AIX_SSH完全配置手册

AIX系统安全配置1 身分识别1.1 账户设定只有特定的授权帐户可用来增加用户及群组，此为AIX默认值且不应被更改；一般帐户不应该有多余的管理权限，此为AIX默认值且不该被更改；只有特定的授权帐户可用来删除用户及群组、修改及打印所有帐户资料。

以用来防止非法存取系统，或集中攻击有特别权限的帐户，此为AIX默认值且不该被更改；只有特定的授权帐户可用来检查使用者状态。

为防止入侵者存取非公开系统资料，用户状态资料仅可由特定帐户取得。

这一点在AIX仅部份可行，因为如果使用者锁定，则其它使用者无法看到此使用者，但却可使用 who 命令来检查登陆的帐户；只有特定的授权帐户可用来打印所有群组信息、锁定或未锁定的帐户。

以用来防止非法存取系统，或集中攻击有特别权限的群组，此为AIX默认值且不该被更改；只有特定的授权帐户可用来更改授权帐户数目。

太多的用户同时使用某应用系统可能影响系统稳定性，此为AIX默认值且不该被更改；系统管理员群组的人员不可存取所有资源，管理群组的人员应只能存取工作上所需用的资源。

存取所有资源不应被允许，此为AIX默认值且不该被更改；一般用户不可存取特定系统文件及命令。

系统命令及程序只能被特定帐户使用，一般用户不可存取此类功能。

应通过权限控制管理来进行限制，此为AIX默认值且不该被更改；权限的控制管理应在文件产生时即被设置，仅有文件的产生者能读取、写入、执行或删除此文件，使用者的 umask设定为仅允许文件产生者存取 (例外：root 用户可存取系统所有文件)。

Umask的设定控制了文件除了删除外的权限，删除的权限则根据文件所在目录的权限位来决定；最少权限机制应被应用，以确保应用程序以最少权限执行，所有应用程序的授权应保持最低权限；只有特别的授权帐户可安装软件或加入新设备到系统中，并安装安全的更新修正程序，此为AIX默认值且不该被更改；存取系统资源取决于使用者及群组的身份，使用者的权限可能多于其群组的权限；1.2 推荐用户属性推荐以下属性：每个用户应有一个不与其它用户共享的用户标识。

AIX-SSH配置手册SSH配置完全手册前言为何使用 OpenSSH？您每天使用的标准网络服务（如 FTP、Telnet、RCP 和远程 Shell (rsh) 等）在封闭环境中运行良好，但使用这些服务在网络上传输的信息是未加密的。

任何人都可以在您的网络或远程计算机上使用包嗅探器查看交换的信息，有时甚至可以查看密码信息。

而且，使用所有此类服务时，在登录过程中用于自动登录的选项会受到限制，并且通常依赖于将纯文本密码嵌入到命令行才能执行语句，从而使登录过程变得更加不安全。

开发的安全 Shell (SSH) 协议可以排除这些限制。

SSH 能够为整个通信通道提供加密，其中包括登录和密码凭据交换，它与公钥和私钥一起使用可以为登录提供自动化身份验证。

您还可以将 SSH 用作基础传输协议。

以这种方式使用 SSH 意味着在打开安全连接后，加密通道可注意:在AIX上安装SSH , 需要安装OpenSSL 来获得支持 . 否则, 安装会不成功 , 报错信息提示也要先安装OpenSSL .OpenSSL可以登陆IBM官网下载 , SSH 软件从https:///project/showfiles.php?group_id=127997上下载 .环境说明实验环境机器为: M85 , P630 系统版本均为AIX 5.3根据系统版本来下载OpenSSL和OpenSSH的版本 .OpenSSL : openssl-0.9.7l-2.aix5.1.ppc.rpm OpenSSH : openssh-4.3p2-r2.tar.Z安装软件安装顺序为先安装OpenSSL , 后安装OpenSSH➢OpenSSL : 将openssl-0.9.7l-2.aix5.1.ppc.rpm包ftp到/tmp/ssh下.通过smitty installp安装 .如下图:➢OpenSSH : 将openssh-4.3p2-r2.tar.Z包ftp到/tmp/ssh下, 用命令:Zcat openssh-4.3p2-r2.tar.Z | tar -xvf -解包.Smitty installp 安装 .注意要先单独安装license. 后面再安装base包,都要选择ACCEPT new license agreements为yes.如下图:配置SSH软件安装完成后 , 可以通过lssrc –s sshd查看ssh后台程序有没启动 . 一般安装完ssh软件, 会自动激活该后台程序 . 如查看未激活 , 用 startsrc -s sshd来启动就可以.➢软件安装完成后 , 在/etc下会有ssh这个目录生成.➢修改sshd_config文件 , 为后面的2台机器之间互相访问不需要提供密码做准备 . 修改的内容如图红色的,visshd_config将前头的#号注释掉,启用就可以.AIX6105SP5版本中需要在/etc/ssh/sshd_config中修改.ssh/authorized_keys为~/.ssh/authorized_keys，否则系统重启后无法启动sshd进程。

