AIX系统安全配置指南
1. 远程访问控制 ........................................................................... - 2 -
1.1.登陆限制 .......................................................................... - 2 -
1.2.登陆屏幕欢迎词 .............................................................. - 2 -
1.3.离开时锁定 ...................................................................... - 3 -
1.4.强制自动注销 .................................................................. - 3 -
2. 用户帐户安全 ........................................................................... - 4 -
2.1. Root 帐户......................................................................... - 4 -
2.2. 禁用直接 root 用户登录................................................ -4 -
2.3. 用户帐户控制 .................................................................. - 5 -
2.4. 禁用不需要的默认帐户 .................................................. - 6 -
3. 密码安全 ................................................................................... - 7 -
3.1. 设置强密码 ...................................................................... - 7 -
3.2.设置密码策略 .................................................................. - 7 -
4. AIX系统日常检查 ................................................................... - 9 -
1. 远程访问控制
1.1. 登陆限制
要防止潜在黑客较难通过猜测密码来攻击系统,请在/etc/security/login.cfg 文件中设置登陆控制: 属性 用于PtYs(网络) 用于TTYs 建议值注释
Sad_enabled Y Y false 很少需要“安全注意键”。 Logintimes N Y
在此处指定允许登陆的次数
Logindisable N Y 4 在此终端连续4次试较登陆失败后,禁止其登陆
Logininterval N Y 60 在60秒内进行了指定的无效尝试后,禁用终端
Loginreenable N Y 30 在自动禁用终端30分钟后重新启用该终端
Logindelay Y Y 5 在两次出现登陆提示之间的
以秒为单位的时间间隔。这
将随着尝试失败的次数成倍地增加;例如,初始值为5
时,该时间间隔就为5秒、
10秒、15秒、20秒。
1.2. 登陆屏幕欢迎词
敏锐攻击者或有目的人群能够从缺省的AIX 登陆屏幕获取宝贵的信息,例如主机名和操作系统版本。这些信息资料使他们确定尝试哪种探查方法去攻击目标。基于安全性原因,防止在登陆屏幕上显示系统敏感信息,请编辑/etc/security/login.cfg 文件中的herald 参数。缺省的herald 包含随登陆提示一
起显示的欢迎消息。可用chsec命令或者直接编辑文件来更改该参数。
另外,公共桌面环境(CDE)用户。在缺省情况上,CDE登陆屏幕也显示主机中和操作系统版本相关信息,要防止显示此信息,请编辑/usr/dt/config/$LANG/Xresources文件,其中$LANG指的是安装在机器上的本地语言。
例如,假定$LANG设置为C,将该文件复制到/etc/dt/config/C/Xresources 目录中,然后,打开/usr/dt/config/C/Xresources文件并编辑,以除去包含主机中和操作系统版本的迎消息。
1.3. 离开时锁定
当终端处于登陆状态却无人照管,目标系统都是脆弱的。系统管理员用超级权限启用终端处于无人照管状态时,将存在严重的问题,通常,系统管理员离开终端时都应该注销,让系统终端处于非安全状态会造成潜在的安全威胁,所以离开时请锁定终端,把安全威胁最小化。要锁定终端,请使用lock命令。如果界面是AIXwindows,请使用xlock命令。
1.4. 强制自动注销
当用户长时间将他们的帐户置于无人照管状态时,是另一个要关注的有效安全性问题。这种情况使闯入者可以控制用户的终端,从而潜在地危及系统的安全。
要预防这类潜在的安全威胁,可在系统中启用自动注销功能。
当先前的操作允许您对所有用户强制执行自动注销策略时,系统用户就能通过编辑他们各自的 .profile 文件来绕过一些限制。为了完全实现自动注销策略,必须采取权威的措施,即给用户提供适当的 .profile 文件,阻止对这些文件的写访问权。
2. 用户帐户安全
2.1. Root 帐户
root 帐户实际上拥有对系统中所有程序、文件及资源的不受限制的访问权。root 帐户是 /etc/passwd 文件中用户标识(UID )为 0 的特殊用户,并且通常所给的用户名是 root 。并不是这个用户名使得 root 帐户这么特殊,而是 UID 的值 0。这意味着拥有 UID 为 0 的任何用户也拥有与 root 用户一样的权限。并且,root 帐户总是通过本地安全性文件认证。
root 帐户应该总是有密码,该密码应该从不共享。安装系统后,应立即给 root 帐户一个密码。只有系统管理员才能知道 root 密码。系统管理员应该只在执行需要 root 权限的系统管理功能时才作为 root 用户进行操作。对于其它所有的操作,他们应该返回到他们的一般用户帐户。
注意: 因为 root 帐户覆盖许多系统安全防护,所以经常作为 root 用户操作可能会对系统产生损坏。
2.2. 禁用直接 root 用户登录
潜在黑客的一个常见攻击方法是获取 root
密码。要避免此类攻击,可以禁
用直接访问 root 标识,然后要求系统管理员通过使用 su - 命令获取 root 权限。除了允许删除作为攻击对象的 root 用户,限制直接的 root 访问使您可以监视哪些用户获取了 root 访问权及他们操作的时间。可以查看 /var/adm/sulog 文件做到这一点。另一种方法是启用系统审计,这将报告此类活动。
