AIX.v5.3.NFS.完全配置手册

AIX系统安全配置1 身分识别1.1 账户设定只有特定的授权帐户可用来增加用户及群组，此为AIX默认值且不应被更改；一般帐户不应该有多余的管理权限，此为AIX默认值且不该被更改；只有特定的授权帐户可用来删除用户及群组、修改及打印所有帐户资料。

以用来防止非法存取系统，或集中攻击有特别权限的帐户，此为AIX默认值且不该被更改；只有特定的授权帐户可用来检查使用者状态。

为防止入侵者存取非公开系统资料，用户状态资料仅可由特定帐户取得。

这一点在AIX仅部份可行，因为如果使用者锁定，则其它使用者无法看到此使用者，但却可使用 who 命令来检查登陆的帐户；只有特定的授权帐户可用来打印所有群组信息、锁定或未锁定的帐户。

以用来防止非法存取系统，或集中攻击有特别权限的群组，此为AIX默认值且不该被更改；只有特定的授权帐户可用来更改授权帐户数目。

太多的用户同时使用某应用系统可能影响系统稳定性，此为AIX默认值且不该被更改；系统管理员群组的人员不可存取所有资源，管理群组的人员应只能存取工作上所需用的资源。

存取所有资源不应被允许，此为AIX默认值且不该被更改；一般用户不可存取特定系统文件及命令。

系统命令及程序只能被特定帐户使用，一般用户不可存取此类功能。

应通过权限控制管理来进行限制，此为AIX默认值且不该被更改；权限的控制管理应在文件产生时即被设置，仅有文件的产生者能读取、写入、执行或删除此文件，使用者的 umask设定为仅允许文件产生者存取 (例外：root 用户可存取系统所有文件)。

Umask的设定控制了文件除了删除外的权限，删除的权限则根据文件所在目录的权限位来决定；最少权限机制应被应用，以确保应用程序以最少权限执行，所有应用程序的授权应保持最低权限；只有特别的授权帐户可安装软件或加入新设备到系统中，并安装安全的更新修正程序，此为AIX默认值且不该被更改；存取系统资源取决于使用者及群组的身份，使用者的权限可能多于其群组的权限；1.2 推荐用户属性推荐以下属性：每个用户应有一个不与其它用户共享的用户标识。

第一章AIX操作系统的安装安装介质与方式AIX操作系统的安装可以：1）通过Tape安装。

需要16M RAM。

PCI总线的RS/6000系列小型机不支持该方式。

2）通过CD-ROM安装。

需要有8M RAM.3）通过网络安装。

这需要使用AIX Network Install Manager (NIM)来实现。

系统支持通过Token Ring 、FDDI、ethernet的安装。

4）预先安装(Preinstall).在购买时选择“预装操作系统”。

AIX操作系统的安装方式（Installation Method）有以下四种：完全覆盖安装：操作系统被安装在rootvg的第一块硬盘上，这将覆盖原系统中所有的系统保留目录。

保留安装：这种安装方式可以保留操作系统的版本不变，同时保留 rootvg上的用户数据，但将覆盖/usr 、/tmp、/var 和/ 目录。

用户还可以利用/etc/preserve.list指定系统安装时需要保留的文件系统。

默认的需保留的文件系统为/etc/filesystem中所列。

升级安装：这种安装方式用于操作系统的升级，这将覆盖/tmp目录。

这是系统默认的安装方式。

备份带安装：恢复用mksysb命令生成的安装带中/image.data中指定的文件系统，这种安装方式用于系统（rootvg）的复制。

BOS（Base Operating System）安装打开主机电源。

连接好系统终端，把第一张安装介质（磁带、光碟）插入驱动器。

在开机后按<F5>（图形终端）进入系统安装画面。

当终端显示如下信息时：☆☆☆☆☆☆Please define the system console☆☆☆☆☆☆Type a 1 and press enter to use this terminal as the system console.Type een 1 en druk op enter om deze terminal als de systeemconsole to gebruiken.Skrive tallet 1 og trykk paa enter for aa bruke denne terminalen som systemkonsoll.Pour definir ce terminal comme console systeme, appuyez sur 1puis sur entree.Taste 1 and ansch1iessend die eingabetaste druecken,umdiese datenstation als systemkonsole zu verwenden.Prenier I1 tasto 1 ed invio per usare questo terminal como consolo.Escriba 1 y pulse intro para utilizer esta terminal como consola del sistema.a)Tryck paa 1 och sedan paa enter om dy vill att haer terminalen ska vara systemkonsol键入“1”并回车（注意：键入的“1”不回显）选择主控台(5) 屏幕上将不断显示一些信息，几分钟后出现：>>> 1 Type 1 and press enter to have English during install.2 Type 2 en druk op enter om tijdens het installeren het Nederlands tekrijgen.3 Entrez 3 pour effectuer 1 installation en francais.4 Fr Installation in deutscher sprache 4 eingeben und die eingabetaste drcken.5 Immettere 5 e premereinvio per 1 installazione initaliona.6 Escriba 6 ypulse intro para usar el idioma espa ol durante la instalaci n.7 Skriv 7 och tryck ned enter=svenska vid installationen.88 Help？>>>Choice【1】:键入“1”后回车，选择语言环境为English这是系统安装和维护的主菜单。