AIX系统安全配置指南1. 远程访问控制 ........................................................................... - 2 -1.1.登陆限制 .......................................................................... - 2 -1.2.登陆屏幕欢迎词 .............................................................. - 2 -1.3.离开时锁定 ...................................................................... - 3 -1.4.强制自动注销 .................................................................. - 3 -2. 用户帐户安全 ........................................................................... - 4 -2.1. Root 帐户......................................................................... - 4 -2.2. 禁用直接 root 用户登录................................................ -4 -2.3. 用户帐户控制 .................................................................. - 5 -2.4. 禁用不需要的默认帐户 .................................................. - 6 -3. 密码安全 ................................................................................... - 7 -3.1. 设置强密码 ...................................................................... - 7 -3.2.设置密码策略 .................................................................. - 7 -4. AIX系统日常检查 ................................................................... - 9 -1. 远程访问控制1.1. 登陆限制要防止潜在黑客较难通过猜测密码来攻击系统，请在/etc/security/login.cfg 文件中设置登陆控制： 属性 用于PtYs(网络) 用于TTYs 建议值注释Sad_enabled Y Y false 很少需要“安全注意键”。

SSH简单使用教程SSH（Secure Shell）是一种安全协议，旨在通过加密技术在网络中安全地传输数据。

它是一种远程登录协议，可以让用户通过互联网远程登录到远程服务器或远程主机上，并在感到安全的情况下执行命令。

SSH是替代传统不安全协议（如Telnet）的首选工具。

使用SSH，可以安全地远程管理和传输文件，而无需担心信息泄露和攻击。

本文将介绍SSH的基本使用方法，并提供一些SSH的实际应用场景。

1.配置SSH在开始使用SSH之前，需要做一些初始配置。

首先，在远程服务器上安装SSH服务，并确认SSH服务已经启动。

这可以通过以下命令来检查：```service ssh status```如果SSH服务未启动，可以使用以下命令启动：```service ssh start```另外，如果你使用的是Linux系统，需确保OpenSSH服务器软件包已经安装。

可以使用以下命令安装：```sudo apt-get install openssh-server```2.连接到远程服务器要连接到远程服务器，需要知道远程服务器的IP地址和登录凭据（用户名和密码）。

可以使用以下命令连接：``````其中，username是登录远程服务器的用户名，ip_address是远程服务器的IP地址。

3.密钥认证SSH还支持密钥认证，这是一种更安全和便捷的登录方式。

使用密钥认证，用户将生成一对密钥（公钥和私钥），将公钥放在远程服务器上，然后使用私钥进行登录。

要使用密钥认证，首先需要生成密钥对。

可以使用以下命令生成密钥对：```ssh-keygen -t rsa -b 4096```该命令将要求您提供保存密钥对的路径和密码。

生成密钥对之后，可以使用以下命令将公钥复制到远程服务器上：``````然后你就可以使用私钥进行登录了：``````4.SSH端口转发SSH还提供了端口转发功能，可以将本地端口转发到远程服务器上。

