Aix上规则包发布及部署手册

AIX系统安全配置1 身分识别1.1 账户设定只有特定的授权帐户可用来增加用户及群组，此为AIX默认值且不应被更改；一般帐户不应该有多余的管理权限，此为AIX默认值且不该被更改；只有特定的授权帐户可用来删除用户及群组、修改及打印所有帐户资料。

以用来防止非法存取系统，或集中攻击有特别权限的帐户，此为AIX默认值且不该被更改；只有特定的授权帐户可用来检查使用者状态。

为防止入侵者存取非公开系统资料，用户状态资料仅可由特定帐户取得。

这一点在AIX仅部份可行，因为如果使用者锁定，则其它使用者无法看到此使用者，但却可使用 who 命令来检查登陆的帐户；只有特定的授权帐户可用来打印所有群组信息、锁定或未锁定的帐户。

以用来防止非法存取系统，或集中攻击有特别权限的群组，此为AIX默认值且不该被更改；只有特定的授权帐户可用来更改授权帐户数目。

太多的用户同时使用某应用系统可能影响系统稳定性，此为AIX默认值且不该被更改；系统管理员群组的人员不可存取所有资源，管理群组的人员应只能存取工作上所需用的资源。

存取所有资源不应被允许，此为AIX默认值且不该被更改；一般用户不可存取特定系统文件及命令。

系统命令及程序只能被特定帐户使用，一般用户不可存取此类功能。

应通过权限控制管理来进行限制，此为AIX默认值且不该被更改；权限的控制管理应在文件产生时即被设置，仅有文件的产生者能读取、写入、执行或删除此文件，使用者的 umask设定为仅允许文件产生者存取 (例外：root 用户可存取系统所有文件)。

Umask的设定控制了文件除了删除外的权限，删除的权限则根据文件所在目录的权限位来决定；最少权限机制应被应用，以确保应用程序以最少权限执行，所有应用程序的授权应保持最低权限；只有特别的授权帐户可安装软件或加入新设备到系统中，并安装安全的更新修正程序，此为AIX默认值且不该被更改；存取系统资源取决于使用者及群组的身份，使用者的权限可能多于其群组的权限；1.2 推荐用户属性推荐以下属性：每个用户应有一个不与其它用户共享的用户标识。

AIX安全配置程序1 账号认证编号：安全要求-设备-通用-配置-1编号：安全要求-设备-通用-配置-22密码策略编号：安全要求-设备-通用-配置-3编号：安全要求-设备-通用-配置-4编号：安全要求-设备-通用-配置-5编号：安全要求-设备-通用-配置-63审核授权策略编号：安全要求-设备-通用-配置-7(1)设置全局审核事件配置/etc/security/audit/config文件，审核特权帐号和应用管理员帐号登录、注销，用户帐号增删，密码修改，执行任务更改，组更改，文件属主、模式更改，TCP连接等事件。

classes:custom = USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create,USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_J obAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER _Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_ Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime(2)审核系统安全文件修改配置/etc/security/audit/objects文件，审核如下系统安全相关文件的修改。

/etc/security/environ:w = "S_ENVIRON_WRITE"/etc/security/group:w = "S_GROUP_WRITE"/etc/security/limits:w = "S_LIMITS_WRITE"/etc/security/login.cfg:w = "S_LOGIN_WRITE"/etc/security/passwd:r = "S_PASSWD_READ"w = "S_PASSWD_WRITE"/etc/security/user:w = "S_USER_WRITE"/etc/security/audit/config:w = "AUD_CONFIG_WR"编号：安全要求-设备-通用-配置-8编号：安全要求-设备-AIX-配置-94日志配置策略本部分对AIX操作系统设备的日志功能提出要求，主要考察设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。

AIX系统安全配置指南1. 远程访问控制 ........................................................................... - 2 -1.1.登陆限制 .......................................................................... - 2 -1.2.登陆屏幕欢迎词 .............................................................. - 2 -1.3.离开时锁定 ...................................................................... - 3 -1.4.强制自动注销 .................................................................. - 3 -2. 用户帐户安全 ........................................................................... - 4 -2.1. Root 帐户......................................................................... - 4 -2.2. 禁用直接 root 用户登录................................................ -4 -2.3. 用户帐户控制 .................................................................. - 5 -2.4. 禁用不需要的默认帐户 .................................................. - 6 -3. 密码安全 ................................................................................... - 7 -3.1. 设置强密码 ...................................................................... - 7 -3.2.设置密码策略 .................................................................. - 7 -4. AIX系统日常检查 ................................................................... - 9 -1. 远程访问控制1.1. 登陆限制要防止潜在黑客较难通过猜测密码来攻击系统，请在/etc/security/login.cfg 文件中设置登陆控制： 属性 用于PtYs(网络) 用于TTYs 建议值注释Sad_enabled Y Y false 很少需要“安全注意键”。

