AIX_SSH配置手册

AIX系统安全配置1 身分识别1.1 账户设定只有特定的授权帐户可用来增加用户及群组，此为AIX默认值且不应被更改；一般帐户不应该有多余的管理权限，此为AIX默认值且不该被更改；只有特定的授权帐户可用来删除用户及群组、修改及打印所有帐户资料。

以用来防止非法存取系统，或集中攻击有特别权限的帐户，此为AIX默认值且不该被更改；只有特定的授权帐户可用来检查使用者状态。

为防止入侵者存取非公开系统资料，用户状态资料仅可由特定帐户取得。

这一点在AIX仅部份可行，因为如果使用者锁定，则其它使用者无法看到此使用者，但却可使用 who 命令来检查登陆的帐户；只有特定的授权帐户可用来打印所有群组信息、锁定或未锁定的帐户。

以用来防止非法存取系统，或集中攻击有特别权限的群组，此为AIX默认值且不该被更改；只有特定的授权帐户可用来更改授权帐户数目。

太多的用户同时使用某应用系统可能影响系统稳定性，此为AIX默认值且不该被更改；系统管理员群组的人员不可存取所有资源，管理群组的人员应只能存取工作上所需用的资源。

存取所有资源不应被允许，此为AIX默认值且不该被更改；一般用户不可存取特定系统文件及命令。

系统命令及程序只能被特定帐户使用，一般用户不可存取此类功能。

应通过权限控制管理来进行限制，此为AIX默认值且不该被更改；权限的控制管理应在文件产生时即被设置，仅有文件的产生者能读取、写入、执行或删除此文件，使用者的 umask设定为仅允许文件产生者存取 (例外：root 用户可存取系统所有文件)。

Umask的设定控制了文件除了删除外的权限，删除的权限则根据文件所在目录的权限位来决定；最少权限机制应被应用，以确保应用程序以最少权限执行，所有应用程序的授权应保持最低权限；只有特别的授权帐户可安装软件或加入新设备到系统中，并安装安全的更新修正程序，此为AIX默认值且不该被更改；存取系统资源取决于使用者及群组的身份，使用者的权限可能多于其群组的权限；1.2 推荐用户属性推荐以下属性：每个用户应有一个不与其它用户共享的用户标识。

试验环境：AIX 5.3下载安装rpm工具：ftp:///aix/freeSoftware/aixtoolbox/INSTALLP/ppc/rpm.rte installp -YqacXgd rpm.rte rpm.rte去/ 下载pware的各个软件包。