在禁用远程 root 登录之前,请检查并准备可能使系统管理员用非 root 用户标识无法登录的情况。例如,如果用户的主文件系统已满,该用户将无法登录。如果禁用了远程 root 登录,而能使用 su - 命令更改到 root 用户的用户主文件系统已满,则 root 用户可能永远无法取得对系统的控制。系统管理员可以通过为他们自己创建比一般用户文件系统大的主文件系统绕过此问题。
2.3.用户帐户控制
每个用户帐户有一组相关属性。当使用mkuser命令创建用户时,这属性根据缺省值创建。这些属性可以通过使用chuser命令来修改。所有的用户属性在/etc/security/suer、/etc/security/limits、/etc/security/audit/config和/etc/security/lastlog文件中定义。使用mkuser命令创建的用户缺省值在/usr/lib/security/mkuser.default文件中指定。只有覆盖/etc/security/user和/etc/security/limits文件中的default节中的一般缺省值的选项和审计类必须在mkuser.default文件中指定。这些属性中的一些控制用户如何可以登陆,并且可以配置这些属性在指定情况下自动锁定用户帐户(阻止进一步登陆)。
可以使用chsec命令在相应安全性文件(例如/etc/security/user或/etc/security/limits文件)中编辑default节来更改缺省值。将许多缺省值定义为标准行为。要明确地指定每一次创建新用户时要设置的属性,请更改/usr/lib/security/mkuser.default中的user项。
2.4.禁用不需要的默认帐户
在操作系统安装过程中,会创建许多缺省用户和组标识。根据在系统上运行的应用程序和系统在网络中所处的位置,其中某些用户和组标识可以成为安全弱点,容易被人利用。如果这些用户和组标识是不必要的,可以将其除去以使跟其有关的安全风险最小化。
下表列出了可能能够除去最常用的公共缺省有户标识:
用户标识描述
uucp,nuucp uucp协议所用的隐藏文件的所有者。Uucp用户帐户是用于“UNIX到UNIX复制程序”,该程序是在大多数AIX系统上存
在一组命令、程序和文件,它们允许用户使用专线或电话线与
另一AIX系统进通信。
lpd 打印子系统所使用文件的所有者。
imnadm IMN搜索引擎(由文档库搜索使用)。
Guest 允许那些无权访问帐户的用户访问。
下表列出了可能不需要的公共组标识:
组标识描述
Uucp Uucp和nuucp用户所属的组
Printq Lpd用户所属的组
Imnadm Imnadm用户所属的组
3. 密码安全
3.1.设置强密码
良好的密码是抵御未授权进入系统的第一道有效防线,它们是以下类型:
●大小写字母的混合
●字母、数字或标点符号的组合。此外,它们可以包含特殊字符,如
~!@#$%^&*()-_=+[]{}|\;:'",.<>?/< 空格>
●未写在任何地方
●如果使用 /etc/security/passwd 文件,那么长度最少为 7 个字符最大 8
个字符(象 LDAP 那样使用注册表实施的认证,可以使用超出此最大长
度的密码)
●不是在字典中可查到的真实单词
●不是键盘上字母的排列模式,比如 qwerty
●不是真实单词或已知排列模式的反向拼写
●不包含任何与您自己、家庭或朋友有关的个人信息
●不与从前一个密码的模式相同
●可以较快输入,这样边上的人就不能确定您的密码
3.2. 设置密码策略
猜测密码是系统最常遇到的攻击方法之一。因此,控制和监视您的密码限制策略是不可缺少的。
●设定良好的密码
●良好的密码是抵御未授权进入系统的第一道有效防线
●使用 /etc/passwd 文件
●传统上,/etc/passwd 文件是用来记录每个拥有系统访问权的注册用户
●使用 /etc/passwd 文件和网络环境
●在传统的网络环境中,用户必须在每个系统中有一个帐户才能获得对该
系统的访问权
●隐藏用户名和密码
●为了达到更高级别的安全性,请确保用户标识和密码在系统内是不可见
的。
●设置建议的密码选项
●恰当的密码管理只有通过用户教育来实现。为提供某些额外的安全性,
操作系统提供了可配置的密码限制。它们允许管理员限制用户选择的密
码,并强制定期更改密码
●扩展密码限制
●密码程序接受或拒绝密码所使用的规则(密码构成限制)可由系统管理
员进行扩展,以提供特定于站点的限制
属性建议值注释
histexpire 52周 密码可以重复使用的时间
histsize 20次 密码重复使用的次数
maxage 8周 密码的生命期
maxexpired 1周 密码过期锁定时间
maxrepeats 2个 密码中可重复字符的最大数目 minage 0周 密码可以被立即修改时间
minalpha 2个 密码至少应该包含的字母个数 mindiff 4个 密码中至少包括多少个唯一字符 minlen 8个 密码的最小长度
minother 2个 密码包含的非字母字符数目
dictionlist /usr/share/dict/words
注:words包含常用单词、
语句或数字、字母组合,
将禁止使用作为密码
强制密码不能是字典中的单词
4. AIX系统日常检查
AIX系统日常检查工作是应用维护非常重要的部分,可以把系统故障排除在萌芽阶段,以下日常检查很有参考价值。
一、 硬件检查
检查各指示灯状态和各物理设备的可用情况。
二、 进程检查
检查是否有死进程,使用ps -ef命令列出正在运行的所有进程的各种信息。
三、 文件系统是否满
适用df -k命令可以以k为单位检查文件系统的使用率。
四、 检查系统出错日志
使用errpt|more命令检查,清除现有的log errclear 0。
五、 检查系统合法/非法登录情况
使用last命令检查登录地点。
六、 检查系统是否有巨大的core文件生成
使用find / -name core –print命令检查。对core文件,一般直接删除即可。
七、 系统性能检查
1.CPU性能:使用vmstat,topas命令检查。
2.内存使用情况:使用topas,vmstat命令检查。
3.检查IO平衡使用情况:使用iostat命令检查。
4.交换空间使用情况:使用lsps -a命令检查。
八、 mail检查
九、 其它命令检查
du:报告在层次目录结构(当前工作目录或指定目录起)中各目录占用的磁盘块数,可用于检查用户对文件系统的使用情况。
df:报告整个文件系统当前的空间使用情况,可用于合理调整磁盘空间的使用和管理。
ps:检查当前系统中正在运行的所有进程。对于用了大量CPU时间的进程,同时运行了许多进程的用户,运行了很长时间但用了很少CPU时间的用户进程应当深入检查。还可以查出运行了一个无限制循环的后台进程的用户,未注销户头就关终端的用户(一般发生在直接连线的终端)。
who:可以告诉系统管理员系统中工作的进展情况等等许多信息,检查用
户的登录时间,登录终端。
su:每当用户试图使用su命令进入系统用户时,命令将在sulog文件中写一条信息,若该文件记录了大量试图用su进入root的无效操作信息,则表明了可能有人企图破译root口令。
login:在一些系统中,login程序记录了无效的登录企图。每天总有少量的无效登录,若无效登录的次数突然增加了两倍,则表明可能有人企图通过猜测登录名和口令,非法进入系统。
1.1.1安装操作系统 通过光盘启动系统来进行操作系统的安装,其具体步骤如下: 给主机上电,等主机面板的荧光条显示“OK”。 将AIX 6.1安装盘的第一张光盘放入光驱,打开机器上的电源开关按钮,启动机器。 当图形终端显示如下信息时按…F1?键。进入“System Management Services”图形功能菜单。 缺省输入“admin” 选择5进入如下界面 选择1,然后进入如下界面