索引2存储管理.................................................2.1概述................................................2.2物理卷定义（PV）...................................2.3巻组定义（VG）.....................................2.4逻辑卷定义（LV）...................................2.5交换空间（PS）.....................................2.6文件系统命令 .......................................2.7作启动镜像盘 .......................................2.8创建文件系统过程 ...................................3系统管理.................................................3.1系统错误日志（errdemon）..........................3.2系统日志(alog)......................................3.3系统状态及设备查询 .................................3.4系统关机及重启 .....................................3.5光驱加载 ...........................................3.6性能监控 ...........................................3.7服务管理 ...........................................3.8环境变量 ...........................................3.9启动常见错误码 .....................................4网络管理.................................................4.1TCPIP服务组........................................ 1命令索引2存储管理2.1概述AIX下磁盘首先是一个物理卷（PV），几个物理卷组成一个巻组（VG）。

中国移动A I X操作系统安全配置规范S p e c i f i c a t i o n f o r A I X O S C o n f i g u r a t i o nU s e d i n C h i n a M o b i l e版本号：1.0.0网络与信息安全规范编号:【网络与信息安全规范】·【第四层：技术规范·AIX操作系统类】·【第2501号】2008-5-15发布2008-05-15实施中国移动通信集团公司发布目录1概述 (1)1.1适用范围 (1)1.2内部适用性说明 (1)1.3外部引用说明 (3)1.4术语和定义 (3)1.5符号和缩略语 (3)2AIX设备安全配置要求 (3)2.1账号管理、认证授权 (3)2.1.1账号 (3)2.1.2口令 (6)2.1.3授权 (8)2.2日志配置要求 (10)2.3IP协议安全配置要求 (13)2.3.1IP协议安全 (13)2.3.2路由协议安全 (14)2.4设备其他安全配置要求 (15)2.4.1屏幕保护 (15)2.4.2文件系统及访问权限 (16)2.4.3补丁管理 (16)2.4.4服务 (17)2.4.5启动项 (19)前言本标准由中国移动通信有限公司网络部提出并归口。

本标准由标准提出并归口部门负责解释。

本标准起草单位：中国移动通信有限公司网络部。

本标准解释单位：同提出单位。

本标准主要起草人：中国移动集团浙江公司徐良1概述1.1 适用范围本规范适用于中国移动通信网、业务系统和支撑系统中使用AIX操作系统的设备。

本规范明确了AIX操作系统配置的基本安全要求，在未特别说明的情况下，均适用于所有运行的AIX操作系统版本。

1.2 内部适用性说明本规范是在《中国移动设备通用设备安全功能和配置规范》（以下简称《通用规范》）各项设备配置要求的基础上，提出的AIX操作系统安全配置要求。

以下分项列出本规范对《通用规范》设备配置要求的修订情况：安全要求-设备-AIX-配置-4-可选安全要求-设备-AIX-配置-5-可选安全要求-设备-AIX-配置-6安全要求-设备-AIX-配置-12-可选安全要求-设备-AIX-配置-13-可选安全要求-设备-AIX-配置-18-可选安全要求-设备-AIX-配置-19-可选安全要求-设备-AIX-配置-21-可选安全要求-设备-AIX-配置-22-可选安全要求-设备- AIX -配置-23-可选安全要求-设备- AIX -配置-24-可选安全要求-设备- AIX -配置-27-可选安全要求-设备- AIX -配置- 28-可选安全要求-设备- AIX -配置-30-可选安全要求-设备- AIX -配置-31-可选安全要求-设备- AIX -配置-32-可选安全要求-设备- AIX -配置-33安全要求-设备- AIX -配置-34-可选安全要求-设备- AIX -配置-35-可选安全要求-设备- AIX -配置-36-可选安全要求-设备- AIX -配置-PZ -37本规范还针对直接引用《通用规范》的配置要求，给出了在AIX操作系统上的具体配置方法和检测方法。

浪潮存储系统InPath for AIX用户手册文档版本 2.0发布日期2020-09-28 适用版本InPath_for_AIX_V2.2.1及以上尊敬的用户：衷心感谢您选用浪潮存储系统！浪潮存储秉承“云存智用运筹新数据”的新存储之道，致力于为您提供符合新数据时代需求的存储产品和解决方案。