安装当前目录所有 .bff 文件：installp -YX -d . allSelected Filesets-----------------pware53.apache.rte 2.2.8.0 # Apache 2.2.8pware53.apache.rte 2.2.9.0 # Apache 2.2.9pware53.apr-util.rte 1.2.12.0 # Apache Portable Runtime Util... pware53.apr.rte 1.2.12.0 # Apache Portable Runtime 1.2.12 pware53.base.rte 5.3.0.0 # pWare base for 5.3pware53.bash.rte 3.2.39.0 # GNU bash 3.2pware53.bdb.rte 4.4.20.4 # Berkeley DB 4.4.20pware53.bind.rte 9.5.0.0 # ISC bind 9.5.0pware53.bison.rte 2.3.0.0 # GNU bison 2.3pware53.bzip2.rte 1.0.4.1 # bzip2 1.0.4pware53.cfengine.rte 2.2.6.0 # cfengine 2.2.6pware53.clearsilver.rte 0.10.5.0 # ClearSilver 0.10.5pware53.ctdb.rte 1.0.47.0 # CTDB 1.0pware53.curl.rte 7.18.1.0 # cURL 7.18.1pware53.cx_Oracle.rte 4.4.0.0 # cx-Oracle for Python 4.4pware53.cyrus-sasl.rte 2.1.22.0 # Cyrus SASL 2.1.22pware53.diffutils.rte 2.8.1.0 # GNU diffutils 2.8.1pware53.expat.rte 2.0.1.0 # expat 2.0.1pware53.freeradius.rte 1.1.7.0 # FreeRADIUS 1.1.7pware53.freetds.rte 0.64.0.0 # freeTDS 0.64pware53.freetype.rte 2.3.5.0 # freetype 2.3.5pware53.gd.rte 2.0.35.0 # gd 2.0.35pware53.gdb.rte 6.7.1.0 # GNU gdb 6.7.1pware53.gettext.rte 0.17.0.0 # GNU gettext 0.17pware53.gmp.rte 4.2.2.0 # gmp 4.2.2pware53.gnupg.rte 1.4.7.0 # gnupg 1.4.7pware53.iODBC.rte 3.52.6.0 # iODBC 3.52.6pware53.krb5.rte 1.6.3.0 # MIT Kerberos 1.6.3pware53.libiconv.rte 1.12.0.0 # GNU libiconv 1.12pware53.libjpeg.rte 6.2.0.0 # jpeg 6bpware53.libmcrypt.rte 2.5.8.0 # libmcrypt 2.5.8pware53.libpng.rte 1.2.25.0 # libpng 1.2.25pware53.libtiff.rte 3.8.2.0 # libtiff 3.8.2pware53.libtool.rte 1.5.26.0 # GNU libtool 1.5.26pware53.libungif.rte 4.1.4.0 # libungif 4.1.4pware53.libxml2.rte 2.6.31.0 # libxml2 2.6.31pware53.libxslt.rte 1.1.22.0 # libxslt 1.1.22pware53.m4.rte 1.4.10.0 # GNU m4 1.4.10pware53.make.rte 3.81.0.0 # GNU make 3.81pware53.mcrypt.rte 2.6.7.0 # mcrypt 2.6.7pware53.mhash.rte 0.9.9.0 # mhash 0.9.9pware53.mm.rte 1.4.2.0 # mm 1.4.2pware53.mod_auth_kerb.rte 5.3.0.0 # Apache mod_auth_kerb 5.3pware53.mod_perl.rte 2.0.4.0 # Apache mod_perl 2.0.4pware53.mpfr.rte 2.3.1.0 # mpfr 2.3.1pware53.mysql.rte 5.0.51.2 # MySQL 5.0.51bpware53.neon.rte 0.28.2.0 # neon 0.28.2-snmp.rte 5.4.1.0 # Net-SNMP 5.4.1pware53.oic.rte 10.2.0.3 # Oracle Instant Client 10.2.0.3 pware53.openldap.rte 2.3.39.0 # OpenLDAP 2.3.39pware53.openssh.rte 5.0.1.1 # OpenSSH 5.0p1pware53.openssl.rte 0.9.8.8 # OpenSSL 0.9.8hpware53.patch.rte 2.5.4.0 # GNU path 2.5.4pware53.pcre.rte 7.7.0.0 # pcre 7.7pware53.perl.rte 5.10.0.0 # Perl 5.10.0pware53.php.rte 5.2.6.1 # PHP 5.2.6 (Suhosin-Patch 0.9... pware53.popt.rte 1.7.0.0 # popt 1.7pware53.python.rte 2.5.2.0 # Python 2.5.2pware53.readline.rte 5.2.0.0 # GNU readline 5.2pware53.rsync.rte 3.0.2.0 # rsync 3.0.2pware53.rt.rte 3.6.6.0 # RT 3.6.6pware53.ruby.rte 1.8.6.111 # Ruby 1.8.6pware53.sablot.rte 1.0.3.0 # Sablot 1.0.3pware53.samba.rte 3.2.0.0 # Samba 3.2.0pware53.samba.rte 3.2.3.0 # Samba 3.2.3 + Clustering Option pware53.sqlite.rte 3.5.9.0 # SQLite 3.5.9pware53.svn.rte 1.4.6.1 # Subversion 1.4.6pware53.tcl.rte 8.4.16.0 # Tcl 8.4.16pware53.texinfo.rte 4.11.0.0 # GNU texinfo 4.11.rte 8.4.16.0 # Tk 8.4.16pware53.unixODBC.rte 2.2.12.0 # unixODBC 2.2.12pware53.unzip.rte 5.52.0.0 # unzip 5.52pware53.wget.rte 1.11.2.0 # GNU wget 1.11.2pware53.zip.rte 2.32.0.0 # zip 2.32pware53.zlib.rte 1.2.3.0 # zlib 1.2.3（只用ssh的话选择一下就好了，不过我贪多，那些工具都想要...）=================================================================配置sshsu -cd /opt/pware/etccp sshd_config.default sshd_configcp ssh_config.default ssh_config作必要的修改（如sshd_config 里PermitRootLogin no）ssh-keygen -d -f /opt/pware/etc/ssh_host_dsa_key -N ""ssh-keygen -b 1024 -f /opt/pware/etc/ssh_host_rsa_key -t rsa -N ""useradd sshdmkdir /var/emptychmod 700 /var/emptycp ssh_host_rsa_key ssh_host_keycp ssh_host_rsa_key.pub ssh_host_key.pub==========================制作ssh启动脚本：[root]#vi /etc/init.sshd#! /bin/sh## start/stop the secure shell daemoncase "$1" in'start')# Start the sshd daemonif [ -f /opt/pware/sbin/sshd ]; thenecho "starting SSHD daemon"/opt/pware/sbin/sshd &fi;;'stop')# Stop the ssh deamonPID=`/usr/bin/ps -ef |/usr/bin/grep sshd |/usr/bin/grep " 1 "|/usr/bin/grep -v @ |grep -vgrep|/usr/bin/awk '{print $2}'`if [ ! -z "$PID" ] ; then/usr/bin/kill ${PID} >/dev/null 2>&1fi;;*)echo "usage: /etc/init.sshd {start|stop}";;esac================================chmod +x /etc/init.sshdln -s /etc/init.sshd /etc/rc.d/rc2.d/S98sshdln -s /etc/init.sshd /etc/rc.d/rc2.d/K18sshd启动sshd: /etc/init.sshd start停止sshd: /etc/init.sshd stop=================================在/etc/inetd.conf 中注释掉telnet以及shell、login、exec等r系列的服务stopsrc -s inetdstartsrc -s inetdssh代替telnet完成=================================用ssh登录，进入sqlplus后，delete 和 backspace键反应不正确了，无法删除命令行文字。

AIX-SSH配置手册SSH配置完全手册前言为何使用 OpenSSH？您每天使用的标准网络服务（如 FTP、Telnet、RCP 和远程 Shell (rsh) 等）在封闭环境中运行良好，但使用这些服务在网络上传输的信息是未加密的。