选择4,进入如下界面 选择2,然后进入如下界面
选择1,然后进入软件安装启动界面,系统在通过光盘引导下开始操作系统系统的安装。设定安装参数 按“1”键,设置安装操作系统时的语言环境为英语 在如下的BOS系统的安装界面选择“2”,即选择“Change/Show Installation Settings and Install”安装方式
说明: 选项1:按照缺省方式安装操作系统。 选项2:如果要改变安装方式和系统设置。 选项3:进入系统维护模式。 在如下的安装界面中选择“1”,重新设置系统的安装方式 在如上的安装界面中选择“1”,重新设置系统的安装方式后有两个功能选项可以供安装者对系统的安装方式进行重新设置。 A、“Method of Installation”(安装方式),其中有三种安装方式可供选择: - New and Complete Overwrite Installation.(完全覆盖) - Migration Installation.(升级安装)
来安装操作系统,即选择“1”,然后进入如下界面 先输入2将已经选择的hdisk1去掉,然后直接回车或输入0 选择hdisk0作为安装的目标盘。 在完成系统安装方式后将正式开始从光盘安装操作系统
AIX操作系统详细配置步骤 1)设置系统时区(非夏令时制、北京时区)和时间。 设置系统时区:“smitty chtz”。(如果在“安装助手阶段”配置过时区,这一步可以忽略) 设置系统时间:“smitty date”。 注意:在设置系统时间前必须确保时区设置正确,时区正确与否可用命令“echo $TZ”查看(在时区不正确的情况下,设置时间是徒劳的)。设置完时区后必须重启系统才能生效。重启后可用命令“echo $TZ”查看时区,正确的时区显示是BEIST-8。然后再对系统时间作调整。系统时间可用命令“date”查看。 2) 修改操作系统参数 需要修改的操作系统参数包括支持的用户最大进程数、High water mark、Low water mark。 设置支持的用户最大进程数:“chdev –l sys0 –a maxuproc=2048” 设置High water mark:“chdev –l sys0 –a maxpout=8193” (对于Power5以前的旧机器,建议设置为513,对于连接7133 SSA的阵列,一定要设置为33) 设置Low water mark:“chdev –l sys0 –a minpout=4096” (对于Power5以前的旧机器,建议设置为256,对于连接7133 SSA的阵列,一定要设置为24) 验证方法: 验证支持的用户最大进程数:“lsattr –El sys0 |grep maxuproc” 显示结果应该为: maxuproc 2048 Maximum number of PROCESSES allowed per user True 验证High water mark值:“lsattr –El sys0 |grep maxpout” 显示结果应该为: maxpout 8193 HIGH water mark for pending write I/Os per file True 验证Low water mark值:“lsattr –El sys0 |grep minpout”
1. AIX操作系统安装 1.1. 安装介质与方式 AIX操作系统的安装方式(Installation Method)有以下四种: 完全覆盖安装:操作系统被安装在rootvg的第一块硬盘上,这将覆盖原系统中所有的系统保留目录。 保留安装:这种安装方式可以保留操作系统的版本不变,同时保留 rootvg上的用户数据,但将覆盖/usr 、/tmp、/var 和/ 目录。用户还可以利用/etc/preserve.list 指定系统安装时需要保留的文件系统。默认的需保留的文件系统为/etc/filesystem 中所列。 升级安装:这种安装方式用于操作系统的升级,这将覆盖/tmp目录。这是系统默认的安装方式。 备份带安装:恢复用mksysb命令生成的安装带中/image.data中指定的文件系统,这种安装方式用于系统(rootvg)的复制。 1.2. BOS(Base Operating System)安装 打开主机电源; 连接好系统终端,把第一张安装介质(磁带、光碟)插入驱动器; 在开机后按<1>(图形终端)进入系统安装画面; 当终端显示如下信息时; ☆☆☆☆☆☆Please define the system console☆☆☆☆☆☆ Type a 1 and press enter to use this terminal as the system console. Type een 1 en druk op enter om deze terminal als de systeemconsole to gebruiken. Skrive tallet 1 og trykk paa enter for aa bruke denne terminalen som systemkonsoll. Pour definir ce terminal comme console systeme, appuyez sur 1puis sur entree. Taste 1 and ansch1iessend die eingabetaste druecken,um diese datenstation als systemkonsole zu verwenden. Prenier I1 tasto 1 ed invio per usare questo terminal como consolo. Escriba 1 y pulse intro para utilizer esta terminal como consola del sistema. a)Tryck paa 1 och sedan paa enter om dy vill att haer terminalen ska vara systemkonsol
AIX操作系统安装实施工艺指导 (V1.1)
修改记录
目录 1前言 (4) 1.1编写目的 (4) 1.2预期读者 (4) 2硬件资源划分 (5) 3AIX操作系统安装 (7) 3.1通过光盘的全新安装 (7) 3.1.1BOS基本的操作系统安装 (7) 3.1.2安装扩展软件包 ........................................................................... 错误!未定义书签。 3.1.3打Fix packs补丁 (15) 3.1.4验证软件安装 (16) 3.1.5完成操作系统安装 (16) 3.2通过MKSYSB磁带定制安装 (17) 3.2.1设置启动顺序 (17) 3.2.2选择install from a System Backup的安装方式 (20) 3.2.3开始安装 (21) 3.2.4安装完成后操作系统自动重启动 (22) 4操作系统配置 (23) 4.1设置主机名 (23) 4.2配置IP地址 (24) 4.3配置网络路由 (27) 4.4设置系统时区及时间 (29) 4.5参数设置 (31) 4.6关闭不使用的系统服务 (32) 4.7LVM管理 (33)