本手册用于帮助您更详细地了解和便捷地使用存储系统，涉及的截图仅为示例，最终界面请以实际设备显示的界面为准。

由于产品版本升级或其他原因，本手册内容会不定期进行更新，如有变动恕不另行通知。

除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。

浪潮拥有本手册的版权，保留随时修改本手册的权利。

未经浪潮许可，任何单位和个人不得以任何形式复制本手册的内容。

如果您对本手册有任何疑问或建议，请向浪潮电子信息产业股份有限公司垂询。

技术服务电话：4008600011地址：中国济南市浪潮路1036号浪潮电子信息产业股份有限公司邮编：250101在您正式使用本存储系统之前，请先阅读以下声明。

只有您阅读并且同意以下声明后，方可正式开始使用本存储系统。

如果您对以下声明有任何疑问，请和您的供货商联系或直接与我们联系。

如您在开始使用本系统前未就以下声明向我们提出疑问，则默认您已经同意了以下声明。

1.请不要自行拆卸本存储系统机箱及机箱内任何硬件设备。

在本存储系统出现任何硬件故障或您希望对硬件进行任何升级时，请您将机器的详细硬件配置反映给我们的客户服务中心。

2.请不要将本存储系统的设备与任何其他型号的相应设备混用。

本存储系统的内存、CPU、CPU散热片、风扇、硬盘托架、硬盘等都是特殊规格的。

3.在使用本存储系统时遇到任何软件问题，请您首先和相应软件的提供商联系。

由提供商和我们联系，以方便我们共同沟通和解决您遇到的问题。

对于数据库、网络管理软件或其他网络产品的安装、运行问题，我们尤其希望您能够这样处理。

4.上架安装本存储系统前，请先仔细阅读相关产品手册中的快速安装指南。

AIX操作系统安全配置要求及操作指南
一、AIX操作系统安全配置要求
1.分级访问控制：要实施分级访问控制机制，明确管理者和普通用户
的访问等级，并分配不同的权限，使不同的用户层次由不同的权限控制。

2. 加强密码的安全策略：要加强密码的安全策略，包括定期更改密码，禁止使用过于简单的密码，不要在没有严格安全限制的情况下使用
root 权限。

3. 运行级别：禁止用户以root 身份登录系统，只有当用户需要以root 身份执行一些操作时，才能以root 身份登录，否则以普通用户身
份登录。

4.防火墙：根据网络的具体情况，采用专用防火墙或者网络模式的防
火墙，控制和限制外部计算机的访问权限。

5. 禁止外部访问：禁止外部访问系统，如FTP，telnet，外部的terminal访问等，除非有必要。

启用SSL/TLS 加密 socket 服务，防止
攻击者窃取数据。

6.定期备份：定期对重要的数据进行备份，以便在发生意外时及时进
行恢复。

7.实施流量监测：实施流量监测，实时检测系统中的网络流量和活动，以便及时捕获非法活动。

文档编号：AIX系统安全配置手册2006年5月文档信息分发控制版本控制AIX系统安全加固手册1.系统维护升级加固1．下载系统推荐维护包在AIX操作系统中，补丁修正软件包分为维护包和推荐维护包：维护包(Maintenance Levels，简称ML) 由从AIX 4.3 的基准文件集更新后的一系列文件集组成。

每个文件集的更新都是累计的，即它包含了AIX 4.3发布以来的所有那个文件集的补丁，并替换了所有以前的更新。

维护包(ML)的命名规则是4位的VRMF：V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fix可以用oslevel来判定当前系统中的维护包版本。

可以通过安装ML来升级操作系统的改进版号modification，例如，从4.3.0.0升级到4.3.3.0。

推荐维护包(Recommended Maintenance，简称RM)是由一系列适用于最新的ML的文件集组成的软件包，它由一系列经过较多实测过的更新的文件集组成。

通过安装RM，可以使你的系统拥有较新的文件集，但它不能升级系统版本。

推荐维护包(RM)的命名规则是4位的VRMF，再加两位数字后缀：V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fixRM-推荐维护包Recommended Maintenance 如4330-01 是4330 的第1个推荐维护包(RM)。

可以用以下的命令来判定是否4330-01已经安装在系统里，oslevel将仍然显示4.3.3.0,表示系统的ML仍是4330：instfix -ik 4330-01_AIX_ML我们可以通过该网站（）下载ML或RM，并通过gzip解压缩，然后按照如下提示的详细信息进行安装。

2．解压缩推荐维护包我们建议将推荐维护包解压缩至/usr/sys/inst.imagescd /tmp/mlgzip -d *.tar.gzcd /usr/sys/inst.imagesfind /tmp/ml -name \*.tar -exec tar -xvf {} \;rm –rf /tmp/ml3．用df检查系统硬盘空间大小，确保/，/usr，/var，/tmp等目录有足够的空间。