这对于访问位于防火墙后面的服务器或本地网络服务非常有用。

power小型机AIX ssh安装配置文档文档信息(文档编号IBM AIX-122)文档修订记录注：技术交流ymzhu2005163.目录一、AIX 安装并启用openssh31.1 ssh用途31.2 安装软件35二、SSH无法登录AIX的常见原因与解决方法52.1、sshd子系统没启动5如何检查是否启动？6如何启动sshd子系统？62.2、没有安装openssh6怎么知道是否安装了openssh？62.3、端口配置错误7查看当前端口？72.4、修改了openssh端口，但没有重启服务72.5、修改了openssh端口，但是端口冲突了72.6、协议不匹配7附件相关资料81、查看ssh进程82、重启sshd服务83、/etc/ssh/sshd_config配置文件示例8一、AIX 安装并启用openssh1.1 ssh用途主要在ssh远程登录和安装Oracle数据库时使用。

在对应的系统安装盘内，有响应的ssh安装包，尽量使用对应版本的ssh安装包，不然会有首先将系统光盘放进光驱内，使用命令#smitty easy_install重启机器，查看openssh有没有安装并启动。

一般安装至此，就可以正常登录到ssh界面了安装过的文件集：lslpp -l | grep ssh查看ssh服务：lssrc -a | grep ssh启动ssh服务：startsrc -s sshd停止ssh服务：stopsrc -s sshd二、SSH无法登录AIX的常见原因与解决方法2.1、sshd子系统没启动客户端登录时报错：The remote system refused the connection.如果是操作系统刚刚重启，那么稍等一下，等它启动完成。

否如此，请检查它是否启动。

如何检查是否启动？已启动：# lssrc -s sshdSubsystem Group PID Statussshd ssh 208930 active未启动：# lssrc -s sshdSubsystem Group PID Statussshd ssh inoperative对于服务未启动这种问题，我们只要启动sshd子系统即可解决问题。

AIX5.3+HA5.4双机互为主备方式配置指导目录1、安装HA (1)2、配置HA (3)2.1配置准备 (4)2.2配置双机拓扑结构 (7)2.3配置双机资源 (11)AIX5.3+HA5.4双机互为主备方式配置指导1、安装HA1. 任务说明安装HA之前要先完成AIX5L操作系统的安装，要求达到AIX5.3，并有准备好的操作终端。

HA的安装与AIX下其他软件安装相同，一般是从光盘介质直接安装，补丁则可以为光盘或者打包为软件包的形式。

下面以AIX5.3+HA5.4为例给出HA的安装以及补丁安装步骤。

说明：本文操作步骤均以root用户通过smitty菜单方式进行，每个步骤完成，可使用Esc ＋3 / F3 回退到上一步，使用Esc+4/F4打开配置项值，使用Esc+7/F7在配置项值列表中选择（可多选），使用 Esc＋0/F10退出smitty 配置环境，Enter 确认配置参数。

另外，相关菜单项仅解释步骤必须项，其余不做使用描述。

2. 操作指引创建cdrom，用于从光盘安装#smitty cdrfs出现菜单项中选择：Add a CDROM File System出现如下菜单项：DEVICE name cd0* MOUNT POINT [/cdrom]Mount AUTOMATICALLY at system restart? yes使用Esc+4/F4选择DeviceName，一般为cd0填充MountPoint也就是光盘mount路径，一般为/cdrom系统启动后是否自动mount，一般为yes，如为no后续如使用可手工mount；然后回车确定配置项，cdrom创建即可完成。

安装HA#smitty install_latest出现菜单项中选择：Install and Update from ALL Available Software出现如下菜单项（仅列出需要变更项）：INPUT device / directory for software /dev/cd0* SOFTWARE to install []PREVIEW only? (install operation will NOT occur) noCOMMIT software updates? noSAVE replaced files? yes更改commit software updates为no，save replaced files为yes然后光标移至Software to install使用Esc+4/F4列出各软件包，使用Esc+7/F7选择列表中出现的如下软件包：cluster.adt.escluster.escluster.es.cfscluster.es.clvmcluster.es.cspoccluster.es.pluginscluster.es.worksheetscluster.licensecluster.manEnter后确认进行安装，完成后界面有结果提示OK，如失败一般是要需要预先完成的其他软件的安装版本太低或者未安装，此时需要获取到对应软件包先完成这类软件的安装再行安装HA。

文档编号：AIX系统安全配置手册2006年5月文档信息分发控制版本控制AIX系统安全加固手册1.系统维护升级加固1．下载系统推荐维护包在AIX操作系统中，补丁修正软件包分为维护包和推荐维护包：维护包(Maintenance Levels，简称ML) 由从AIX 4.3 的基准文件集更新后的一系列文件集组成。