任何人都可以在您的网络或远程计算机上使用包嗅探器查看交换的信息，有时甚至可以查看密码信息。

而且，使用所有此类服务时，在登录过程中用于自动登录的选项会受到限制，并且通常依赖于将纯文本密码嵌入到命令行才能执行语句，从而使登录过程变得更加不安全。

开发的安全 Shell (SSH) 协议可以排除这些限制。

SSH 能够为整个通信通道提供加密，其中包括登录和密码凭据交换，它与公钥和私钥一起使用可以为登录提供自动化身份验证。

您还可以将 SSH 用作基础传输协议。

以这种方式使用 SSH 意味着在打开安全连接后，加密通道可注意:在AIX上安装SSH , 需要安装OpenSSL 来获得支持 . 否则, 安装会不成功 , 报错信息提示也要先安装OpenSSL .OpenSSL可以登陆IBM官网下载 , SSH 软件从https:///project/showfiles.php?group_id=127997上下载 .环境说明实验环境机器为: M85 , P630 系统版本均为AIX 5.3根据系统版本来下载OpenSSL和OpenSSH的版本 .OpenSSL : openssl-0.9.7l-2.aix5.1.ppc.rpm OpenSSH : openssh-4.3p2-r2.tar.Z安装软件安装顺序为先安装OpenSSL , 后安装OpenSSH➢OpenSSL : 将openssl-0.9.7l-2.aix5.1.ppc.rpm包ftp到/tmp/ssh下.通过smitty installp安装 .如下图:➢OpenSSH : 将openssh-4.3p2-r2.tar.Z包ftp到/tmp/ssh下, 用命令:Zcat openssh-4.3p2-r2.tar.Z | tar -xvf -解包.Smitty installp 安装 .注意要先单独安装license. 后面再安装base包,都要选择ACCEPT new license agreements为yes.如下图:配置SSH软件安装完成后 , 可以通过lssrc –s sshd查看ssh后台程序有没启动 . 一般安装完ssh软件, 会自动激活该后台程序 . 如查看未激活 , 用 startsrc -s sshd来启动就可以.➢软件安装完成后 , 在/etc下会有ssh这个目录生成.➢修改sshd_config文件 , 为后面的2台机器之间互相访问不需要提供密码做准备 . 修改的内容如图红色的,visshd_config将前头的#号注释掉,启用就可以.AIX6105SP5版本中需要在/etc/ssh/sshd_config中修改.ssh/authorized_keys为~/.ssh/authorized_keys，否则系统重启后无法启动sshd进程。

AIX6.1升级openssh关于AIX 6.1的Openssh升级步骤的说明需要用到的工具有SecureCRTSecureFX升级文件包括Openssh-6.6p1-11.31.sd.gzOpenssl-1.0.1i-11.31.sd.gzZlib-1.2.8-11.31.sd.gz1、检查ssh版本sshd空格-version2、通过secureFX将文件传送至某文件夹记录下文件夹地址3、进入该设备4、进入该文件夹后解压缩三个文件gzip –d openssh-6.6p1-11.31.sd.gzgzip –d openssl-1.0.1i-11.31.sd.gzgzip –d zlib-1.2.8-11.31.sd.gz5、设置一个安装文件存放的目录举例：mkdir空格/home/test/upload/ssh/ssh66、将安装文件拷贝至安装文件存放的目录hostname#swcopy -v -s 解压缩目录/openssl-1.0.1i-11.31.sd openssl @/home/test/upload/ssh/ssh6hostname#swcopy -v -s 解压缩目录/zlib-1.2.8-11.31.sd zlib @ /home/test/upload/ssh/ssh6hostname#swcopy -v -s 解压缩目录/openssh-6.6p1-11.31.sd openssh @/home/test/upload/ssh/ssh67、为了避免意外，暂时开启T elnet服务hostname#vi /etc/inetd.conf 去掉配置文件中telnet前的#，然后重启进程。