IAIX系统操作手册系统操作手册版本：5L目录第一章AIX操作系统的安装 (5)安装介质与方式 (5)BOS（Base Operating System)安装 (5)第二章AIX操作系统基本命 (8)➢系统的进入和退出 (8)password (8)mkdir、rm、mv和cd (8)ls (9)date (10)wc (10)who (10)finger (11)ps (11)kill (15)find (15)grep (16)第三章vi编辑器 (18)3。

1vi 简介 (18)3。

2vi的进入与离开 (18)3.3vi 的文本输入模式 (18)3.4vi 基本编辑命令 (19)3。

5文件处理子命令 (21)第四章存储管理 (21)4.1相关术语 (21)PV （Physical V olume) (21)VG (Volume Group） (21)PP (Physical Partition) (22)LP （Logical Partition) (22)LV（Logical V olume) (22)Mirror(镜像） (22)VGDA(Volume Group Description Area，卷组描述区） (22)VGSA(V olume Group Status Area，卷组状态区） (23)4.2PV的管理 (23)硬盘安装 (23)配置一个PV (23)修改PV的属性 (24)删除一个PV (24)4。

3VG的管理 (24)创建一个VG (24)删除一个VG (25)对VG的管理 (25)4。

4LV的管理 (27)增加一个LV (27)修改LV的属性 (28)删除一个LV (31)第五章RS6000 更换硬盘的过程 (33)HDISK0和HDISK1做成MIRROR，是ROOTVG (33)先做系统备份 (33)查看HDISK0的S/N，P/N号等，在换盘的时候做对照 (33)查看所有硬盘(包括逻辑盘）的状态＃lsdev —Cc disk (34)停HACMP (34)把HDISK0从ROOTVG中不做MIRROW (34)关机 (35)开机 (35)把HDISK0加到ROOTVG中并做镜像 (35)重启动2号机 (35)关闭1号机的HACMP (36)重启动1号机 (36)启动1号机的HACMP (36)启动2号机的HACMP (36)第六章HACMP安装配置 (36)准备工作 (36)检测连8port卡的TTY (37)使用AIX安装CD安装文件 (37)修改电源管理 (38)Netscape安装和配置 (38)安装HACMP/ES软件 (38)安装最新的AIX和HACMP补丁 (39)SSA微码升级 (39)设置主机名 (39)为所有网卡绑定boot或standby的IP地址 (39)创建VG、LV和FS (40)修改系统参数 (41)重启两台机器 (42)配置HACMP (42)HA测试（一）：启动和关闭 (44)HA测试(二）：本机IP接管 (44)HA测试(三）:资源接管 (45)第七章模拟硬盘更换 (46)预做方案 (46)查看硬盘信息 (46)把要更换硬盘从VG中拿掉 (46)关机 (47)准备工作 (47)拆机箱 (47)更换硬盘 (47)开机 (47)查看硬盘 (47)改PV (47)做镜像 (47)把另一块盘18G拿掉 (48)关机 (48)更换硬盘 (48)开机 (48)查看硬盘信息 (48)改PV (48)做镜像 (48)起服务 (48)英迈强人 (48)第二方案 (50)把把机器的前面板拆下 (50)查看硬盘信息,看哪个盘是干什么用的 (50)把要更换硬盘从VG中拿掉 (50)把硬盘做成PV (51)lspv查看硬盘情况 (51)把硬盘加到VG中 (51)把18G硬盘数据复制到36G上, (51)取下另一18G硬盘 (51)把硬盘做成PV (51)做镜像 (51)检查，OK (52)第一章AIX操作系统的安装安装介质与方式AIX操作系统的安装可以：1）通过Tape安装。

AIX7.1操作系统安装配置规范文档信息项目名称：AIX7.1操作系统安装配置规范文档版本号：1.0文档作者：环境保障二处生成日期：2015年7月文档审核者：环境保障二处审核日期：文档维护记录版本号维护日期作者/维护人描述1.0 2015-7-7 环境保障二处根据中心内部相关处室讨论意见及部门会商意见修订，形成正式文档2015年7月信息科技部适用范围本安装配置规范适用于AIX V7.1版。

除条文中特别规定适用范围的，本安装配置规范条文适用于总分行的生产、研发和测试等环境。

鉴于AIX7.1操作系统小版本在不断变化中，且还分为express、standard、enterprise三个版本，本文档根据standard版安装过程截取步骤及截图，若安装其他版本操作系统，文档中所涉及的步骤或截图可能与实际环境有所差异，请注意结合实际情况做出判断。

