AIX操作系统详细配置步骤
AIX操作系统安全配置规范
AIX安全配置程序1 账号认证编号:安全要求-设备-通用-配置-1编号:安全要求-设备-通用-配置-22密码策略编号:安全要求-设备-通用-配置-3编号:安全要求-设备-通用-配置-4编号:安全要求-设备-通用-配置-5编号:安全要求-设备-通用-配置-63审核授权策略编号:安全要求-设备-通用-配置-7(1)设置全局审核事件配置/etc/security/audit/config文件,审核特权帐号和应用管理员帐号登录、注销,用户帐号增删,密码修改,执行任务更改,组更改,文件属主、模式更改,TCP连接等事件。
classes:custom = USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create,USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_J obAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER _Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_ Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime(2)审核系统安全文件修改配置/etc/security/audit/objects文件,审核如下系统安全相关文件的修改。
/etc/security/environ:w = "S_ENVIRON_WRITE"/etc/security/group:w = "S_GROUP_WRITE"/etc/security/limits:w = "S_LIMITS_WRITE"/etc/security/login.cfg:w = "S_LOGIN_WRITE"/etc/security/passwd:r = "S_PASSWD_READ"w = "S_PASSWD_WRITE"/etc/security/user:w = "S_USER_WRITE"/etc/security/audit/config:w = "AUD_CONFIG_WR"编号:安全要求-设备-通用-配置-8编号:安全要求-设备-AIX-配置-94日志配置策略本部分对AIX操作系统设备的日志功能提出要求,主要考察设备所具备的日志功能,确保发生安全事件后,设备日志能提供充足的信息进行安全事件定位。
AIX系统参数配置
AIX系统参数配置AI某内核属于动态内核,核心参数基本上可以自动调整,因此当系统安装完毕后,应考虑修改的参数一般如下:一、单机环境1、系统用户的最大登录数ma某loginma某login的具体大小可根据用户数设定,可以通过mittychlicene 命令修改,该参数记录于/etc/ecurity/login.cfg文件,修改在系统重新启动后生效。
2、系统用户的limit参数这些参数位于/etc/ecurity/limit文件中,可以把这些参数设为-1,即无限制,可以用vi修改/etc/ecurity/limit文件,所有修改在用户重新登录后生效。
default:fize=2097151----》改为-1core=2097151cpu=-1data=262144----》改为-1r=65536tack=65536nofile=20003、PagingSpace检查pagingpace的大小,在物理内存<2G时,应至少设定为物理内存的1.5倍,若物理内存>2G,可作适当调整。
同时在创建pagingpace时,应尽量分配在不同的硬盘上,提高其性能。
利用mittychp修改原有pagingpace的大小或mittymkp增加一块pagingpace。
4、系统核心参数配置利用lattr-Ely0检查ma某uproc,minpout,ma某pout等参数的大小。
ma某uproc为每个用户的最大进程数,通常如果系统运行DB2或ORACLE是应将ma某uproc调整,Default:128、调整到500,ma某uproc增加可以马上起作用,降低需要AI某重起。
当应用涉及大量的顺序读写而影响前台程序响应时间时,可考虑将ma某pout设为33,minpout设为16,利用mittychgy来设置。
5、文件系统空间的设定一般来说,系统的文件系统/、/ur、/var、/tmp的使用率不要超过80%,/tmp建议至少为300M,文件系统满可导致系统不能正常工作,尤其是AI某的基本文件系统,如/(根文件系统)满则会导致用户不能登录。
AIX操作系统安装