vi进入后，点i进入插入模式，光标到需要删除的#前，点x点ESC，输入：wq，保存并退出。

hostname #/sbin/init.d/inetd stop //关闭进程hostname #/sbin/init.d/inetd start //重启进程-hostname#- hostname#ps -ef | grep sshipnet 10151 9743 2 13:41:16 pts/2 0:00 grep sshipnet 9741 9721 0 13:33:17 ? 0:00 sshd: ipnet@pts/2root 9721 9715 0 13:33:02 ? 0:00 sshd: ipnet [priv]root 9715 1 0 13:32:45 ? 0:00 /opt/ssh/sbin/sshd - hostname#kill -HUP 9715//找到/opt/ssh/sbin/sshd的进程，并结束ssh进程8、删除之前安装的openssh openssl zlibhostname#swremove空格选择需要删除的，TAB切换到菜单，在actions菜单下选择remove，然后file，exit退出9、安装新版SSH，SSL和ZLIBhostname#swinstall -s /home/test/upload/ssh/ssh6选中需要安装的三个文件，在actions里面选择install查看sshd数位版本hostname# file /usr/local/sbin/sshdhostname# ldd /usr/local/sbin/sshd第一次做可能会遇到找不到libz.so的情况，这时可以做一个链接hostname# ln空格–s空格/usr/local/lib/libz.so空格/usr/lib/hpux64/10、查看并停掉旧的ssh服务hostname# ps -ef | grep inetdroot 22351 21699 1 15:21:27 pts/1 0:00 grep sshroot 21685 9715 0 15:08:23 ? 0:00 sshd: boco4A [priv]root 9715 1 0 13:32:45 ? 0:00 /opt/ssh/sbin/sshdboco4A 21687 21685 0 15:08:23 ? 0:00 sshd: boco4A@pts/1 hostname# kill -9 971511、移除旧的启动程序，链接新的程序hostname#mv空格/opt/ssh/sbin/sshd空格/opt/ssh/sbin/sshd_20151103 //扔到旧的hostname#ln空格-s空格/usr/local/sbin/sshd空格/opt/ssh/sbin/sshdhostname#mv /usr/bin/ssh /usr/bin/ssh_oldhostname#ln -s /usr/local/bin/ssh /usr/bin/ssh12、启动ssh服务hostname#/opt/ssh/sbin/sshd13.运行ssh-keygen 生成私钥和密钥hostname #ssh-keygen -f /usr/local/etc/ssh_host_rsa_keyhostname#ssh-keygen -f /usr/local/etc/ssh_host_dsa_keyhostname#ssh-keygen -f /usr/local/etc/ssh_host_ecdsa_key14.查看ssh版本hostname#sshd –version15.关闭telnet服务。

Oracle10g在AIX5.3上的安装和卸载及AIX上SSH的安装-安装升级-...Oracle10g在AIX 5.3上的安装和卸载及AIX上SSH的安装AIX 5.3上安装Oracle 10.2.0.11、检查软硬件需求# oslevel -r5300-06Oracle 10gR2对AIX的系统要求：AIX 5L version 5.2, Maintenance Level 04 or laterAIX 5L version 5.3, Maintenance Level 02 or later--ML为06，所以AIX符合要求RAM：⾄少1G内存# lscfg -vl sys0sys0 System Object# lsattr -E-l sys0 -a realmemrealmem 2097152 Amount of usable physical memory in Kbytes False--物理内存为2G，符合要求SWAP：1024 MB ~ 2048 MB RAM的1.5倍2049 MB ~ 8192 MB 与RAM相等⼤于8192 MB RAM的0.75倍# lsps -aPage Space Physical Volume Volume Group Size %Used Active Auto Typepaging00 hdisk1 rootvg 4096MB 1 yes yes lvhd6 hdisk1 rootvg 512MB 7 yes yes lv⼤约4G的swap空间。

/tmp⽬录：400MB⾄少3G的磁盘空间⽤于安装Oracle软件[跳过，后⾯会⼿⼯创建lv及分区]1.2 GB ⽤于预装的数据库实例(可选)# df -mFilesystem MB blocks Free %Used Iused %Iused Mounted on/dev/hd4 1024.00 933.70 9% 1898 1% //dev/hd2 2048.00 659.87 68% 34305 7% /usr/dev/hd9var 64.00 22.64 65% 511 4% /var/dev/hd3 1024.00 988.61 4% 101 1% /tmp/dev/hd1 64.00 28.39 56% 195 2% /home/proc - - - - - /proc/dev/hd10opt 64.00 1.39 98% 1197 8% /opt/dev/ora9ilv 15360.00 4997.45 68% 71206 6% /dev9i /dev/oradatalv 4224.00 4223.04 1% 4 1% /oradata#getconf HARDWARE_BITMODE642、创建vg# lspvhdisk0 000b56cc003e6bce Nonehdisk1 000b76dffa31f5cc rootvg activepv即LVM[逻辑卷管理]中的物理卷-和物理磁盘⼀⼀对应hdisk0物理卷未分配vg。

第一章AIX操作系统的安装安装介质与方式AIX操作系统的安装可以：1）通过Tape安装。

需要16M RAM。

PCI总线的RS/6000系列小型机不支持该方式。

2）通过CD-ROM安装。

需要有8M RAM.3）通过网络安装。

这需要使用AIX Network Install Manager (NIM)来实现。

系统支持通过Token Ring 、FDDI、ethernet的安装。

4）预先安装(Preinstall).在购买时选择“预装操作系统”。

AIX操作系统的安装方式（Installation Method）有以下四种：完全覆盖安装：操作系统被安装在rootvg的第一块硬盘上，这将覆盖原系统中所有的系统保留目录。