目录适用范围 (1)一、硬件配置要求(生产环境必须满足，研发测试环境供参考) (3)二、操作系统安装过程 (3)(一)准备工作 (3)(二)安装过程 (3)(三)其他软件包的安装 (20)三、操作系统的配置步骤 (21)(一)修改时区 (21)(二)修正操作系统时间 (22)(三)修改ROOT用户的密码 (23)(四)修改机器名 (23)(五)修改操作系统属性参数 (24)(六)设置系统DUMP (25)(七)VG创建及配置 (27)(八)修改系统交换空间 (31)(九)激活串口 (32)(十)修改IP地址和路由设置 (33)(十一)建立逻辑卷WORKLV (35)(十二)创建文件系统 (36)(十三)系统内核参数调优 (38)(十四)系统资源参数调整 (38)(十五)配置安全连接软件SSH (39)(十六)部署NTP服务(生产环境必须设置，研发测试环境供参考) (40)(十七)部署生产系统操作系统自动备份脚本(生产环境必须设置，研发测试环境供参考) 40四、操作系统的安全设置步骤 (41)(一)关闭所有不必要的系统服务进程 (41)(二)设置登录超时时间 (44)(三)限制用户使用SU (44)(四)操作系统用户帐户设置规范如下： (44)(五)用户密码策略设置(生产环境必须设置，研发测试环境供参考) (45)(六)系统安全其他方面的设置步骤 (47)五、双网卡配置与监控部署 (48)(一)小型机双网卡配置(生产环境必须设置，研发测试环境供参考) (48)(二)部署生产系统综合管理脚本(生产环境必须设置，研发测试环境供参考) (49)(三)部署系统集中监控平台T IVOLI监控代理(生产环境必须设置，研发测试环境供参考)50一、硬件配置要求(生产环境必须满足，研发测试环境供参考)AIX操作系统适用于IBM 小型机和刀片式基于Power系列芯片开发的机型，相应的硬件要求建议如下：➢双电源模块冗余配置（拷机过程中需进行电源冗余测试工作）。

AIX操作系统工作手册修改履历目录1引言 (4)1.1编写目的 (4)1.2适用范围 (5)1.3预期读者 (5)1.4文档说明 (5)2操作系统健康性检查 (5)2.1系统日志 (6)2.1.1系统硬件错误日志检查 (6)2.1.2系统所有错误日志检查 (7)2.1.3系统错误日志Core_dump检查 (8)2.1.4系统错误日志DELAYED_INT检查 (8)2.1.5系统邮件日志内容检查 (9)2.1.6系统邮件日志大小检查 (10)2.1.7登录失败日志文件大小检查 (11)2.1.8登录日志文件大小检查 (11)2.1.9su日志文件大小检查 (12)2.1.10异常终止的vi日志文件大小检查 (13)2.2系统性能 (13)2.2.1系统CPU使用率检查 (13)2.2.2查看占用CPU资源最多的进程 (17)2.2.3系统内存使用率检查 (17)2.2.4系统占用内存资源最多的进程 (19)2.2.5系统磁盘繁忙程度检查 (21)2.3交换空间 (23)2.3.1交换空间使用率检查 (23)2.4进程状态 (23)2.4.1僵尸进程检查 (23)2.5网络状态 (24)2.5.1网卡状态检查 (24)2.5.2路由状态检查 (25)2.5.3网络传输检查 (26)2.5.4网络连接数量及状态检查 (29)2.5.5主机解析检查 (31)2.6存储状态 (31)2.6.1HBA卡状态检查 (31)2.7文件系统状态 (32)2.7.1文件系统使用率检查 (32)2.7.2文件系统挂载检查 (33)2.7.3NFS文件系统挂载检查 (34)2.7.4dump设备空间检查 (34)2.8逻辑卷状态 (35)2.8.1Rootvg的剩余空间检查 (35)2.8.2PV状态检查 (36)2.8.3是否存在stale的pp检查 (36)2.9系统安全 (37)2.9.1系统登录情况检查 (37)2.9.2特权用户检查 (38)2.9.3Su操作次数检查 (38)2.9.4失败登录记录检查 (39)2.10双机状态 (40)2.10.1双机心跳状态检查 (40)2.10.2Hacmp.out日志检查 (41)2.10.3Cluster.log日志检查 (41)2.10.4双机节点状态检查 (42)2.11其它 (42)2.11.1操作系统时间检查 (42)3操作系统异常快速排查规范 (43)3.1系统日志检查 (43)3.2CPU使用率检查 (44)3.3内存使用率检查 (44)3.4I/O使用率检查 (45)3.5网络检查 (45)3.6交换区检查 (46)3.7文件系统检查 (46)3.8双机检查 (47)1引言1.1 编写目的为了保证项目组所运维系统的持续健康运行，降低操作系统的出错几率，并在出现问题时及时且有效的进行排查、处理，故编写本手册。