1前言 1.1编写目的1.2预期读者
2硬件资源划分 对于型号为p570、p590、p595的设备,需要划分分区或全分区使用时,需要考虑板卡冗余配置,因为如果rootvg的两块镜像磁盘连接在同一个SCSI背板上,背板或SCSI总线出故障时,rootvg镜像将失效,会影响整个系统运行。为了避免硬件的单点故障,建议遵循以下原则进行板卡划分: 1、rootvg的两块镜像硬盘,分布到不同背板的I/O插槽内 2、光纤卡的两块HBA卡,分布到不同背板的I/O插槽内 3、网卡的主、备卡,分布到不同背板的I/O插槽内 p570,如下图,镜像的盘或卡应该分别纵向不同的Node上 p59X,如下图,rootvg镜像的两块磁盘分别分布在P1、P2上,如红色填充的146G硬盘
AIX 系统参数配置 AIX内核属于动态内核,核心参数基本上可以自动调整,因此当系统安装完毕后,应考虑修改的参数一般如下: 一、单机环境 1、系统用户的最大登录数maxlogin maxlogin的具体大小可根据用户数设定,可以通过smitty chlicense命令修改,该参数记录于 /etc/security/login.cfg文件,修改在系统重新启动后生效。 2、系统用户的limits参数 这些参数位于/etc/security/limits文件中,可以把这些参数设为-1,即无限制,可以用vi 修改 /etc/security/limits文件,所有修改在用户重新登录后生效。 default: fsize = 2097151 ----》改为-1 core = 2097151 cpu = -1 data = 262144 ----》改为-1 rss = 65536 stack = 65536 nofiles = 2000 3、Paging Space 检查paging space的大小,在物理内存2G,可作适当调整。同时在创建paging space时, 应尽量分配在不同的硬盘上,提高其性能。利用smitty chps修改原有paging space的大小或smitty mkps增加一块paging space。 4、系统核心参数配置 利用lsattr -Elsys0 检查maxuproc, minpout, maxpout等参数的大小。maxuproc为每个用户的最大进程数,通常如果系统运行DB2或ORACLE是应将maxuproc调整,Default:128、调整到500,maxuproc增加可以马上起作用,降低需要AIX重起。当应用涉及大量的顺序读写而影响前台程序响应时间时,可考虑将maxpout设为33, minpout设为16,利用smitty chgsys来设置。 5、文件系统空间的设定 一般来说,系统的文件系统/、/usr、/var、/tmp的使用率不要超过80%,/tmp建议至少为300M,文件系统满可导致系统不能正常工作,尤其是AIX的基本文件系统,如/ (根文件系统)满则会导致用户不能登录。用df 查看。 # df -k (查看AIX的基本文件系统) Filesystem 1024-blocks Free %Used Iused %Iused Mounted on /dev/hd4 24576 1452 95% 2599 22% / /dev/hd2 614400 28068 96% 22967 15% /usr /dev/hd9var 8192 4540 45% 649 32% /var /dev/hd3 167936 157968 6% 89 1% /tmp /dev/hd1 16384 5332 68% 1402 35% /home 利用smitty chfs扩展文件系统的空间。 6、激活SSA Fast-Write Cache 利用smitty ssafastw来激活每一个逻辑盘hdiskn的Fast-Write Cache:选择硬盘后,把Enable Fast-Write一项改为Yes后回车即可。 7、激活AIO
信息化标准体系文档 AIX6.1操作系统部署方案设计和安装 配置指南 (V1.1)
北京数据中心开放系统平台管理部 2011-3
修改记录 人都无权复制或利用。 ?Copy Right 2005 by China Construction Bank
目录 1前言 (7) 1.1编写目的 (7) 1.2预期读者 (7) 2系统部署模式 (8) 2.1单机模式 (8) 2.2基于系统技术的HA方案; (8) 2.2.1Active-Standby主备方式 (9) 2.2.2Active-Active 互备方式 (9) 2.2.3一备二模式 (9) 2.2.4循环备份模式 (10) 2.2.5Concurrent并行处理模式 (11) 2.3基于软件技术的CLUSTER方案 (11) 2.4基于网络硬件设备的负载均衡方案 (11) 3应用部署建议 (12) 4系统设计考虑的因素 (13) 4.1用户 (13) 4.2相关命名 (13) 4.3存储/本地盘容量限制 (13) 4.4系统网络 (14) 4.5参数设置 (14) 4.6软件安装 (14) 4.7空间规划 (15) 4.8安全加固 (15) 4.9时钟同步 (16) 5命名规范 (17) 5.1资源分配原则 (17) 5.1.1设备分档 (17) 5.1.2资源调整 (17) 5.2机器及机柜的编号规则 (17) 5.2.1机柜的命名和编号规则 (17) 5.3分区使用规范 (18) 5.3.1分区的部署原则 (18) 5.3.2分区资源的分配原则 (18) 5.4主机命名原则 (20) 5.5用户及用户组命名 (21) 5.5.1目标 (21) 5.5.2指导方针 (21) 5.5.3用户组 (22)
IBM AIX 7操作系统安装过程 AIX 7 刚出来,今天凑巧搞了张AIX7的盘来,新版本哦,马上安装试下。 废话不说,直接上图O(∩_∩)O~ 此乃入门贴,没神马技术含量哈 等俺研究研究后,再把心得写出来哈哈~ 机器配置:IBM Power ,内存 8 G 1. 将盘插入后,和以前一样,在启动的时候,当出现有“5=Default Boot List”时,就按5吧; 然后会进入管理菜单,你选择 3 后回车,然后输入提示的秘密:admin 即可进入下一个画面,这个时候要等会儿了。 2. 好了,现在出现的画面仍然和原来一样,IBM 真是不落俗套啊,都 7 了还是个难看的字符界面o(╯□╰)o 按 F1 然后回车即可,会出现下面短暂的画面:
3. 然后总算出现了一张 AIX 7 的华丽丽的焕然一新的界面了: 不过搞不懂为什么旁边仍然写的是 AIX6 ? BUG? 晕死~~
不管了,理所当然选择 English,然后进入下面的界面中: 这个简单明了,GUI上的字我就不解释了,需要说的就是,如果选择 Traditional Install 的话,那么界面就又会和AIX 6之前的安装界面的,和以前一模一样的;我当然是选择Quick Install 啦。 4. 接下来就是安装摘要,如图:
5. 没什么好改的,就用默认配置,选择 Start Quick Install ,开始安装了~~
6. 安装完成后会自动重启,进入 Configuration Assistant 界面: Accept 后,如图:
继续 Next: 上面的配置都很傻瓜,配置完成后继续 Next 。 点击 Finish 配置完成!