X操作系统安装1、概述1.1 目的1.2 范围1.3 定义2、系统要求2.1 硬件要求2.2 软件要求2.3 建议配置3、准备工作3.1 安装介质获取3.2 操作系统备份3.3 系统初始化3.3.1 确认硬盘空间3.3.2 确认网络连接3.3.3 确认基本软件安装3.3.4 确认存储可用性3.3.5 确认用户权限4、安装过程4.1 启动安装程序4.1.1 插入安装介质4.1.2 启动计算机4.1.3 进入引导菜单4.2 安装选项4.2.1 选择安装类型4.2.2 配置磁盘分区4.2.3 设置网络4.2.4 选择软件包4.2.5 创建用户4.3 安装过程详解4.3.1 文件复制4.3.2 系统配置4.3.3 安装必要的补丁和更新5、验证安装5.1 检查系统完整性5.2 登录测试5.3 确认服务可用性5.4 检查网络连通性5.5 运行基本命令6、配置和优化6.1 系统配置6.1.1 修改主机名6.1.2 配置时间和日期 6.1.3 配置域名解析6.1.4 配置NTP时间同步 6.2 性能优化6.2.1 内核参数调整6.2.2 文件系统优化6.2.3 进程管理7、系统管理7.1 用户管理7.1.1 创建用户7.1.2 删除用户7.1.3 修改用户7.2 权限管理7.2.1 创建组7.2.2 修改组权限 7.2.3 分配权限7.3 定时任务7.3.1 创建定时任务 7.3.2 修改定时任务 7.3.3 删除定时任务 7.4 系统备份和恢复7.4.1 备份数据7.4.2 恢复数据8、故障排除8.1 系统启动问题8.2 网络连接问题8.3 软件包依赖问题8.4 应用程序问题9、维护和更新9.1 操作系统更新9.2 安全补丁更新9.3 硬件维护9.4 定期检查和优化附件:- 安装介质ISO镜像文件法律名词及注释:1、涉及的法律名词1:法律名词1的注释。
2、涉及的法律名词2:法律名词2的注释。
:::本文档涉及附件。
AIX操作系统安全配置要求及操作指南
AIX操作系统安全配置要求及操作指南
一、AIX操作系统安全配置要求
1.分级访问控制:要实施分级访问控制机制,明确管理者和普通用户
的访问等级,并分配不同的权限,使不同的用户层次由不同的权限控制。
2. 加强密码的安全策略:要加强密码的安全策略,包括定期更改密码,禁止使用过于简单的密码,不要在没有严格安全限制的情况下使用
root 权限。
3. 运行级别:禁止用户以root 身份登录系统,只有当用户需要以root 身份执行一些操作时,才能以root 身份登录,否则以普通用户身
份登录。
4.防火墙:根据网络的具体情况,采用专用防火墙或者网络模式的防
火墙,控制和限制外部计算机的访问权限。
5. 禁止外部访问:禁止外部访问系统,如FTP,telnet,外部的terminal访问等,除非有必要。
启用SSL/TLS 加密 socket 服务,防止
攻击者窃取数据。
6.定期备份:定期对重要的数据进行备份,以便在发生意外时及时进
行恢复。
7.实施流量监测:实施流量监测,实时检测系统中的网络流量和活动,以便及时捕获非法活动。
AIX 操作系统安全配置要求及操作指南
1、参考配置操作 通过 chmod 命令对目录的权限进行实际设置。 2、补充操作说明 chown -R root:security /etc/passwd /etc/group /etc/security chown -R root:audit /etc/security/audit chmod 644 /etc/passwd /etc/group chmod 750 /etc/security chmod -R go-w,o-r /etc/security /etc/passwd /etc/group /etc/security 的所有者必须是root 和 security 组成员 /etc/security/audit 的所有者必须是iroot 和audit 组成员 /etc/passwd 所有用户都可读,root 用户可写 –rw-r—r— /etc/shadow 只有root 可读 –r-------/etc/group 必须所有用户都可读,root 用户可写 –rw-r—r— 使用如下命令设置: chmod 644 /etc/passwd chmod 644 /etc/group 如果是有写权限,就需移去组及其它用户对/etc 的写权限(特殊 情 况除外) 执行命令#chmod -R go-w,o-r /etc
4
对于采用静态口令认证技术 的设备,应配置当用户连续 认证失败次数超过6 次(不 含6 次),锁定该用户使用 的账号。
1
在设备权限配置能力内,根 据用户的业务需要,配置其 所需的最小权限。
授权
2
控制 FTP 进程缺省访问权 限,当通过FTP 服务创建新 文件或目录 时应屏蔽掉新文件或目录不 应有的访问允许权限。
1、参考配置操作 把如下 shell 保存后,运行,会修改ssh 的安全设置项: unalias cp rm mv case `find /usr /etc -type f | grep -c ssh_config$` in 0) echo "Cannot find ssh_config" ;; 1) DIR=`find /usr /etc -type f 2>/dev/null | \ grep ssh_config$ | sed -e "s:/ssh_config::"` cd $DIR cp ssh_config ssh_config.tmp awk '/^#? *Protocol/ { print "Protocol 2"; next }; { print }' ssh_config.tmp > ssh_config if [ "`grep -El ^Protocol ssh_config`" = "" ]; then echo 'Protocol 2' >> ssh_config fi 4 rm ssh_config.tmp chmod 600 ssh_config ;; *) echo "You have multiple sshd_config files. Resolve" echo "before continuing." ;; esac #也可以手动编辑 ssh_config,在 "Host *"后输入 "Protocol 2", cd $DIR cp sshd_config sshd_config.tmp awk '/^#? *Protocol/ { print "Protocol 2"; next }; 1、参考配置操作 chsec -f /etc/security/user -s default -a minlen=8 chsec -f /etc/security/user -s default -a minalpha=1 chsec -f /etc/security/user -s default -a mindiff=1 chsec -f /etc/security/user -s default -a minother=1 chsec –f /etc/security/user –s default -a pwdwarntime=5 minlen=8 #密码长度最少8 位 minalpha=1 #包含的字母最少1 个 mindiff=1 #包含的唯一字符最少1 个 minother=1#包含的非字母最少1 个 pwdwarntime=5 #系统在密码过期前5 天发出修改密码的警告信息 给用户 2、补充操作说明
AIX操作系统安装配置步骤文档
AIX操作系统安装配置步骤文档作者:admin 添加时间:2012-01-17 15:32:29 浏览:45一、AIX安装:1.检查显示器﹑键盘﹑鼠标及各种连线是否都连接好。
2.先打开外设及主机电源(先外设后主机)3.将AIX光盘第一张放入CDROM4.加电在出现启动画面时按5或F5(或按F1或1进入SMS进行设置从光驱启动) 5.选完全安装自动安装..........二、AIX5安装完后系统设置1.修改系统时区(须重启)#smitty chtz (可以在安装时设置,注意)然后根据需要选择你的时区。
时区更改后必须重启操作系统才可以生效。
主机时钟如果和现在的本地时间有并异,更改后立刻就生效了。
2.修改系统时间#smitty date3.修改异步IO(须重启动机主机)#smitty chgaio (AIX6.1为动态的,无须更改)将“STATE to be configured at system restart”改为available。
4.设置ROOT口令#passwd5.更改最大进程数256或更多#smitty chgsys6.更改系统用户数99或更多#smitty chlicense7.配置主机名和IP地址#smitty mktcpip(可使用#lscfg -vl ent0命令查看en0网卡位于哪个扩展槽位上,便于将网线插在正确的网口上,.P2-I3,表示在第三个槽位,如为E1表示在主板上)选择en0,按回车:8.用ifconfig –a查看所有网卡的IP地址配置。
每块网卡应配置在不同网段。
如果两块网卡配置在同一网段,会产生网络通信故障。
9.bootinfo -K如果启用了32 位内核则返回“32”,如果启用了64 位内核则返回“64”。
可根据需要更改系统内核bootinfo -K查看系统内核32就是32位系统首先用如下命令确定当前的所使用的内核:# ls -l /unixlrwxrwxrwx 1 root system 21 May 06 2001 /unix -> /usr/lib/boot/unix_mp为32位内核。
AIX V7.1操作系统安装配置规范
AIX7.1操作系统安装配置规范文档信息项目名称:AIX7.1操作系统安装配置规范文档版本号:1.0文档作者:环境保障二处生成日期:2015年7月文档审核者:环境保障二处审核日期:文档维护记录版本号维护日期作者/维护人描述1.0 2015-7-7 环境保障二处根据中心内部相关处室讨论意见及部门会商意见修订,形成正式文档2015年7月信息科技部适用范围本安装配置规范适用于AIX V7.1版。
除条文中特别规定适用范围的,本安装配置规范条文适用于总分行的生产、研发和测试等环境。
鉴于AIX7.1操作系统小版本在不断变化中,且还分为express、standard、enterprise三个版本,本文档根据standard版安装过程截取步骤及截图,若安装其他版本操作系统,文档中所涉及的步骤或截图可能与实际环境有所差异,请注意结合实际情况做出判断。
目录适用范围 (1)一、硬件配置要求(生产环境必须满足,研发测试环境供参考) (3)二、操作系统安装过程 (3)(一)准备工作 (3)(二)安装过程 (3)(三)其他软件包的安装 (20)三、操作系统的配置步骤 (21)(一)修改时区 (21)(二)修正操作系统时间 (22)(三)修改ROOT用户的密码 (23)(四)修改机器名 (23)(五)修改操作系统属性参数 (24)(六)设置系统DUMP (25)(七)VG创建及配置 (27)(八)修改系统交换空间 (31)(九)激活串口 (32)(十)修改IP地址和路由设置 (33)(十一)建立逻辑卷WORKLV (35)(十二)创建文件系统 (36)(十三)系统内核参数调优 (38)(十四)系统资源参数调整 (38)(十五)配置安全连接软件SSH (39)(十六)部署NTP服务(生产环境必须设置,研发测试环境供参考) (40)(十七)部署生产系统操作系统自动备份脚本(生产环境必须设置,研发测试环境供参考) 