AIX操作系统安全配置手册许新新***************.com2011-6-8 版本号：V1.0目录1. 引言 (2)2. 用户管理 (2)2.1 用户账号安全设置 (2)2.2 删除一个用户账号 (3)2.3 禁止root用户直接登录 (4)2.4 用户登录审计 (4)2.5 密码规则设置 (6)2.6 文件和目录的默认访问权限 (6)2.7 用户错误登录次数过多导致账号被锁定 (7)2.8 查看密码的上次修改时间 (7)2.9 chpasswd和pwdadmin命令的使用 (8)3. 网络安全 (9)3.1 安装SSH文件集并设置 (9)3.2 TELNET和SSH的安全性比较 (10)3.3 禁止TELNET、FTP、RLOGIN等网络服务 (11)3.4 限制某些用户FTP登录 (12)3.5 设置目录的FTP访问权限 (12)3.6 将用户FTP访问限定在自己的$HOME目录 (15)3.7 实现基于IP地址的访问控制 (15)3.8 查看当前的TCPIP网络连接 (18)4. 系统安全管理 (19)4.1 设置用户终端长时间不操作后自动退出 (19)4.2 设置NTP网络时钟协议 (20)4.3 停止NFS服务 (22)4.4 设置用户limits参数 (23)4.5 wtmp文件的使用 (24)1. 引言AIX作为IBM Power系列开放平台服务器的专用操作系统，属于UNIX操作系统的一个商业版本。

作为企业级服务器的操作平台，安全性是AIX必备的一个重要特性。

由于我们的小型机上往往运行着客户的核心生产业务，因此对于系统的安全设置往往会有着严格的要求。

2. 用户管理AIX是一个多用户操作系统，多个用户要在同一个系统环境中协同工作，用户访问权限的设置、用户作业的相互隔离、用户系统资源的限制，都是AIX操作系统不可或缺的功能。

2.1 用户账号安全设置为了保证整个操作系统的安全，每个用户账号必须满足如下安全设置要求：（1）每个系统管理员应该设置单独的账号，不允许多个管理员共用一个账号；（2）root用户不允许直接登录，必须通过其他用户登录后，通过su命令获得root用户权限；（3）禁用或者删除不使用的系统账号；（4）设置必要的密码规则。

HMC&AIX用户手册和管理手册目录目录.............................................................................................. 错误!未定义书签。

1Basic operation............................................................ 错误!未定义书签。

1.1登录HMC............................................................ 错误!未定义书签。

1.2注销HMC............................................................ 错误!未定义书签。

1.3重启HMC............................................................ 错误!未定义书签。

1.4查看网络拓状态(View Network Topology). 错误!未定义书签。

2Service Management常见功效项:............................ 错误!未定义书签。

2.1状态栏功效....................................................... 错误!未定义书签。

3Service Plans ............................................................... 错误!未定义书签。

3.1怎样查看小型机资源配置：........................... 错误!未定义书签。

3.2怎样开关机及激活分区：............................... 错误!未定义书签。

AIX环境下应用服务器安装和配置1.环境●操作系统AIX 5.3.0.0●IP地址10.1.15.58●物理内存6G●JDK 1.4.2 —JAVA_HOME：usr/java14●JDK 1.5 —JAVA_HOME：usr/java5●JDK 1.6 —JAVA_HOME：usr/java6●远程访问工具Xmanager Enterprise 32.常用命令AIX系统文件目录操作：pwd:查看当前所在目录路径cd 目录名：进入指定目录ls：查看当前目录下所有文件rm 文件名：删除指定文件svmon –G：查看当前系统资源情况简单FTP上传示例：1.“开始”-“运行”-输入“FTP”2.open 10.1.15.583.输入用户名，输入密码4.成功登陆后就可以用dir查看命令查看FTP服务器中的文件及目录，用ls命令只可以查看文件5.使用mkdir命令创建临时文件夹，cd命令进入该文件夹，pwd查看当前路径6.使用bin命令，采用二进制传输。