AIX+NFS配置
1.1 服务端配置
1.1.1确认NFS是否启动
确认输出结果是否有nfs和portmap进程，如果没有相应进程，请启动相关进程。

1.1.2启动NFS服务
1.1.3查看NFS进程
检查portmap进程
1.1.4导出NFS目录
SMIT方式：
如果重新修改了/etc/exports,执行导出命令
-r ：重新mount /etc/exports中分享出来的目录
-v ：在 export 的?r候，将详细的信息输出到屏幕上。

1.1.5卸载导出目录
-a ：全部mount或者unmount /etc/exports中的内容
-u ：umount 目录
全部卸载导出的目录
1.1.6确认是否正确导出
1.2 客户端配置
1.2.1确认服务
1.2.2手动挂载NFS服务目录
1.2.3自动挂载配置
设置会话超时时间
修改/etc/profile文件，打开TMOUT参数，并设置超时间为5分钟，即：TMOUT=300
创建配置文件：
创建文件/etc/nfs.direct，文件内容：
启动automount服务。

网络文件系统(NFS)一、NFS简介1、NFS就是Network File System的缩写，它的最大功能就是可以通过网络让不同的机器，不同的操作系统彼此共享文件(share files)——可以通过NFS挂载远程主机的目录，访问该目录就像访问本地目录一样，所以也可以简单的将它看作一个文件服务器(File Server)。

注意：一般而言，使用NFS服务能够方便地使各unix-like系统之间实现共享，但如果需要在unix-like和windows系统之间共享，那就得使用samba了。

2、NFS是通过网络进行数据传输，那么NFS使用哪些端口呢，答案是……不知道，因为NFS传输数据时使用的端口是随机的，唯一的限制就是小于1024，客户端怎么知道服务器使用的是哪个端口，此时就要用到远程过程调用RPC。

其实，NFS运行在SUN的RPC（Remote Procedure Call，远程过程调用）基础上，RPC 定义了一种与系统无关的方法来实现进程间通信，由此，NFS Server也可以看作是RPC Server。

正因为NFS是一个RPC服务程序，所以在使用它之前，先要映射好端口——通过portmap设定。

比如：某个NFS Client发起NFS服务请求时，它需要先得到一个端口(port)，所以它先通过portmap得到port number（不仅是NFS，所有的RPC服务程序启动之前，都需要先设定好portmap）。

注意：在启动RPC服务（比如NFS）之前，需要先启动portmap服务。

3、NFS允许系统将其目录和文件共享给网络上的其他系统。

通过NFS，用户和应用程序可以访问远程系统上的文件，就像它们是本地文件一样。

那么NFS最值得注意的优点有：（1）本地工作站可以使用更少的磁盘空间，因为常用数据可以被保存在一台机器上，并让网络上的其他机器可以访问它。

（2）不需要为用户在每台网络机器上放一个用户目录，因为用户目录可以在NFS服务器上设置并使其在整个网络上可用。

AIX 5.3 常用命令汇总内核如何知道自己在运行32 位内核还是64 位内核？要显示内核启用的是32 位还是64 位，可输入以下命令：如何知道自己在运行单处理器还是多处理器内核？/unix是指向已启动内核的符号链接。

要了解正在运行什么内核模式，可输入ls -l /uni x并查看/unix链接到什么文件。

下面是ls -l /unix命令的三种可能输出及其对应的内核：AIX 5L Version 5.3 不支持单处理器内核。

如何从一种内核模式更改为另一种内核模式？在安装过程期间，会缺省启用一种适合该AIX 版本和操作中的硬件的内核。

让我们使用前一个问题中的方法并假设启用了32 位内核。

我们还假设您希望在64 位内核模式下启动。

这可以通过按顺序执行以下命令来实现：/dev/hdiskxx 目录是启动逻辑卷/dev/hd5 所在的位置。

要弄清hdiskxx 中有哪些xx，可运行以下命令：注意：在AIX 5.2 中，缺省安装的是32 位内核。

在AIX 5.3 中，缺省情况下会在64 位硬件上安装64 位内核，在32 位硬件上安装32 位内核。

硬件如何知道我的计算机是否能够运行AIX 5L Version 5.3？AIX 5L Version 5.3 可在当前受支持的所有基于共用硬件参考平台（Common HardwareReference Platform，CHRP）的POWER 硬件上运行。