每个文件集的更新都是累计的，即它包含了AIX 4.3发布以来的所有那个文件集的补丁，并替换了所有以前的更新。

维护包(ML)的命名规则是4位的VRMF：V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fix可以用oslevel来判定当前系统中的维护包版本。

可以通过安装ML来升级操作系统的改进版号modification，例如，从4.3.0.0升级到4.3.3.0。

推荐维护包(Recommended Maintenance，简称RM)是由一系列适用于最新的ML的文件集组成的软件包，它由一系列经过较多实测过的更新的文件集组成。

通过安装RM，可以使你的系统拥有较新的文件集，但它不能升级系统版本。

推荐维护包(RM)的命名规则是4位的VRMF，再加两位数字后缀：V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fixRM-推荐维护包Recommended Maintenance 如4330-01 是4330 的第1个推荐维护包(RM)。

可以用以下的命令来判定是否4330-01已经安装在系统里，oslevel将仍然显示4.3.3.0,表示系统的ML仍是4330：instfix -ik 4330-01_AIX_ML我们可以通过该网站（）下载ML或RM，并通过gzip解压缩，然后按照如下提示的详细信息进行安装。

2．解压缩推荐维护包我们建议将推荐维护包解压缩至/usr/sys/inst.imagescd /tmp/mlgzip -d *.tar.gzcd /usr/sys/inst.imagesfind /tmp/ml -name \*.tar -exec tar -xvf {} \;rm –rf /tmp/ml3．用df检查系统硬盘空间大小，确保/，/usr，/var，/tmp等目录有足够的空间。

目录AIX系统的安装 (1)AIX系统安装后要做的事 (4)系统参数配置 (9)HA安装及配置 (11)IBM C 4.3 For AIX的安装 (26)AIX上为rootvg做镜像 (31)解除镜像 (33)关闭和打开dtlogin（CDE图形界面） (35)镜像盘mksysb恢复到单个磁盘 (37)mksysb磁带备份 (37)磁带恢复备份 (37)AIX上克隆rootvg的操作方法 (37)AIX系统补丁下载网站 (40)AIX系统的安装安装介质与方式AIX操作系统的安装可以：1）通过Tape安装。

需要16M RAM。

PCI总线的RS/6000系列小型机不支持该方式。

2）通过CD-ROM安装。

需要有8M RAM.3）通过网络安装。

这需要使用AIX Network Install Manager (NIM)来实现。

系统支持通过Token Ring 、FDDI、ethernet的安装。

4）预先安装(Preinstall).在购买时选择“预装操作系统”。

AIX操作系统的安装方式（Installation Method）有以下四种：完全覆盖安装：操作系统被安装在rootvg的第一块硬盘上，这将覆盖原系统中所有的系统保留目录。

保留安装：这种安装方式可以保留操作系统的版本不变，同时保留 rootvg上的用户数据，但将覆盖/usr 、/tmp、/var 和/ 目录。

用户还可以利用/etc/preserve.list指定系统安装时需要保留的文件系统。

默认的需保留的文件系统为/etc/filesystem 中所列。

升级安装：这种安装方式用于操作系统的升级，这将覆盖/tmp目录。

这是系统默认的安装方式。

备份带安装：恢复用mksysb命令生成的安装带中/image.data中指定的文件系统，这种安装方式用于系统（rootvg）的复制。

BOS（Base Operating System）安装? 打开主机电源。

? 连接好系统终端，把第一张安装介质（磁带、光碟）插入驱动器。

AIX上安装OpenSSH2010年08月31日星期二 13:351、软件下载：openssl（9.8.602）：/d/96e7fddd00c8ead33336f20846611565c4e7d41f23fe 6500openssh（4.7_new5302）：/d/3af216b357d0fbc71320a55e7d087d1e3fa76259efdb 4e00以上两个软件包均为installp格式，只能在5.2/5.3/6.1上安装。