如果你要上传下载，这一步很重要，不先执行这个命令，上传下载会很慢。

7.使用lcd e:\目标，进入本地文件夹，使用!dir命令查看当前本地文件路径8.使用put 文件名，进行ftp传输9.使用命令by退出ftp服务器3.安装和配置要点3.1.JDKAIX系统自带JDK 1.4.2，如需高版本，需要自行安装，步骤如下：1.从IBM官方网站下载安装包for AIX2.通过ftp将安装包上传至目标主机的temp文件夹3.如果是zip包，使用命令jar –xvf 包名.zip 解压缩4.在命令编辑器中输入smit，进入一个类似install的页面，选安装软件，选择安装包路径，然后开始安装（每次安装之前，应确保删除了安装目录下的.toc文件，该文件会保存上次安装的信息）5.安装成功后，退出smit界面6.设置环境变量，以jdk 1.6为例，如图所示（在weblogic和jboss启动时，都会自动设置环境变量，所以只需修改应用中间件的配置文件，指定安装的jre即可，一般无需单独设置环境变量）：7.通过命令java –Xmx内存值m –version，可以查看当前环境下是否可以为jvm分配指定大小的内存3.2.WebSphere版本：5.1系统要求：jdk 1.4.2（不被更高版本的jdk所支持）1.将安装盘放入AIX机的光驱，在xmanger下命令编辑器中执行安装脚本（由于是图形化安装向导，所以需要在xmanger下运行）2.安装过程与NT环境下类似，期间需要指定安装目录，创建管理账户admin@bros3.安装完成后，可以进行安装检验，以确认是否正确安装（9090这个端口与AIX自带的webSM tools的端口冲突，这样需要修改两个xml文件，将9090替换为9092即可）1)Virtual Host : <WAS_HOME>/config/cells/<cellname>/virtualhosts.xml2)HTTPTransport :<WAS_HOME>/config/cells/<cellname>/nodes/<nodename>/servers/server1/server.xml4.输入以下命令启动WebSphere Application Server../IBM/WebSphere/AppServer/bin/startServer.sh server15.在浏览器输入下面地址，访问控制台http://10.1.15.58:9092/admin6.输入以下命令停止WebSphere Application Server../IBM/WebSphere/AppServer/bin/stopServer.sh server17.修改java虚拟机分配的内存大小3.3.Weblogic版本：10.3系统要求：jdk 1.6步骤：1.打开Xmanager，进入AIX，打开命令编辑器2.设置jdk 1.6的java环境变量，如图所示，设置之后java –version确认3.进入安装包所在文件夹，java –jar 安装包完整名称，弹出安装向导，按步进行即可，过程和NT下的安装基本相同，用户名密码admin@123456784. 安装完成后，进入命令编辑器，创建域，过程与NT 下类似5.启动weblogic服务，在命令编辑器下，进入创建域的路径，然后执行脚本./startWebLogic.sh（大小写敏感），启动成功之后，即可通过http://10.1.15.58:7001/console访问控制台6.停止服务停止Weblogic服务有多种：1、KILL掉进程2、通过”http://服务地址：7001/console”,shutdownserver 7.修改java虚拟机分配的内存大小3.4.Jboss版本：jboss 5.0.0.GA系统要求：jdk 1.61.从官网下载zip包，上传到指定文件路径下2.使用命令jar –xvf 包名.zip 解压缩3.在命令编辑器中进入路径如下：1)./run.sh 启动应用2)./shutdown.sh 停止应用4.在run.conf文件中修改为jre分配的内存大小4.JVM内存分配测试在10.1.15.58上，对各个中间件所能分配的JVM内存大小进行测试，采用两种方法进行测试：1.修改中间件的配置文件，为jvm指定分配内存的值，并查看系统资源占用情况2.通过命令java –Xmx内存大小m –version，为jvm内存指定值经试验证明，各中间件所能分配的JVM内存大小，完全取决于jdk的版本；即基于不同jdk版本的中间件，为jvm分配的内存值，以上测试1和2得出的结果是一致的。

文档编号：AIX系统安全配置手册2006年5月声明：本文档是启明星辰信息技术有限公司安全评估服务项目提交文档的一部分，文档的所有权归启明星辰公司所有，任何对本文档的修改、发布、传播等行为都需要获得启明星辰公司的授权，明星辰公司保留对违反以上声明的组织或个人追究责任，诉诸法律的权力。

启直至文档信息文档名称保密级别制作人参与制作人文档版本编号制作日期V1.0复审人适用范围分发控制复审日期本文档为启明星辰信息技术有限公司(以下简称启明星辰)安全评估服务项目中所制作的项目文档，供相关项目人员参考。

编号123版本控制读者文档权限与文档的主要关系项目组成员使用本规定项目的负责人，负责本文档的批准程序时间2006-5-12版本V1.0说明修改人陈波AIX系统安全加固手册1.系统维护升级加固1．下载系统推荐维护包➢在AIX操作系统中，补丁修正软件包分为维护包和推荐维护包：维护包(Maintenance Levels，简称ML)由从AIX4.3的基准文件集更新后的一系列文件集组成。

每个文件集的更新都是累计的，即它包含了AIX4.3发布以来的所有那个文件集的补丁，并替换了所有以前的更新。

维护包(ML)的命名规则是4位的VRMF：V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fix可以用oslevel来判定当前系统中的维护包版本。