AIX操作系统安装配置规范
目录 AIX操作系统安装配置规范 (1) 1 系统安装配置标准 (4) 2 安装配置指南 (6) 2.1 操作系统安装 (6) 2.2 语言包安装 (9) 2.3 软件包安装 (10) 2.4 补丁安装 (15) 2.5 系统配置 (17) 2.5.1 时区时间配置 (17) 2.5.2 系统参数设置 (17) 2.5.3 设置dump大小 (19) 2.5.4 修改磁盘定额 (19) 2.5.5 rootvg镜像 (19) 2.5.6 配置TCP/IP (20) 2.5.7 修改用户限制 (20) 2.5.8 调整Paging Space (20) 2.5.9 启动异步IO (21) 2.5.10 修改系统引导映像、顺序 (22) 2.5.11 syncd daemon的数据刷新频率 (22)
1系统安装配置标准
更改操作 系统参数 Maximum number of PROCESSES allowed per user HIGH water mark LOW water mark 设置每个用户支持的最大进程数:chdev –l sys0 –a maxuproc=1024 设置High water mark:chdev –l sys0 –a maxpout=33 设置Low water mark:chdev –l sys0 –a minpout=24 有HA测试需求的环境调整High water mark、Low water mark这两个值,其他无需执行 设置dump 大小 为系统估计值和物理 内存的三分之一值的 较大者 系统估计值:sysdumpdev -e smitty extendlv修改lg_dumplv的大小 lsvg –l rootvg prtconf查看物理内存大小 smitty mklvcopy 复制lg-dumplv 调整 Paging Space大小 如果内存>8G,则 Paging Space大小和 内存一样大 如果内存<=8G ,则 Paging Space大小是 内存的1.5倍 lsps –a 查看当前页面空间的大小 lsvg rootvg查看 smitty chps 调整用户 限制 default: fsize=-1 cpu=-1 nofiles=-1 vi /etc/security/limits 将default段中3个值改为-1 default: fsize=-1 cpu=-1 nofiles=-1 配置 TCP/IP 根据实际情况进行配 置 smitty mktcpip 适当增大 rootvg的 文件系统 /usr为10G, /softinstall为5G, 其他rootvg文件系统 为1G chfs –a size=10G /usr文件系统路径 smitty jfs2 创建文件/softinstall mount /softinstall 挂载 rootvg镜 像 确保rootvg中有两块 内置磁盘,且互为镜 像 smitty extendvg extend rootvg hdisk1将hdisk1添加到rootvg smitty mirrorvg bosboot –a 写入
AIX 系统参数配置 https://www.doczj.com/doc/5813736445.html, 作者:huoju发表于:2003-05-09 16:33:49 AIX内核属于动态内核,核心参数基本上可以自动调整,因此当系统安装完毕后,应考虑修改的参数一般如下: 一、单机环境 1、系统用户的最大登录数maxlogin maxlogin的具体大小可根据用户数设定,可以通过smitty ch license命令修改,该参数记录于/etc/security/login.cfg文件,修改在系统重新启动后生效。 2、系统用户的limits参数 这些参数位于/etc/security/limits文件中,可以把这些参数设为-1,即无限制,可以用vi 修改/etc/security/limits文件,所有修改在用户重新登录后生效。 default: fsize = 2097151 ----》改为-1 core = 2097151 cpu = -1 data = 262144 ----》改为-1 rss = 65536 stack = 65536 nofiles = 2000 3、Paging Space 检查paging space的大小,在物理内存<2G时,应至少设定为物理内存的1.5倍,若物理内存>2G,可作适当调整。同时在创建paging space时, 应尽量分配在不同的硬盘上,提高其性能。利用smitty chps修改原有paging space的大小或smitty mk ps增加一块paging space。 4、系统核心参数配置 利用lsattr -Elsys0 检查maxuproc, minpout, maxpout等参数的大小。maxuproc为每个用户的最大进程数,通常如果系统运行DB2或ORACLE是应将maxuproc调整,Default:128、调整到500,maxuproc增加可以马上起作用,降低需要AIX重起。当应用涉及大量的顺序读写而影响前台程序响应时间时,可考虑将maxpout设为33, minpout设为16,利用smitty chgsys来设置。 5、文件系统空间的设定 一般来说,系统的文件系统/、/usr、/var、/tmp的使用率不要