如何知道我的计算机是否基于CHRP？运行prtconf命令。

如果是CHRP 计算机，则字符串chrp会出现在Model Architectu re 行上。

如何知道我的System p 计算机（硬件）是32 位还是64 位？要显示硬件32 位还是64 位，可输入以下命令：我的计算机有多少实际内存？要显示以KB 为单位的实际内存，可输入以下命令之一：我的计算机是否可以运行64 位内核？需要64 位硬件才能运行64 位内核。

AIX中NFS的配置和使用本文档的环境是两台IBM M80服务器，一台的IP是130.9.1.103另外一台的IP是130.9.1.125。

通过NFS把125上的两个目录filegetsave125和fileputsave125映射到130.9.1.103的filegetsave103和fileputsave103目录。

注意：在实施NFS之前，请在130.9.1.103和130.9.1.125服务器的/etc/hosts文件中，分别加入对方服务器的IP和主机名称。

首先登录130.9.1.103服务器在/etc/hosts文件中写入130.9.1.125 125hostname，具体125hostname是什么，可以登录到130.9.1.125服务器上用hostname命令查看。

然后登录130.9.1.125服务器在/etc/hosts文件中写入130.9.1.103 103hostname,具体103hostname是什麽，可以登录到130.9.1.103服务器上用hostname命令查看。

1、首先启动130.9.1.103上面的NFS的服务。

Smitty nfs2、将光标引入到Network File System（NFS）选项上面。

回车3、出现的界面中选择configure NFS on this system 选项，回车后，进入到下一个界面4、启动NFS的服务。

Start NFS,回车后进入下个界面5、再次回车后启动了NFS服务.6、服务启动成功以后出现以下界面7、登录到130.9.1.125服务器上。

执行与文档相同的1-6步同样的命令启动NFS服务。

8、登录到130.9.1.125服务器上面，建立filegetsave125和fileputsave125两个目录.并赋予相应的权限。

9、在root用户下执行smitty mknfsexp命令，得到以下的界面。

在界面中填写相应的内容并回车确认。

目录目录 01.系统安装 (2)1.1.设置光驱启动......................................................................错误！未定义书签。

1.2.安装......................................................................................错误！未定义书签。

1.3.初始化设置 (10)1.4.设置IP地址 (16)2.系统调整 (2)2.1.调整调页空间的大小 (10)2.2.修改用户许可证个数 (19)2.3.修改语言环境 (10)2.4.文件系统 (20)2.5.磁盘空间 (20)2.6.用户组 (25)2.7.文件打开个数限制 (26)2.8.停用服务 (28)3.系统重启 (29)4.检验安装 (29)4.1.操作系统 (29)4.2.语言环境检查 (31)4.3.内存检查 (32)4.4.处理器检查 (33)4.5.用户组检查 (33)5.服务器其他操作资源 (34)5.1.如何查看设备的用户属组 (34)5.2.如何创建用户组 (35)5.3.如何创建用户 (15)5.4.如何更改用户密码 (15)5.5.如何保证文件为UNIX格式 (35)5.6.如何查看本机现在挂着多少卷组 (35)6.问题 (36)6.1.登录，显示DT S ERVER无法启动 (36)7.附录 (36)7.1.AIX上常用命令 (36)7.1.1.AIX加载光驱 (36)7.1.2.查看AIX上的CPU (37)7.1.3.查看AIX上的内存 (37)7.1.4.扩大rootvg (37)7.1.5.查看AIX中是否安装了某个补丁程序 (38)7.1.6.查看AIX中paging space的情况 (38)7.1.7.查看分区的使用情况 (38)7.1.8.查看磁盘使用情况 (38)7.1.9.扩大文件系统 (39)7.1.10.查看系统中的错误 (40)7.1.11.消除系统的黄色警告灯 (40)7.1.12.查看系统资源占用情况 (42)第 1 页共 44 页选择2 Configure Boot Device Order选择Manage Language Environment选择Change/Show Primary Language EnvironmentChange/Show Cultural Convention, Language, or Keyboard Esc+4 进入到选择列表选择逻辑卷管理器回车可改为100个6、如下图，选择要修改的文件系统，回车6、回车见下图选择rootvg 回车8、如果建立成功那么回产生以下的界面以相同的方式建立文件系统“/web_data”，并设置大小为“10G”。