可以通过安装ML来升级操作系统的改进版号modification，例如，从4.3.0.0升级到4.3.3.0。

➢推荐维护包(R ecommended Maintenance，简称RM)是由一系列适用于最新的ML的文件集组成的软件包，它由一系列经过较多实测过的更新的文件集组成。

通过安装RM，可以使你的系统拥有较新的文件集，但它不能升级系统版本。

推荐维护包(RM)的命名规则是4位的VRMF，再加两位数字后缀：V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fixRM-推荐维护包R eco mmend ed Maintenance如4330-01是4330的第1个推荐维护包(RM)。

AIX操作系统安装配置规范目录AIX操作系统安装配置规范 (1)1 系统安装配置标准 (3)2 安装配置指南 (7)2.1 操作系统安装 (7)2.2 语言包安装 (10)2.3 软件包安装 (11)2.4 补丁安装 (16)2.5 系统配置 (18)2.5.1 时区时间配置 (18)2.5.2 系统参数设置 (18)2.5.3 设置dump大小 (20)2.5.4 修改磁盘定额 (20)2.5.5 rootvg镜像 (20)2.5.6 配置TCP/IP (21)2.5.7 修改用户限制 (21)2.5.8 调整Paging Space (21)2.5.9 启动异步IO (22)2.5.10 修改系统引导映像、顺序 (23)2.5.11 syncd daemon的数据刷新频率 (23)1系统安装配置标准lsps –a 查看当前页面空间的大小lsvg rootvg查看smitty chpsvi /etc/security/limits将default段中3个值改为-1ha不选2安装配置指南2.1操作系统安装将AIX系统光盘放进主机的cdrom中，启动主机，选1进入到SMS Menu，选择从光盘引导启动。

进入如下安装界面后，选择2更改设置安装：安装磁盘为hdisk0,语言环境为English，键盘默认。

选择0开始安装。

安装完成后，接受安装许可，进入系统。

2.2语言包安装将AIX系统安装光盘放入光驱安装，安装三种中文语言包，输入smitty mlang,选择添加额外语言环境，在CULTURAL convention to install，LANGUAGE translation toinstall中选择ZH_CN.UTF-8、zh_CN.IBM-eucCN、Zh_CN.GB18030，确认安装，输入smitty installp，选择Install Software Bundle，安装App-Dev，CDE，Server三个软件包，选择从cdrom安装（如果从磁盘安装请输入对应的磁盘路径），接受license，直至提示安装成功，安装单独的软件包：bos.data、bos.adt.*、bos.dosutil、devices.fcp.*、bos.dlc、bos.alt_disk_install、rsct.basic。

贵州电信综合服务保障系统安装部署手册苏州科大恒星信息技术有限公司S U Z H O U U S T C S T A R I N F O R M A T I O N T E C H N O L O G Y C O.,L T D.2013年3月版本记录目录版本记录 (1)目录 (1)第1章引言 (3)1.1目的 (3)1.2术语解释 (3)1.3参考资料 (4)第2章系统总体规划 (4)2.1系统概述 (4)2.2系统结构描述 (4)2.3系统硬件资源 (6)2.4主机规划 (7)2.4.1 服务器规划 (7)2.4.2 IP规划 (8)2.4.3 光纤交换机端口规划（需现场确认） (8)2.5磁盘规划 (9)2.5.1 磁盘阵列规划 (9)2.5.2 卷组和文件系统规划 (9)2.6系统软件环境 (11)第3章硬件篇 (11)3.1系统安装 (11)3.1.1 安装前的装备工作 (11)3.1.2 机房环境要求 (11)3.1.3 机房电气要求 (12)3.1.4 机房工作环境要求 (12)3.1.5 机房安全性要求 (12)3.1.6 系统平台安装前要求 (13)3.1.7 安装步骤 (13)3.1.8 主机定位 (13)3.1.9 主机连接 (14)3.1.10 主机连接 (15)3.1.11 上电检测 (16)3.2注意事项 (17)第4章数据库篇 (17)4.1需要初始化的数据 (17)4.2需要迁移（升级）的数据 (17)4.3系统安装 (17)4.3.1 安装前的装备工作 (17)4.3.2 安装步骤 (19)4.4注意事项 (20)第5章中间件和第三方软件 (20)5.1系统安装 (20)5.1.1 安装前的装备工作 (21)5.1.2 安装步骤 (21)5.1.3 系统的运行维护 (21)5.2注意事项 (21)第6章系统割接 (22)6.1系统割接 (22)6.1.1 割接前的准备工作 (22)6.1.2 割接步骤 (22)6.2注意事项 (22)第1章引言1.1目的为了保证贵州电信综合服务保障系统的正常安装部署及日后系统维护，特编写此手册。