40四、操作系统的安全设置步骤 (41)(一)关闭所有不必要的系统服务进程 (41)(二)设置登录超时时间 (44)(三)限制用户使用SU (44)(四)操作系统用户帐户设置规范如下: (44)(五)用户密码策略设置(生产环境必须设置,研发测试环境供参考) (45)(六)系统安全其他方面的设置步骤 (47)五、双网卡配置与监控部署 (48)(一)小型机双网卡配置(生产环境必须设置,研发测试环境供参考) (48)(二)部署生产系统综合管理脚本(生产环境必须设置,研发测试环境供参考) (49)(三)部署系统集中监控平台T IVOLI监控代理(生产环境必须设置,研发测试环境供参考)50一、硬件配置要求(生产环境必须满足,研发测试环境供参考)AIX操作系统适用于IBM 小型机和刀片式基于Power系列芯片开发的机型,相应的硬件要求建议如下:➢双电源模块冗余配置(拷机过程中需进行电源冗余测试工作)。
aix主机参数配置方法
1.主机文件系统设置大小如下:/usr/dt/bin/dtconfig -e2、数据库服务器操作系统patch:-操作系统打到最高补丁3、主机的系统参数和其他配置要求:3.1 操作系统参数要求:3.1 考虑BSS平台每卷组中的裸设备数量较多,在创建VG时,为避免lv个数限制,建议大家建成Scalable类型的VG,同时Scalable可直接避免oracle读取数据文件头错误;lv需做stripe,stripe unitsize为32K,stripe width 8,具体此项配置和数据库服务器配置要求应由庄斌撰写负责。
3.2rootvg要做mirror镜像修改方法:vmo -p -o lru_file_repage=0vmo -p -o maxperm%=90vmo -p -o minperm%=3chdev -l sys0 -a maxpout=320chdev -l sys0 -a minpout=240chdev -l sys0 -a ncargs=16vmo -p -o maxclient%=90maxuproc的调整# smit chgsys选择Maximum number of PROCESSES allowed per user 项配置为:4096aio状态调整smit dev选择Asynchronous I/O后,出现Posix Asynchronous I/OAsynchronous I/O (Legacy)两选项都需要做修改,结果如下:FLOATING licensing修改smit system选择Change / Show Number of Licensed Users ,修改结果如下:3.4 双机Hacmp同步时钟修改为10 默认604. 主机上安装的应用软件版本要求如下:tuxedo 10ORACLE 10g 服务端(10.2.0.4)ORACLE 10g 客户端(10.2.0.4)weblogic 10.3。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
AIX操作系统详细配置步骤1)设置系统时区(非夏令时制、北京时区)和时间。
设置系统时区:“smitty chtz”。
(如果在“安装助手阶段”配置过时区,这一步可以忽略)设置系统时间:“smitty date”。
注意:在设置系统时间前必须确保时区设置正确,时区正确与否可用命令“echo $TZ”查看(在时区不正确的情况下,设置时间是徒劳的)。
设置完时区后必须重启系统才能生效。
重启后可用命令“echo $TZ”查看时区,正确的时区显示是BEIST-8。
然后再对系统时间作调整。
系统时间可用命令“date”查看。
2) 修改操作系统参数需要修改的操作系统参数包括支持的用户最大进程数、High water mark、Low water mark。
设置支持的用户最大进程数:“chdev –l sys0 –a maxuproc=2048”设置High water mark:“chdev –l sys0 –a maxpout=8193” (对于Power5以前的旧机器,建议设置为513,对于连接7133 SSA的阵列,一定要设置为33) 设置Low water mark:“chdev –l sys0 –a minpout=4096” (对于Power5以前的旧机器,建议设置为256,对于连接7133 SSA的阵列,一定要设置为24)验证方法:验证支持的用户最大进程数:“lsattr –El sys0 |grep maxuproc”显示结果应该为:maxuproc 2048 Maximum number of PROCESSES allowed per user True 验证High water mark值:“lsattr –El sys0 |grep maxpout”显示结果应该为:maxpout 8193 HIGH water mark for pending write I/Os per file True 验证Low water mark值:“lsattr –El sys0 |grep minpout”显示结果应该为:minpout 4096 LOW water mark for pending write I/Os per file True3) 设置Dump 设备参数dump lv初始大小调整原则:规定初始大小为内存大小的三分之一。