保留安装：这种安装方式可以保留操作系统的版本不变，同时保留 rootvg上的用户数据，但将覆盖/usr 、/tmp、/var 和/ 目录。

用户还可以利用/etc/preserve.list指定系统安装时需要保留的文件系统。

默认的需保留的文件系统为/etc/filesystem中所列。

升级安装：这种安装方式用于操作系统的升级，这将覆盖/tmp目录。

这是系统默认的安装方式。

备份带安装：恢复用mksysb命令生成的安装带中/image.data中指定的文件系统，这种安装方式用于系统（rootvg）的复制。

BOS（Base Operating System）安装打开主机电源。

连接好系统终端，把第一张安装介质（磁带、光碟）插入驱动器。

在开机后按<F5>（图形终端）进入系统安装画面。

当终端显示如下信息时：☆☆☆☆☆☆Please define the system console☆☆☆☆☆☆Type a 1 and press enter to use this terminal as the system console.Type een 1 en druk op enter om deze terminal als de systeemconsole to gebruiken.Skrive tallet 1 og trykk paa enter for aa bruke denne terminalen som systemkonsoll.Pour definir ce terminal comme console systeme, appuyez sur 1puis sur entree.Taste 1 and ansch1iessend die eingabetaste druecken,umdiese datenstation als systemkonsole zu verwenden.Prenier I1 tasto 1 ed invio per usare questo terminal como consolo.Escriba 1 y pulse intro para utilizer esta terminal como consola del sistema.a)Tryck paa 1 och sedan paa enter om dy vill att haer terminalen ska vara systemkonsol键入“1”并回车（注意：键入的“1”不回显）选择主控台(5) 屏幕上将不断显示一些信息，几分钟后出现：>>> 1 Type 1 and press enter to have English during install.2 Type 2 en druk op enter om tijdens het installeren het Nederlands tekrijgen.3 Entrez 3 pour effectuer 1 installation en francais.4 Fr Installation in deutscher sprache 4 eingeben und die eingabetaste drcken.5 Immettere 5 e premereinvio per 1 installazione initaliona.6 Escriba 6 ypulse intro para usar el idioma espa ol durante la instalaci n.7 Skriv 7 och tryck ned enter=svenska vid installationen.88 Help？>>>Choice【1】:键入“1”后回车，选择语言环境为English这是系统安装和维护的主菜单。

power小型机AIX ssh安装配置文档文档信息(文档编号IBM AIX-122)文档修订记录注：技术交流ymzhu2005163.目录一、AIX 安装并启用openssh31.1 ssh用途31.2 安装软件35二、SSH无法登录AIX的常见原因与解决方法52.1、sshd子系统没启动5如何检查是否启动？6如何启动sshd子系统？62.2、没有安装openssh6怎么知道是否安装了openssh？62.3、端口配置错误7查看当前端口？72.4、修改了openssh端口，但没有重启服务72.5、修改了openssh端口，但是端口冲突了72.6、协议不匹配7附件相关资料81、查看ssh进程82、重启sshd服务83、/etc/ssh/sshd_config配置文件示例8一、AIX 安装并启用openssh1.1 ssh用途主要在ssh远程登录和安装Oracle数据库时使用。

在对应的系统安装盘内，有响应的ssh安装包，尽量使用对应版本的ssh安装包，不然会有首先将系统光盘放进光驱内，使用命令#smitty easy_install重启机器，查看openssh有没有安装并启动。

一般安装至此，就可以正常登录到ssh界面了安装过的文件集：lslpp -l | grep ssh查看ssh服务：lssrc -a | grep ssh启动ssh服务：startsrc -s sshd停止ssh服务：stopsrc -s sshd二、SSH无法登录AIX的常见原因与解决方法2.1、sshd子系统没启动客户端登录时报错：The remote system refused the connection.如果是操作系统刚刚重启，那么稍等一下，等它启动完成。

否如此，请检查它是否启动。

如何检查是否启动？已启动：# lssrc -s sshdSubsystem Group PID Statussshd ssh 208930 active未启动：# lssrc -s sshdSubsystem Group PID Statussshd ssh inoperative对于服务未启动这种问题，我们只要启动sshd子系统即可解决问题。

AIX5.3+HA5.4双机互为主备方式配置指导目录1、安装HA (1)2、配置HA (3)2.1配置准备 (4)2.2配置双机拓扑结构 (7)2.3配置双机资源 (11)AIX5.3+HA5.4双机互为主备方式配置指导1、安装HA1. 任务说明安装HA之前要先完成AIX5L操作系统的安装，要求达到AIX5.3，并有准备好的操作终端。

HA的安装与AIX下其他软件安装相同，一般是从光盘介质直接安装，补丁则可以为光盘或者打包为软件包的形式。

下面以AIX5.3+HA5.4为例给出HA的安装以及补丁安装步骤。

说明：本文操作步骤均以root用户通过smitty菜单方式进行，每个步骤完成，可使用Esc ＋3 / F3 回退到上一步，使用Esc+4/F4打开配置项值，使用Esc+7/F7在配置项值列表中选择（可多选），使用 Esc＋0/F10退出smitty 配置环境，Enter 确认配置参数。

另外，相关菜单项仅解释步骤必须项，其余不做使用描述。

2. 操作指引创建cdrom，用于从光盘安装#smitty cdrfs出现菜单项中选择：Add a CDROM File System出现如下菜单项：DEVICE name cd0* MOUNT POINT [/cdrom]Mount AUTOMATICALLY at system restart? yes使用Esc+4/F4选择DeviceName，一般为cd0填充MountPoint也就是光盘mount路径，一般为/cdrom系统启动后是否自动mount，一般为yes，如为no后续如使用可手工mount；然后回车确定配置项，cdrom创建即可完成。