跟早期的aix版本（比如：4.3/5.1)的openssl为RPM格式不同。

2、安装步骤1)把安装包ftp到目标主机AIX53:/tmp/openssl#ls -ltotal 13064-rw-r----- 1 root system 6684195 Aug 12 16:52openssl-fips.12.9.8.1101.tar.ZAIX53:/tmp/openssl#cd ../opensshAIX53:/tmp/openssh#ls -ltotal 10096-rw-r----- 1 root system 5168111 Aug 12 16:52openssh_5.0.0.5302_61.tar.z2）解压AIX53:/tmp/openssl#uncompress openssl.9.8.602.tar.ZAIX53:/tmp/openssl#tar xvf openssl.9.8.602.tarAIX53:/tmp/openssh#gunzip openssh-4.7_new5302.tar.zAIX53:/tmp/openssh#tar xvf openssh-4.7_new5302.tar3）安装必须先安装openssl，然后再安装openssh。

安装openssl：geninstall -I "a -cgNQqwXY -J" -Z -d /tmp/openssl -f File 2>&1安装成功后的提示：安装openssh：geninstall -I "a -cgNQqwXY -J" -Z -d /tmp/openssh -f File 2>&1安装成功后的提示：当然，也可以使用smit install来安装。

AIX6.1配置PowerHA5.5 准备工作1）、IP规划2）、修改/etc/hosts文件#vi /etc/hosts注：分别在两个节点上执行。

3）、配置IP 地址：略1、扩展拓朴配置请尽量在生产节点上执行以下操作：执行命令：bash-3.2# smitty hacmp1.1、配置集群Extended Configuration—Extended Topology Configuratio ——Configure an HACMP Cluster ———Add/Change/Show an HACMP Cluster图1、创建一个名为tsmserver的集群图2、集群已创建完成1.2、配置节点Extended Configuration—Extended Topology Configuratio——Configure HACMP Nodes———Add a Node to the HACMP Cluster图3、添加节点st01图4、添加节点st02 1.3、配置网络Extended Configuration—Extended Topology Configuratio——Configure HACMP Networks———Add a Network to the HACMP Cluster图5、配置网卡类型的网络图6、配置网络选项1.4、配置通信设备Extended Configuration—Extended Topology Configuratio——Configure HACMP Communication Interfaces/Devices———Add Communication Interfaces/Devices图7、添加通信接口和设备图8、选择通信类型为通信接口图9、选择一个网络图10、添加st01的通信接口1图11、添加st01的通信接口2图12、添加st02的通信接口1图13、添加st02的通信接口2 1.5、配置永久IPExtended Configuration—Extended Topology Configuratio——Configure HACMP Persistent Node IP Label/Addresses———Add a Persistent Node IP Label/Address图14、选择节点st01图15、添加节点st01的永久IP图16、选择节点st02图17、添加节点st02的IP 2、扩展资源配置2.1、配置服务IPExtended Configuration—Extended Resource Configuration——HACMP Extended Resources Configuration ———Configure HACMP Service IP Labels/Addresses————Add a Service IP Label/Address图18、选择一个服务IP类型图19、网络名称图20、添加服务IP 2.2、配置资源组Extended Configuration—Extended Resource Configuration——HACMP Extended Resource Group Configuration———Add a Resource Group图21、添加资源组2.3、资源组配置服务IPExtended Configuration—Extended Resource Configuration——HACMP Extended Resource Group Configuration———Change/Show Resources and Attributes for a Resource Group图22、选择需要修改的资源组图23、为资源组配置服务IP 2.4、同步扩展配置Extended Configuration—Extended Resource Configuration (no)——Extended Verification and Synchronization图24、同步扩展配置图25、同步扩展配置完成图26、同步完成后查看节点st01的网络配置图27、同步完成后查看节点st02的网络配置3、启动HACMP服务System Management (C-SPOC)—Manage HACMP Services——Start Cluster Services图28、启动HACMP服务图29、启动HACMP服务后，在节点st01上已经看到服务IP：10.20.76.18 4、配置共享存储4.1、配置并发卷组System Management (C-SPOC)—HACMP Concurrent Logical Volume Management——Concurrent Volume Groups———Create a Concurrent Volume Group图30、选择需要创建并发卷组的节点名称图31、选择一个在两个节点上都能看到的一个物理卷图32、选择卷组类型为Big图33、创建一个名为tsmvg的并发卷组4.2、配置共享文件系统System Management (C-SPOC)—HACMP Logical Volume Management——Shared File Systems———Enhanced Journaled File Systems————Add an Enhanced Journaled File System图34、选择共享卷组图35、添加共享文件系统选项4.3、配置网络Extended Configuration—Extended Topology Configuratio——Configure HACMP Networks———Add a Network to the HACMP Cluster图36、选择一个网络类型图37、添加网络4.4、配置通信设备Extended Configuration—Extended Topology Configuratio——Configure HACMP Communication Interfaces/Devices———Add Communication Interfaces/Devices图38、添加通信接口或设备图39、添加通信设备注：重复以上步骤，为st02添加通信设备图41、添加通信接口和设备图42、添加通信设备图43、添加一个通信设备至节点st024.5、资源组配置共享存储Extended Configuration—Extended Resource Configuration——HACMP Extended Resource Group Configuration———Change/Show Resources and Attributes for a Resource Group图44、资源组配置共享卷组tsmvg 4.6、同步扩展配置Extended Configuration—Extended Resource Configuration——Extended Verification and Synchronization图45、同步扩展配置图46、同步完成后，可以看到hdisk31已经分配到tsmvg中，并且状态为concurrent（并发）5、重新启动HACMP服务5.1、停止HACMP服务System Management (C-SPOC)—Manage HACMP Services——Stop Cluster Services图47、停止HACMP服务5.2、启动HACMP服务System Management (C-SPOC)—Manage HACMP Services——Start Cluster Services图48、启动HACMP服务图49、启动服务完成后，可以看到st01上已经挂载了共享的文件系统。