一.nim server安装配置: 1.在nim server上使用lslpp –l|grep bos.sysgmt查找系统中是否安装nim master tools bos.sysmgt.nim.client 6.1.3.5 APPLIED Network Install Manager - bos.sysmgt.nim.master 6.1.3.4 COMMITTED Network Install Manager - bos.sysmgt.nim.spot 6.1.3.4 COMMITTED Network Install Manager - SPOT 2.nim server rootvg剩余空间至少要5G以上。 3.开始配置:使用smitty nim进入一下界面 4.选择configure the nim environment进行nim server的建立 5.选择configure a basic nim environment,回车进入下一窗口,在以下窗口中选择使用的网 络接口和光盘所在位置 按F4选择完成后,显示如下:
回车以后,将开始创建: 大约20分钟,成功后显示ok
3.在aix命令行输入df -g可以看到生成了两个文件系统: 4.在nim server的网络配置文件/etc/hosts中增加客户端的ip地址和解析名,如:10.63.30.214 nimtest 5.在nim server中增加nim client 回车后,进入 继续回车,定义一个机器;
选择以后,回车进入,在表中输入/etc/hots中新增的client对应ip地址的主机名: 输入完成后,回车进入下一个界面,该界面不需改变,直接回车即可,至此nim client创建完成。 6.Nim client创建完成以后,就可以创建nim resourse,回退到上一级目录,界面如下:
**省操作风险管理系统 小 型 机 安 装 配 置 手 册
目录 小型机安装配置手册 (4) 1.1操作系统安装 (4) 1.2安装操作系统bundle (10) 1.3limit参数设置 (11) 1.4开启IOCP (11) 1.5打开fullcore设置 (12) 1.6调整maxpout,minpout设置 (12) 1.7调整maxuproc设置 (12) 1.8调整syncd设置 (12) 1.9设置时区 (13) 1.10增加error log文件大小 (13) 1.11系统网络参数设置 (13) 1.12系统AIO参数设置 (14) 1.13系统VM参数设置 (14) 1.14HBA卡参数设置 (15) 1.15语言包安装 (15) 1.16补丁包安装 (16) 1.17创建oracle软件的文件系统 (16) 1.18操作系统镜像 (17) 1.19设置SWAP大小 (17) 1.20修改文件系统大小设置 (18) 1.21dump设置 (18) 1.22安装hacmp软件 (19) 1.23安装hacmp补丁 (20)
1.24配置网络 (20) 1.25添加cluster 名字 (21) 1.26添加cluster的主机 (21) 1.27添加基于IP的网络 (22) 1.28添加基于非IP的网络(即串口心跳) (22) 1.29添加IP地址 (22) 1.30添加串口设备 (23) 1.31添加资源组 (24) 1.32添加SVC IP (25) 1.33添加应用脚本 (26) 1.34添加卷组到资源组 (28) 1.35同步串口通讯 (30) 1.36同步两台主机HACMP配置 (30) 1.37主节点上启动Cluster (31) 1.38备节点上启动Cluster (34) 1.39查看hacmp的运行状态 (34) 1.40Hacmp资源组切换测试 (38) 1.41EMC存储powerpath多路径管理软件安装 (41) 1.42创建VG (47) 1.41.1 创建sqdbvg (47) 1.41.2创建hddbvg (54) 1.41.3创建rmansqvg (58) 1.41.4创建rmanhdvg (59)
SSH配置完全手册 前言 为何使用 OpenSSH? 您每天使用的标准网络服务(如、RCP 和远程 Shell (rsh) 等)在封闭环境中运行良好,但使用这些服务在网络上传输的信息是未加密的。任何人都可以在您的网络或远程计算机上使用包嗅探器查看交换的信息,有时甚至可以查看密码信息。 而且,使用所有此类服务时,在登录过程中用于自动登录的选项会受到限制,并且通常依赖于将纯文本密码嵌入到命令行才能执行语句,从而使登录过程变得更加不安全。 开发的安全 Shell (SSH) 协议可以排除这些限制。SSH 能够为整个通信通道提供加密,其中包括登录和密码凭据交换,它与公钥和私钥一起使用可以为登录提供自动化身份验证。您还可以将 SSH 用作基础传输协议。以这种方式使用 SSH 意味着在打开安全连接后,加密通道可以交换所有类型的信息,甚至 HTTP 和 SMTP 可以使用该方法来保证通信机制的安全。 OpenSSH 是 SSH 1 和 SSH 2 协议的免费实现。它最初是作为 OpenBSD (Berkeley Software Distribution) 操作系统的一部分开发的,现在被发布为 UNIX 或 Linux? 和类似操作系统的常规解决方案。 安装 OpenSSH OpenSSH 是免费软件,可以从 OpenSSH 的主要网站下载(请参见参考资料)。可以使用多种系统(包括 Linux、HP-UX、AIX?、Solaris、Mac OS X 等)上的源代码构建 OpenSSH 系统。通常可以找到所选平台和版本的预编译二进制代码。有些供应商甚至作为操作系统的一部分提供 OpenSSH 工具包。 要构建OpenSSH,您需要以下内容: ?C 编译器(GNU C 编译器 (gcc) 或类似编译器) ?Zlib –压缩库 ?OpenSSL –安全套接字层 (SSL) 安全库 注意: 在AIX上安装SSH , 需要安装OpenSSL来获得支持 . 否则, 安装会不成功 , 报错信息提示也要先安装OpenSSL . OpenSSL可以登陆IBM官网下载 , SSH软件从 上下载 .