安装HA#smitty install_latest出现菜单项中选择：Install and Update from ALL Available Software出现如下菜单项（仅列出需要变更项）：INPUT device / directory for software /dev/cd0* SOFTWARE to install []PREVIEW only? (install operation will NOT occur) noCOMMIT software updates? noSAVE replaced files? yes更改commit software updates为no，save replaced files为yes然后光标移至Software to install使用Esc+4/F4列出各软件包，使用Esc+7/F7选择列表中出现的如下软件包：cluster.adt.escluster.escluster.es.cfscluster.es.clvmcluster.es.cspoccluster.es.pluginscluster.es.worksheetscluster.licensecluster.manEnter后确认进行安装，完成后界面有结果提示OK，如失败一般是要需要预先完成的其他软件的安装版本太低或者未安装，此时需要获取到对应软件包先完成这类软件的安装再行安装HA。

AIX上安装OpenSSH2010年08月31日星期二 13:351、软件下载：openssl（9.8.602）：/d/96e7fddd00c8ead33336f20846611565c4e7d41f23fe 6500openssh（4.7_new5302）：/d/3af216b357d0fbc71320a55e7d087d1e3fa76259efdb 4e00以上两个软件包均为installp格式，只能在5.2/5.3/6.1上安装。

跟早期的aix版本（比如：4.3/5.1)的openssl为RPM格式不同。

2、安装步骤1)把安装包ftp到目标主机AIX53:/tmp/openssl#ls -ltotal 13064-rw-r----- 1 root system 6684195 Aug 12 16:52openssl-fips.12.9.8.1101.tar.ZAIX53:/tmp/openssl#cd ../opensshAIX53:/tmp/openssh#ls -ltotal 10096-rw-r----- 1 root system 5168111 Aug 12 16:52openssh_5.0.0.5302_61.tar.z2）解压AIX53:/tmp/openssl#uncompress openssl.9.8.602.tar.ZAIX53:/tmp/openssl#tar xvf openssl.9.8.602.tarAIX53:/tmp/openssh#gunzip openssh-4.7_new5302.tar.zAIX53:/tmp/openssh#tar xvf openssh-4.7_new5302.tar3）安装必须先安装openssl，然后再安装openssh。

安装openssl：geninstall -I "a -cgNQqwXY -J" -Z -d /tmp/openssl -f File 2>&1安装成功后的提示：安装openssh：geninstall -I "a -cgNQqwXY -J" -Z -d /tmp/openssh -f File 2>&1安装成功后的提示：当然，也可以使用smit install来安装。

AIX6.1+HACMP5.5+光纤交换机安装文档预览说明:预览图片所展示的格式为文档的源格式展示,下载源文件没有水印,内容可编辑和复制目录1 项目实施总体说明 (3)1.1 系统连接图 (3)1.2 标签说明 (4)2 AIX6.1.3安装和配置 (5)2.1 安装基本操作系统 (5)2.2 安装文件集................................................................................. 错误！未定义书签。

2.2.1 安装文件集 (9)2.2.2 安装Bundle (11)2.2.3 安装openssh (11)2.2.4 安装Oracle 10g R2 RAC需要的补丁包 (12)2.3 客户化配置 (12)2.3.1 文件系统调整 (12)2.3.2 操作系统版本确认 (13)2.3.3 调整swap空间 (13)2.3.4 做硬盘的镜像 (13)3 HACMP5.5安装和配置 (14)3.1 设计规划 (14)3.1.1 /etc/hosts文件设计 (14)3.2 实施前提 (14)3.2.1 创建Concurrent VG (14)3.2.2 网络配置 (17)3.3 安装HACMP (18)3.3.1 安装HACMP5.5 (18)3.3.2 修改文件 (19)3.4 配置HACMP (19)3.4.1 配置网络拓朴 (20)3.4.2 配置HACMP资源 (25)3.4.3 校验并同步HACMP配置 (27)3.4.4 启动/停止HACMP (28)3.5 附录 (29)3.5.1 相关文件 (29)4 光纤交换机配置 (31)4.1 配置前期工作 (31)4.2 激活license (31)4.3 配置光纤交换机 (36)4.4 配置信息 (41)5 EMC存储配置 (42)5.1 磁阵RAID组信息划分 (42)5.2 磁阵LUN信息划分 (43)5.3 AIX下powerpath基础操作 (44)6 配置Oracle rac ....................................................................................... 错误！未定义书签。

AIX操作系统安全配置手册许新新***************.com2011-6-8 版本号：V1.0目录1. 引言 (2)2. 用户管理 (2)2.1 用户账号安全设置 (2)2.2 删除一个用户账号 (3)2.3 禁止root用户直接登录 (4)2.4 用户登录审计 (4)2.5 密码规则设置 (6)2.6 文件和目录的默认访问权限 (6)2.7 用户错误登录次数过多导致账号被锁定 (7)2.8 查看密码的上次修改时间 (7)2.9 chpasswd和pwdadmin命令的使用 (8)3. 网络安全 (9)3.1 安装SSH文件集并设置 (9)3.2 TELNET和SSH的安全性比较 (10)3.3 禁止TELNET、FTP、RLOGIN等网络服务 (11)3.4 限制某些用户FTP登录 (12)3.5 设置目录的FTP访问权限 (12)3.6 将用户FTP访问限定在自己的$HOME目录 (15)3.7 实现基于IP地址的访问控制 (15)3.8 查看当前的TCPIP网络连接 (18)4. 系统安全管理 (19)4.1 设置用户终端长时间不操作后自动退出 (19)4.2 设置NTP网络时钟协议 (20)4.3 停止NFS服务 (22)4.4 设置用户limits参数 (23)4.5 wtmp文件的使用 (24)1. 引言AIX作为IBM Power系列开放平台服务器的专用操作系统，属于UNIX操作系统的一个商业版本。