AIX操作系统安全配置手册许新新***************.com2011-6-8 版本号：V1.0目录1. 引言 (2)2. 用户管理 (2)2.1 用户账号安全设置 (2)2.2 删除一个用户账号 (3)2.3 禁止root用户直接登录 (4)2.4 用户登录审计 (4)2.5 密码规则设置 (6)2.6 文件和目录的默认访问权限 (6)2.7 用户错误登录次数过多导致账号被锁定 (7)2.8 查看密码的上次修改时间 (7)2.9 chpasswd和pwdadmin命令的使用 (8)3. 网络安全 (9)3.1 安装SSH文件集并设置 (9)3.2 TELNET和SSH的安全性比较 (10)3.3 禁止TELNET、FTP、RLOGIN等网络服务 (11)3.4 限制某些用户FTP登录 (12)3.5 设置目录的FTP访问权限 (12)3.6 将用户FTP访问限定在自己的$HOME目录 (15)3.7 实现基于IP地址的访问控制 (15)3.8 查看当前的TCPIP网络连接 (18)4. 系统安全管理 (19)4.1 设置用户终端长时间不操作后自动退出 (19)4.2 设置NTP网络时钟协议 (20)4.3 停止NFS服务 (22)4.4 设置用户limits参数 (23)4.5 wtmp文件的使用 (24)1. 引言AIX作为IBM Power系列开放平台服务器的专用操作系统，属于UNIX操作系统的一个商业版本。

作为企业级服务器的操作平台，安全性是AIX必备的一个重要特性。

由于我们的小型机上往往运行着客户的核心生产业务，因此对于系统的安全设置往往会有着严格的要求。

2. 用户管理AIX是一个多用户操作系统，多个用户要在同一个系统环境中协同工作，用户访问权限的设置、用户作业的相互隔离、用户系统资源的限制，都是AIX操作系统不可或缺的功能。

2.1 用户账号安全设置为了保证整个操作系统的安全，每个用户账号必须满足如下安全设置要求：（1）每个系统管理员应该设置单独的账号，不允许多个管理员共用一个账号；（2）root用户不允许直接登录，必须通过其他用户登录后，通过su命令获得root用户权限；（3）禁用或者删除不使用的系统账号；（4）设置必要的密码规则。