AIX 系统 NFS设置一、NFS守护进程：NFS是通过使用许多用户级的守护进程及远程过程调用等网络应用程序来实现的。

而NFS服务器及客户端的守护进程并不完全一致。

1、作为NFS服务器所需的守护进程portmap：将远程过程调用（RPC）程序映射为传输层的TCP/UDP端口号。

rpc.mountd：响应客户机发来得文件系统安装请求nfsd：执行客户机的IO请求2、作为NFS客户机所需的守护进程portmap：将远程过程调用（RPC）程序映射为传输层的TCP/UDP端口号。

biod：从客户机的高速缓冲区提前读入或延迟写成数据块。

3、 NFS服务器和客户机都运行的守护进程rpc.statd：为rpc.lockd进程提供冲突和复原功能rpc.lockd：处理本地或远地的加锁功能二、NFS的启动与关闭：1、NFS服务的启动，NFS的服务是由/etc/rc.nfs命令文件来启动的。

默认情况下，由init进程依据 /etc/inittab文件的配置来执行rc.nfs。

所有的NFS守护进程由SRC来控制，可以用SRC的命令来启动（startsrc）或停止（stopsrc）这些进程，还可以显示（lssrc）这些进程的状态。

在启动所有的NFS守护进程前，必须先启动portmap进程。

通常新安装的AIX系统默认是不启动NFS服务的。

因此第一次启动NFS时可以用mknfs命令来启动NFS服务mknfs命令有三个参数：-I ：使用该参数时会在/etc/inittab文件中添加一条记录，便于系统重启时调用rc.nfs。

-N：使用该参数时，mknfs立即执行/etc/rc.nfs文件，但是并不在inittab文件中添加记录。

-B：使用该参数，不仅在inittab文件中添加记录，同时还执行/etc/rc.nfs文件另外：也可以用SRC的命令来启动NFS服务。

既可以启动NFS所有进程，也可以单独启动某一进程。

如：# startsrc -g nfs -----启动NFS服务所有进程# startsrc -s rpc.mountd -----单独启动rc.mountd进程2、停止NFS服务。

Linux系统挂载AIX NFS服务器的配置方法1、准备AIX服务器默认安装完AIX5.3后，先停止nfs和portmap两个进程，然后删掉一些和NFS有关的文件# stopsrc -g nfs0513-044 The biod Subsystem was requested to stop.0513-044 The nfsd Subsystem was requested to stop.0513-044 The rpc.mountd Subsystem was requested to stop.0513-044 The rpc.lockd Subsystem was requested to stop.0513-044 The rpc.statd Subsystem was requested to stop.#-g表示停止一组nfs相关的进程# stopsrc -s portmap0513-044 The portmap Subsystem was requested to stop.## cd /etc# rm -rf sm sm.bak state xtab rmtab2、配置AIX的NFS服务器可以直接手动配置/etc/exports或使用smit工具配置，因为AIX的NFS和Linux的配置文件内容不同，所以建议使用smit工具来配这是我通过smit配置好的/etc/exports文件内容：# cat /etc/exports/mnt-sec=sys:krb5p:krb5i:krb5:dh:none,rw,root=192.168.3.160,access=192.168.3.161:192.168.3.160 #我将/mnt目录共享出去，设置只允许192.168.3.160可以对共享目录写操作，能够访问的服务器有192.168.3.161和192.168.3.160，sec是数据加密方法。

1.NIM安装1.NIM安装准备在AIX5.3环境下使用NIM，首先需配置NIM的SERVER（Master）。

NIM 所需的软件包大多数已经具备，手工从系统光盘安装bos.sysmgt。

安装完后使用smitty nim即可进入NIM的配置菜单，如下图所示。

如果未装上面的包，使用smitty nim进入的是NIM client的配置菜单，和SERVER 的菜单会有所区别。

使用NIM需要在SERVER上配置所有client的IP信息，写入/etc/hosts中，如下面的client_1和client_2。

虽然这两个client还未安装系统，但在SERVER （CDH70）上必须先知道会有它们的存在。

NIM服务器配置在NIM 服务器上需配置的内容主要有网络，NIM的安装资源和客户端的管理。

以下是配置基本操作系统（BOS）安装环境的步骤。

首先配置网络，使用smitty nim进入，选择环境配置：选择Advanced Configuration,配置NIM Master,此时可设定NIM的网络名，SERVER上使用的网络接口。

回车后，SERVER完成配置，会启动NIM服务。

接下来，退回到环境配置的菜单中，配置NIM安装资源。

为了安装基本操作系统，需同时创建LPP和SPOT资源。

选择资源的SERVER，这里只配置了一台master。

在创建资源详细信息中，设置创建路径为cd0（在光驱中放入安装盘），分别输入所创建LPP和SPOT资源的名称，NIM默认会创建新的文件系统来存放这些资源。

创建BOS资源的时间会比较长，之后就可以退回前面菜单配置client了。

选择添加客户端。

输入客户端的名称，这里输入的名称最好已经在/etc/hosts中定义，否则会在详细信息中提示输入网关。

修改客户端的详细信息，大多数可以用默认的。

在创建完所有的客户端后，可以为客户端分组，同一组的机器就可以一起分配资源了。

退回到最初的菜单，选择NIM管理任务，定义组。