作为企业级服务器的操作平台，安全性是AIX必备的一个重要特性。

由于我们的小型机上往往运行着客户的核心生产业务，因此对于系统的安全设置往往会有着严格的要求。

2. 用户管理AIX是一个多用户操作系统，多个用户要在同一个系统环境中协同工作，用户访问权限的设置、用户作业的相互隔离、用户系统资源的限制，都是AIX操作系统不可或缺的功能。

2.1 用户账号安全设置为了保证整个操作系统的安全，每个用户账号必须满足如下安全设置要求：（1）每个系统管理员应该设置单独的账号，不允许多个管理员共用一个账号；（2）root用户不允许直接登录，必须通过其他用户登录后，通过su命令获得root用户权限；（3）禁用或者删除不使用的系统账号；（4）设置必要的密码规则。

AIX6.1系统安装配置手册一、检查收集 (3)二、准备 (3)三、AIX系统安装 (3)3.1 AIX安装方式简介 (3)3.2 AIX系统光盘安装具体步骤 (4)3.3通过定制的mksysb磁带安装 (6)3.3.1设置启动顺序 (7)3.3.2选择install from a System Backup的安装方式 (10)3.3.3开始安装 (11)3.3.4安装完成后操作系统自动重启动 (12)3.4安装bundles软件 (12)3.5安装单独的软件包 (13)3.6安装中文环境软件包 (15)3.7打Fix packs补丁 (16)3.8验证软件安装 (17)3.9完成操作系统安装 (17)3.10镜像rootvg (18)四、AIX系统配置及参数修改 (20)4.1设置主机名 (20)4.1.1hostname设置 (20)4.1.2登陆提示符PS1设置 (21)4.2配置网卡绑定、IP地址 (21)4.2.1网卡绑定配置 (21)4.2.2解绑网卡 (23)4.2.3IP地址配置 (24)4.2.4IPV4升级IPV6 (25)4.3配置网络路由 (27)4.3.1配置default gateway (27)4.3.2配置静态路由 (27)4.3.3检查路由配置 (28)4.4设置系统时区及时间 (28)4.5参数设置 (30)4.6安全设置 (31)4.6.1关闭不使用的系统服务 (31)4.6.2禁止不用的用户登录 (31)4.6.3通过IP限制用户远程登录 (32)4.6.4 FTP配置 (34)4.7SSH安装 (36)4.7.1软件安装 (36)4.7.2配置SSH (38)4.8LVM管理 (46)4.8.1添加硬盘 (47)4.8.2修改磁盘属性的命令chpv (47)4.8.3显示物理卷的信息 (48)4.8.4删除物理卷 (48)4.8.5卷组相关 (48)4.8.6逻辑卷文件系统 (50)4.9创建用户、组 (51)4.10 Paging Space (52)4.11 安装中文语言包 (55)4.12安装Bash shell (58)4.13 NTP服务配置 (59)4.14NFS配置 (62)4.14.1常规配置 (62)4.14.2做光驱NFS映射 (64)4.14.3AIX中NFS的配置示例 (66)4.15常用备份恢复命令 (72)4.16限制root用户通过telnet/ssh/rlogin登录至power服务器 (75)4.17ASMI(超级系统管理口)的使用 (75)4.18 数据库和应用自启动脚本配置 (78)4.19 AIX中samba Server的配置方法 (78)4.20AIX中普通用户拥有sqlplus的执行权限配置方法 (79)五、附录.系统补丁介绍及安装下载步骤 (80)TL是什么？ (80)SP是什么？ (81)CSP是什么？ (81)IF是什么？ (82)Fileset是什么？ (82)PTF是什么？ (82)APAR是什么? (83)怎么样安装AIX 补丁或者补丁集 (83)安装文件集 (84)安装补丁 (85)安装补丁集 (85)下载61-03-06-1034的示列 (86)一、检查收集检查设备外观完整性，加电测试，检查附带软件、光盘证书齐全性。