SSH服务配置范文SSH（Secure Shell）是一种网络协议，用于在不安全的网络中安全地传输数据。

它的主要功能是远程登录和执行命令，通过SSH可以在远程服务器上执行各种操作，而无需直接物理访问服务器。

本文将介绍SSH服务的配置，包括安装和设置SSH服务、配置SSH服务的安全性以及了解SSH的高级功能。

1.安装和设置SSH服务：a. 首先，需要在服务器上安装SSH软件包。

可以使用包管理器来安装，例如在Ubuntu上可以使用apt-get命令，而在CentOS上可以使用yum命令。

c.在配置文件中，可以设置SSH服务的各种参数。

常见的配置参数包括监听的端口号、允许访问的用户名、是否允许远程登录等。

d. 设置完成后，重新启动SSH服务以使配置生效。

可以使用命令service sshd restart（对于CentOS）或service ssh restart（对于Ubuntu）来重启服务。

2.配置SSH服务的安全性：a. 为SSH服务配置防火墙规则，以限制对SSH服务的访问。

可以使用iptables或ufw等工具来配置防火墙规则。

b. 禁用不必要的SSH服务。

可以检查ssh配置文件中的参数，确保只允许所需的用户登录服务器。

c.启用SSH的公钥身份验证，以增强账户的安全性。

公钥身份验证使用密钥对来进行身份验证，而不是传统的用户名和密码。

d. 为SSH服务配置自动断开连接的超时时间，以防止长时间的空闲连接。

这可以通过配置文件中的参数ClientAliveInterval和ClientAliveCountMax来实现。

3.了解SSH的高级功能：a. 创建和使用SSH密钥对。

可以使用ssh-keygen命令来生成SSH密钥对，其中包括私钥和公钥。

私钥应该保持机密，而公钥可以放在服务器上。

b. 使用SSH代理。

SSH代理允许在多个服务器之间进行无密码的跳转。

可以使用ssh-agent命令来启用代理，并使用ssh-add命令将私钥添加到代理中。

AIX6.1系统安装配置手册一、检查收集 (3)二、准备 (3)三、AIX系统安装 (3)3.1 AIX安装方式简介 (3)3.2 AIX系统光盘安装具体步骤 (4)3.3通过定制的mksysb磁带安装 (6)3.3.1设置启动顺序 (7)3.3.2选择install from a System Backup的安装方式 (10)3.3.3开始安装 (11)3.3.4安装完成后操作系统自动重启动 (12)3.4安装bundles软件 (12)3.5安装单独的软件包 (13)3.6安装中文环境软件包 (15)3.7打Fix packs补丁 (16)3.8验证软件安装 (17)3.9完成操作系统安装 (17)3.10镜像rootvg (18)四、AIX系统配置及参数修改 (20)4.1设置主机名 (20)4.1.1hostname设置 (20)4.1.2登陆提示符PS1设置 (21)4.2配置网卡绑定、IP地址 (21)4.2.1网卡绑定配置 (21)4.2.2解绑网卡 (23)4.2.3IP地址配置 (24)4.2.4IPV4升级IPV6 (25)4.3配置网络路由 (27)4.3.1配置default gateway (27)4.3.2配置静态路由 (27)4.3.3检查路由配置 (28)4.4设置系统时区及时间 (28)4.5参数设置 (30)4.6安全设置 (31)4.6.1关闭不使用的系统服务 (31)4.6.2禁止不用的用户登录 (31)4.6.3通过IP限制用户远程登录 (32)4.6.4 FTP配置 (34)4.7SSH安装 (36)4.7.1软件安装 (36)4.7.2配置SSH (38)4.8LVM管理 (46)4.8.1添加硬盘 (47)4.8.2修改磁盘属性的命令chpv (47)4.8.3显示物理卷的信息 (48)4.8.4删除物理卷 (48)4.8.5卷组相关 (48)4.8.6逻辑卷文件系统 (50)4.9创建用户、组 (51)4.10 Paging Space (52)4.11 安装中文语言包 (55)4.12安装Bash shell (58)4.13 NTP服务配置 (59)4.14NFS配置 (62)4.14.1常规配置 (62)4.14.2做光驱NFS映射 (64)4.14.3AIX中NFS的配置示例 (66)4.15常用备份恢复命令 (72)4.16限制root用户通过telnet/ssh/rlogin登录至power服务器 (75)4.17ASMI(超级系统管理口)的使用 (75)4.18 数据库和应用自启动脚本配置 (78)4.19 AIX中samba Server的配置方法 (78)4.20AIX中普通用户拥有sqlplus的执行权限配置方法 (79)五、附录.系统补丁介绍及安装下载步骤 (80)TL是什么？ (80)SP是什么？ (81)CSP是什么？ (81)IF是什么？ (82)Fileset是什么？ (82)PTF是什么？ (82)APAR是什么? (83)怎么样安装AIX 补丁或者补丁集 (83)安装文件集 (84)安装补丁 (85)安装补丁集 (85)下载61-03-06-1034的示列 (86)一、检查收集检查设备外观完整性，加电测试，检查附带软件、光盘证书齐全性。

