o maxperm%=20vmo –p –o minperm%=10验证方式:可以分别使用下列命令验证。
vmo -a |grep maxclient%vmo -a |grep maxperm%vmo -a |grep minperm%11) rootvg镜像和同步用“lspv |grep rootvg”查看目前属于rootvg的磁盘和磁盘数,默认一般只有一块磁盘属于rootvg。
在rootvg只有一块磁盘的情况下,需要对其进行扩充(加一块磁盘)。
用“lsdev –Cc disk”查看所有的内置磁盘(磁盘类型为“16 Bit LVD SCSI Disk Drive”的磁盘是内置磁盘)。
选择一块不属于rootvg的内置磁盘,并加入到rootvg中。
在rootvg中加入一块磁盘可以使用命令“smitty extendvg”。
加完后,可以用命令“lspv |grep rootvg”命令来验证。
在rootvg中成功加了一块内置磁盘后,接下来可以开始做磁盘镜像了。
用“smitty mirrorvg”命令做rootvg镜像。
在“Mirror sync mode”中选择Background;在“PHYSICAL VOLUME names”中选择需要做镜像的磁盘。
镜像验证:通过命令“lsvg –l rootvg”查看LP 和 PP 比为1:2,LV STATE为syncd。
12)系统引导映像修改、引导顺序修改修改方法:1.系统引导映像修改可以使用下列命令:bosboot –ad /dev/hdisk0bosboot –ad /dev/hdisk1去除引导镜像chpv –c hdisk02.系统引导顺序修改可以使用下列命令:bootlist -m normal hdisk0 hdisk1验证方法:1.系统引导映像修改验证:bosboot设置成功后,会有类似如下所示的信息(大小不一定是22740 512字节)。
bosboot: Boot image is 22740 512 byte blocks.2.系统引导顺序修改验证:bootlist -m normal –o显示结果应该如下显示:hdisk0hdisk113)修改磁盘定额(Quorum)可以使用命令“chvg –Qn rootvg”修改rootvg的磁盘定额。