第一章是考试内容的说明,省略。 2、系统安装 +++++++++++++++++++++++++++++++++ 注意:在安装AIX之前,要保证系统有足够的磁盘空间,否则安装会失败。 [安装启动方法] 安装AIX,系统需要从CD-ROM启动。如果是MCA机器,把钥匙面板转到Service的位置。 1、打开系统电源 2、放入安装光盘入CD-ROM。 3、如果是MCA机器,这一步省略。如果是PCI机器:当Keyborad指示出现在屏幕上时(在ASCII终端上是一个keyboard单词,在图形终端上是一个keyboard图标);按F5或5(直接连接的键盘按F5,ASCII终端按5),这将临时修改bootlist而从CD-ROM启动。 4、此时,系统将从CD-ROM启动,如果系统没有系统并且进入了SMS,则说明安装CD有问题。检查其是否正确,重试。 5、之后就到选择控制台和语言的屏幕等等。 6、在所有的安装定制选择完毕,开始安装时,MCA机器应该把钥匙面板转到Normal位置。 TCB(信任计算环境):提供一个安全的计算环境,必须要在最初安装BOS的时候选择,以后不能安装。 AIX的3种安装方法 全新安装:适用于之前没有安装AIX或是想重装整个rootvg或是要装TCB而不得不安新安装的情况。完全覆盖rootvg的内容。 移植安装:适用于想保存rootvg并升级到新版AIX的情况。 只覆盖/tmp文件系统的内容。 在安装过程中,安装程序将确定哪些软件必须被安装。而之前被安装的软件均被保留。 当从AIX3.2升级时,/usr/lib/drivers, /usr/lib/microcode, /usr/lib/methods, /dev中的文件被删除。因此所有相关的设备驱动必须被重装。 不管怎样,移植安装需要至少8MB的磁盘未用空间。否则安装会报错。 如果是从AIX4.3或以上升级,会出现一个配置屏幕给你选择,包括:列出目前系统上已经安装且与新版本AIX不兼容的软件;列出将被删除的文件;取消安装等。 移植安装完成后,上个版本的BOS文件集被新版本所取代,比如从4.3移植到5.1后,执行lslpp -l | grep 4.3来确认是否安装成功。 如果安装时移植安装选项不可选,可能因为BLV中有一个不正确的pad字串。这通常是由于上次移植安装不成功的缘故。可以用blvset命令重写pad子串:/usr/lpp/bosinst/blvset -d /dev/hdisk0 -p level,之后可以重试移植安装。 如果移植安装失败并且你需要恢复系统,那么最好是从你的备份中恢复。否则也可以去执行一个保留安装。移植安装完成后,应该重启机器。不然lslpp -l可能正确但lppchk -v会报告版本有问题。 保留安装:适用于想保存rootvg中用户数据的情况。 覆盖/, /usr, /tmp, /var文件系统的内容。
AIX7.1操作系统安装配置规范 文档信息 文档维护记录 2015年7月 信息科技部 适用范围 本安装配置规范适用于AIX V7.1版。 除条文中特别规定适用范围的,本安装配置规范条文适用于总分行的生产、研发和测试等环境。 鉴于AIX7.1操作系统小版本在不断变化中,且还分为express、standard、enterprise三个版本,本文档根据standard版安装过程截取步骤及截图,若安装其他版本操作系统,文档中所涉及的步骤或截图可能与实际环境有所差异,请注意结合实际情况做出判断。
目录 适用范围 (1) 一、硬件配置要求(生产环境必须满足,研发测试环境供参考) (3) 二、操作系统安装过程 (3) (一)准备工作 (3) (二)安装过程 (3) (三)其他软件包的安装 (20) 三、操作系统的配置步骤 (21) (一)修改时区 (21) (二)修正操作系统时间 (22) (三)修改ROOT用户的密码 (23) (四)修改机器名 (23) (五)修改操作系统属性参数 (24) (六)设置系统DUMP (25) (七)VG创建及配置 (27) (八)修改系统交换空间 (31) (九)激活串口 (32) (十)修改IP地址和路由设置 (33) (十一)建立逻辑卷WORKLV (35) (十二)创建文件系统 (36) (十三)系统内核参数调优 (38) (十四)系统资源参数调整 (38) (十五)配置安全连接软件SSH (39) (十六)部署NTP服务(生产环境必须设置,研发测试环境供参考) (40) (十七)部署生产系统操作系统自动备份脚本(生产环境必须设置,研发测试环境供参考) 40 四、操作系统的安全设置步骤 (41) (一)关闭所有不必要的系统服务进程 (41) (二)设置登录超时时间 (44) (三)限制用户使用SU (44) (四)操作系统用户帐户设置规范如下: (44) (五)用户密码策略设置(生产环境必须设置,研发测试环境供参考) (45) (六)系统安全其他方面的设置步骤 (47) 五、双网卡配置与监控部署 (48) (一)小型机双网卡配置(生产环境必须设置,研发测试环境供参考) (48) (二)部署生产系统综合管理脚本(生产环境必须设置,研发测试环境供参考) (49) (三)部署系统集中监控平台T IVOLI监控代理(生产环境必须设置,研发测试环境供参考) 50
安装基本操作系统(BOS) 打开计算机或在开机状态下重新启动(#reboot) 将AIX安装盘放入光驱 当系统自检keyboard 通过后,按"5"(从光驱引导) 系统提示: Please define 定义the system Console 控制台 后,按"1"(确认终端) 系统提示: Type a "1" and press Enter to use this termina终端l as the system console键入 "1" ,而且杂志报纸进入以这个终端机作为系统控制台 后按1(选择英语为安装语言) 进入安装程序,按系统提示操作: 选择“ 2 Chang/show Installation Settings and Install”指示安装设定和装置 一、其它选项不需改变,只需改以下两项: 将安装方式改为“New and Complete Installation“ 选择所要安装系统的disk 开始install。 二、设置终端类型(TTY) 结束安装后,第一次启动时,系统提示选择终端类型,应选择ibm3151 用"root"登录,接着出现系统设置(时间,密码等),直接退出即可 #export TERM=ibm3151(设置终端类型,否则无法进入smit) #smit tty (设置终端类型,否则以后启动还会要求选择终端类型) 选择chang/show characeristics of a TTY (修改) 修改ENABLE LOGIN 为"enable" 修改TERMINAL type 为ibm3151 三、安装Bundle (包) #smit easy_install 选择INPUT device / directory for software 为[/dev/cd0](按F4选择) 选择Select a FileSet Bundle 为Server 及App-Dev(有图形设备需选Graphics-Startup) 四、选择安装软件 #smit 进入Software Installation and Maintenance-〉Install and Update-〉SoftwareInstall and Updata from LA TEST A vailable Software 选择INPUT device / directory for software 为[/dev/cd0](按F4选择) 进入SOFTW ARE to install选择所需安装的软件 开头有"@"符即已安装过 开头有"+"符即未安装过 如不装图形终端,则以"X11"开头的不装 以下必须装:
AIX6.1系统安装配置手册 一、检查收集 (3) 二、准备 (3) 三、AIX系统安装 (3) 3.1 AIX安装方式简介 (3) 3.2 AIX系统光盘安装具体步骤 (4) 3.3通过定制的mksysb磁带安装 (6) 3.3.1设置启动顺序 (7) 3.3.2选择install from a System Backup的安装方式 (10) 3.3.3开始安装 (11) 3.3.4安装完成后操作系统自动重启动 (12) 3.4安装bundles软件 (12) 3.5安装单独的软件包 (13) 3.6安装中文环境软件包 (15) 3.7打Fix packs补丁 (16) 3.8验证软件安装 (17) 3.9完成操作系统安装 (17) 3.10镜像rootvg (18) 四、AIX系统配置及参数修改 (20) 4.1设置主机名 (20) 4.1.1hostname设置 (20) 4.1.2登陆提示符PS1设置 (21) 4.2配置网卡绑定、IP地址 (21) 4.2.1网卡绑定配置 (21) 4.2.2解绑网卡 (23) 4.2.3IP地址配置 (24) 4.2.4IPV4升级IPV6 (25) 4.3配置网络路由 (27) 4.3.1配置default gateway (27) 4.3.2配置静态路由 (27) 4.3.3检查路由配置 (28) 4.4设置系统时区及时间 (28) 4.5参数设置 (30) 4.6安全设置 (31) 4.6.1关闭不使用的系统服务 (31) 4.6.2禁止不用的用户登录 (31) 4.6.3通过IP限制用户远程登录 (32) 4.6.4 FTP配置 (34) 4.7SSH安装 (36) 4.7.1软件安装 (36) 4.7.2配置SSH (38) 4.8LVM管理 (46) 4.8.1添加硬盘 (47) 4.8.2修改磁盘属性的命令chpv (47) 4.8.3显示物理卷的信息 (48) 4.8.4删除物理卷 (48) 4.8.5卷组相关 (48) 4.8.6逻辑卷文件系统 (50)
AIX6.1系统安装(通过串口)安装配置手册
目录 一.版本 (4) 二.准备光盘 (4) 三.AIX系统安装 (4) 3.1 AIX安装方式简介 (4) 3.2 AIX系统安装具体步骤 (5) 3.2.1系统安装 (5) 3.2.2安装bundle (16) 3.2.3系统镜像设置及启动顺序设置 (17) 3.2.4 AIX系统补丁安装 (18) 四 AIX系统配置及参数修改 (20) 4.1 服务器IP及路由配置 (20) 4.2 修改服务器主机名 (21) 4.3 修改时区 (21) 4.4 修改时间 (22) 4.5 修改文件系统大小 (22) 4.6 系统用户的limits参数 (22) 4.7 Paging Space (22) 4.8 修改用户最大进程数 (23) 4.9 安装中文语言包 (23) 4.10安装Bash shell (27) 4.11 NTP服务配置 (28) 4.12创建用户 (29) 4.13限制某些用户无法ftp至power服务器 (30) 4.14限制root用户通过telnet/ssh/rlogin登录至power服务器 (30) 4.15 ASMI(超级系统管理口)的使用 (31) 4.16 数据库和应用自启动脚本配置 (33) 4.17 AIX中samba Server的配置方法 (34) 4.18 AIX中普通用户拥有sqlplus的执行权限配置方法 (35) 五.AIX常用系统命令简介 ................................................................................... 错误!未定义书签。 5.1系统开关机 ............................................................................................... 错误!未定义书签。 5.2设备查看命令 ........................................................................................... 错误!未定义书签。 a)lsdev命令 ........................................................................................... 错误!未定义书签。 b)lspv命令 ............................................................................................. 错误!未定义书签。 c)lscfg命令 ........................................................................................... 错误!未定义书签。 d)lsattr命令 ......................................................................................... 错误!未定义书签。 5.3逻辑卷操作命令 ....................................................................................... 错误!未定义书签。 a) mkvg错误!未定义书签。b) lsvg .................................................................................................................. 错误!未定义书签。 c) mklv .................................................................................................... 错误!未定义书签。 d) lslv .................................................................................................... 错误!未定义书签。
使用介质设备安装AIX 以通过HMC 安装分区 本过程中,您将使用逻辑分区的介质设备在该分区上执行基本操作系统的全新完全安装。此过程假定存在与受管系统连接的HMC。 先决条件 注意事项 注:对于您选择的安装方法,请确保按照显示的那样遵循步骤顺序。在每个过程中,必须使用AIX 来完成某些安装步骤,而其他步骤使用HMC 界面完成。 开始此过程之前,您应该已经使用了HMC 来创建客户机的分区和分区概要文件。将与介质设备相连的SCSI 总线控制器、网络适配器以及用于AIX 操作系统的足够磁盘空间分配给该分区。将此分区的引导方式设置为SMS 方式。成功创建分区和分区概要文件之后,使分区保持在就绪状态。有关如何创建逻辑分区和分区概要文件的指示信息,请参阅IBM? eServer? 硬件信息中心中的文章“Creating logical partitions and partition profiles”(创建逻辑分区和分区概要文件)。 步骤1. 激活并安装分区(在HMC 界面中执行这些步骤) 1.按如下所示激活分区: a.将AIX Volume 1 介质插入受管系统的介质设备。 b.右键单击分区以打开菜单。 c.选择Activate。Activate Partition 菜单打开,并带有分区概要文件的选项。 确保正确的概要文件是突出显示的。 d.在菜单底部选择Open a terminal window or console session,从而打开虚拟终 端(vterm) 窗口。 e.选择Advanced 打开Advanced 选项菜单。 f.对于引导方式,选择SMS。 g.选择OK 关闭Advanced 选项菜单。 h.选择OK。打开分区的vterm 窗口。 2.在vterm 上的SMS 菜单中,执行以下操作: a.按下5 键并按Enter 键选择5. Select Boot Options。 b.按下2 键并按Enter 键选择2. Select Boot Devices。 c.按下1 键并按Enter 键选择1. Select 1st Boot Device。 d.按下3 键并按Enter 键选择3. CD/DVD。 e.选择对应介质设备的介质类型,并按Enter 键。 f.选择对于介质设备的设备号,并按Enter 键。介质设备现在是Current Boot Sequence 列表中的第一个设备。