AIX 操作系统详细配置步骤1）设置系统时区（非夏令时制、北京时区）和时间。

设置系统时区：“smitty chtz ”。

（如果在“安装助手阶段”配置过时区，这一步可以忽略）可以忽略）设置系统时间：“smitty date ”。

注意：在设置系统时间前必须确保时区设置正确，时区正确与否可用命令“echo $TZ ”查看（在时区不正确的情况下，设置时间是徒劳的）。

设置完时区后必须重启系统才能生效。

重启后可用命令“echo $TZ ”查看时区，正确的时区显示是BEIST-8。

然后再对系统时间作调整。

系统时间可用命令“date ”查看。

”查看。

2) 修改操作系统参数需要修改的操作系统参数包括支持的用户最大进程数、High water mark 、Low water mark 。

设置支持的用户最大进程数：“chdev chdev ––l sys0 l sys0 ––a maxuproc=2048” 设置High water mark ：“chdev chdev ––l sys0 l sys0 ––a maxpout=8193” (对于Power5以前的旧机器,建议设置为513,对于连接7133 SSA 的阵列,一定要设置为33)设置Low water mark ：“chdev chdev ––l sys0 l sys0 ––a minpout=4096” (对于Power5以前的旧机器,建议设置为256,对于连接7133 SSA 的阵列,一定要设置为24)验证方法：验证方法：验证支持的用户最大进程数：“lsattr lsattr ––El sys0 |grep maxuproc ” 显示结果应该为：显示结果应该为：maxuproc2048 Maximum number of PROCESSES allowed per user True验证High water mark 值：“lsattr lsattr ––El sys0 |grep maxpout ” 显示结果应该为：显示结果应该为：maxpout8193 HIGH water mark for pending write I/Os per file True 验证Low water mark 值：“lsattr lsattr ––El sys0 |grep minpout ”显示结果应该为：显示结果应该为：minpout4096 LOW water mark for pending write I/Os per file True3) 设置Dump 设备参数dump lv 初始大小调整原则：规定初始大小为内存大小的三分之一。

AIX下默认不开通SSH的，倒是开通telnet。

这是既不安全也不方便的，而且我们的产品对服务端的交互基本是基于SSH的。

下面我们来手动安装SSH（命令部分我用红色字体标出）：1、下载SSH所需要包体我已经放在\\ap11191\ftpShared\TDA\AIX SSH里了2、FTP上传C:\Users\bsui>ftp 10.1.0.63Connected to 10.1.0.XX.220 FTP server (Version 4.2 Fri Feb 10 15:35:23 CST 2012) ready.User (10.1.0.63:(none)): oracle331 Password required for oracle.Password:230-Last unsuccessful login: Wed Mar 27 08:14:49 PDT 2013 on /dev/pts/5 fromalvqasl44.prod.quest.corp230-Last login: Mon Apr 1 17:11:19 PDT 2013 on ftp from ::ffff:10.30.176.47230 User oracle logged in.ftp>bin200 Type set to I.ftp>put D:\down\ssh\openssl.9.8.410.tar.Z /home/oracle/openssl.9.8.410.tar.Z200 PORT command successful.150 Opening data connection for /home/oracle/openssl.9.8.410.tar.Z.226 Transfer complete.ftp: 6696369 bytes sent in 0.57Seconds 11645.86Kbytes/sec.ftp>put D:\down\ssh\openssh-4.5p1-r2.tar.Z /home/oracle/openssh-4.5p1-r2.tar.Z200 PORT command successful.150 Opening data connection for /home/oracle/openssh-4.5p1-r2.tar.Z.226 Transfer complete.ftp: 11735495 bytes sent in 1.00Seconds 11735.50Kbytes/sec.3、为了安装方便，创建安装目录进入到FTP上传好的目录，这里是oracle的home目录。