AIX6.1系统安装（串口）配置手册AIX6.1系统安装（串口）配置手册v1.0目录一．版本 (4)二．准备光盘 (4)三．AIX系统安装 (4)3.1 AIX安装方式简介 (4)3.2 AIX系统安装具体步骤 (5)3.2.1系统安装 (5)3.2.2安装bundle (16)3.2.3系统镜像设置及启动顺序设置 (17)3.2.4 AIX系统补丁安装 (18)四 AIX系统配置及参数修改 (20)4.1 服务器IP及路由配置 (20)4.2 修改服务器主机名 (21)4.3 修改时区 (21)4.4 修改时间 (22)4.5 修改文件系统大小 (22)4.6 系统用户的limits参数 (22)4.7 Paging Space (22)4.8 修改用户最大进程数 (23)4.9 安装中文语言包 (23)4.10安装Bash shell (27)4.11 NTP服务配置 (28)4.12创建用户 (29)4.13限制某些用户无法ftp至power服务器 (30)4.14限制root用户通过telnet/ssh/rlogin登录至power服务器(30)4.15 ASMI(超级系统管理口)的使用 (31)4.16 数据库和应用自启动脚本配置 (33)4.17 AIX中samba Server的配置方法 (34)4.18 AIX中普通用户拥有sqlplus的执行权限配置方法 (35) 五．AIX常用系统命令简介 (36)5.1系统开关机 (36)5.2设备查看命令 (37)a)lsdev命令 (37)b)lspv命令 (39)c)lscfg命令 (40)d)lsattr命令 (41)5.3逻辑卷操作命令 (42)a) mkvg42b) lsvg(42)c) mklv (44)d) lslv (44)5.4文件系统操作命令 (44)a)smitty crfs (44)c)mount (46)d) df (47)5.5文件操作命令 (47)a)ls (47)b)cp (47)c)mv (47)d)rm (48)e)chown (48)5.6网络命令 (48)a)netstat (48)b)ifconfig (49)c)smitty tcpip (49)5.7查看系统运行状况 (51)a)topas (51)b)vmstat (52)附录一.系统补丁介绍及下载步骤 (52)附录二.配置超级终端步骤 (55)本文档仅供研发内部使用，如需在生产环境使用，请先对指导书各步骤进行验证一．版本采用的操作系统是I BM 的A IX6.1二．准备光盘系统安装盘D VD2 张： AIX 6 1-03如无系统补丁光盘，可以到IBM网站去下载对应补丁（见附件一.）三．AIX系统安装3.1 AIX安装方式简介AIX 可供选择的安装方式有三种：1）全新覆盖安装（New and Complete Overwrite）使用这种方法安装系统将会覆盖用户所选择目标盘上的所有数据。

AIX 操作系统详细配置步骤1）设置系统时区（非夏令时制、北京时区）和时间。

设置系统时区：“smitty chtz ”。

（如果在“安装助手阶段”配置过时区，这一步可以忽略）可以忽略）设置系统时间：“smitty date ”。

注意：在设置系统时间前必须确保时区设置正确，时区正确与否可用命令“echo $TZ ”查看（在时区不正确的情况下，设置时间是徒劳的）。

设置完时区后必须重启系统才能生效。

重启后可用命令“echo $TZ ”查看时区，正确的时区显示是BEIST-8。

然后再对系统时间作调整。

系统时间可用命令“date ”查看。

”查看。

2) 修改操作系统参数需要修改的操作系统参数包括支持的用户最大进程数、High water mark 、Low water mark 。

设置支持的用户最大进程数：“chdev chdev ––l sys0 l sys0 ––a maxuproc=2048” 设置High water mark ：“chdev chdev ––l sys0 l sys0 ––a maxpout=8193” (对于Power5以前的旧机器,建议设置为513,对于连接7133 SSA 的阵列,一定要设置为33)设置Low water mark ：“chdev chdev ––l sys0 l sys0 ––a minpout=4096” (对于Power5以前的旧机器,建议设置为256,对于连接7133 SSA 的阵列,一定要设置为24)验证方法：验证方法：验证支持的用户最大进程数：“lsattr lsattr ––El sys0 |grep maxuproc ” 显示结果应该为：显示结果应该为：maxuproc2048 Maximum number of PROCESSES allowed per user True验证High water mark 值：“lsattr lsattr ––El sys0 |grep maxpout ” 显示结果应该为：显示结果应该为：maxpout8193 HIGH water mark for pending write I/Os per file True 验证Low water mark 值：“lsattr lsattr ––El sys0 |grep minpout ”显示结果应该为：显示结果应该为：minpout4096 LOW water mark for pending write I/Os per file True3) 设置Dump 设备参数dump lv 初始大小调整原则：规定初始大小为内存大小的三分之一。

AIX下默认不开通SSH的，倒是开通telnet。

这是既不安全也不方便的，而且我们的产品对服务端的交互基本是基于SSH的。

下面我们来手动安装SSH（命令部分我用红色字体标出）：1、下载SSH所需要包体我已经放在\\ap11191\ftpShared\TDA\AIX SSH里了2、FTP上传C:\Users\bsui>ftp 10.1.0.63Connected to 10.1.0.XX.220 FTP server (Version 4.2 Fri Feb 10 15:35:23 CST 2012) ready.User (10.1.0.63:(none)): oracle331 Password required for oracle.Password:230-Last unsuccessful login: Wed Mar 27 08:14:49 PDT 2013 on /dev/pts/5 fromalvqasl44.prod.quest.corp230-Last login: Mon Apr 1 17:11:19 PDT 2013 on ftp from ::ffff:10.30.176.47230 User oracle logged in.ftp>bin200 Type set to I.ftp>put D:\down\ssh\openssl.9.8.410.tar.Z /home/oracle/openssl.9.8.410.tar.Z200 PORT command successful.150 Opening data connection for /home/oracle/openssl.9.8.410.tar.Z.226 Transfer complete.ftp: 6696369 bytes sent in 0.57Seconds 11645.86Kbytes/sec.ftp>put D:\down\ssh\openssh-4.5p1-r2.tar.Z /home/oracle/openssh-4.5p1-r2.tar.Z200 PORT command successful.150 Opening data connection for /home/oracle/openssh-4.5p1-r2.tar.Z.226 Transfer complete.ftp: 11735495 bytes sent in 1.00Seconds 11735.50Kbytes/sec.3、为了安装方便，创建安装目录进入到FTP上传好的目录，这里是oracle的home目录。