调整方法:使用命令“sysdumpdev –l”查看当前dump所处的lv。
使用命令“lsvg –l rootvg”查看当前dump设备的大小。
使用命令“lsvg rootvg”查看PP size大小。
使用命令“lsattr –El mem0”查看内存大小。
使用命令“smit extendlv”扩dump lv大小。
使用命令“lsvg –l rootvg”确认dump设备大小。
4) 修改异步IO (即AIO。
仅对于数据库服务器来说,需要开启这个功能。
)smitty aio->Change / Show Characteristics of Asynchronous I/O“STATE to be configured at system restart”中设置为available,并按enter键。
验证AIO设置:使用命令“lsdev -Cc aio”。
显示结果应该是:aio0 Available Asynchronous I/O (Legacy)5) Paging Space大小调整系统安装完后,默认的Paging Space大小是512MB。
这个大小一般不能满足应用需求,需要做适当调整。
调整原则:如果内存〉8G,则Paging Space大小和内存一样大如果内存<=8G ,则Paging Space大小是内存的1.5倍调整方法:用“lsattr –El mem0”查看内存大小。
用“lsps –a”查看当前Paging Space大小。
用“lsvg rootvg”查看PP size大小。
用“smitty chps”增加Paging Space大小。
验证修改结果:用“lsps –a”查看修改结果。
6) 修改用户限制修改default用户的限制:通过命令“vi /etc/security/limits”,将其中default用户的fsize值改成-1。
验证修改结果:用“cat /etc/security/limits”命令查看default用户的fsize是否是-1。
7)配置TCP/IP根据中行系统处要求,配置相应的主机名、IP地址和网关信息。
使用下列命令配置主机名、IP地址和网关信息。
smitty tcpip->Minimum Configuration & Startup验证方法:验证主机名的命令:hostname验证IP地址的命令:ifconfig –a验证网关的命令:netstat –rn8) 修改 /etc/profile, /etc/hosts文件1.修改/etc/profile文件执行命令vi /etc/profile,在文件最后加入如下几行:set -o viif [ `/usr/bin/whoami` = root ] ; thenPS1='['$LOGNAME'@'`/usr/bin/hostname`':$PWD]# 'elsePS1='['$LOGNAME'@'`/usr/bin/hostname`':$PWD]$ 'fialias lf="ls -F"alias l="ls -l"2.修改/etc/hosts文件执行vi /etc/hosts命令,将其中一些冗余IP地址和主机名信息删除,并添加系统和应用所需的IP地址和主机名信息。
/etc/hosts文件格式规范如下:################################127.0.0.1 loopback localhost #loopback (lo0) name/address#DLPAR CONFIG***.*.*.* HMC***.*.*.* lpar1***.*.*.* lpar2#HACMP CONFIG***.*.*.* NodeA_boot***.*.*.* NodeA_svc NodeA***.*.*.* NodeA_stb***.*.*.* NodeB_boot***.*.*.* NodeB_svc NodeB***.*.*.* NodeB_stb# APPLICATION CONFIG***.*.*.* ***APP#OTHER***.*.*.* ***#################################如上所示,除了127.0.0.1回环地址这一行外,该文件的初始内容还包括DLPAR configuration、HACMP configuration、APPLICATION configuration和OTHER四类。
DLPAR configuration类中包括了动态分区信息。
(视情况而定,有些设备不支持动态分区)HACMP configuration类中包括了HACMP网络配置信息。
(视情况而定,有些系统不需要HA)APPLICATION configuration类,它预留给应用使用。
如果需要添加应用相关IP地址和主机名信息,请添加在此后面。
文件的最后是OTHER类,它预留给其他内网相关使用,比如NFS等等。
9) 适当增大rootvg的文件系统,并确保rootvg文件系统使用率在50%以下。
使用命令“chfs –a size=N G FileSystemName”修改注:命令中的斜体字表示参数。
N是个数字,表示文件系统需要修改为多大,例如“/”文件系统需要扩至2GB,这里的N就是2;G表示GB;FileSystemName表示需要修改的文件系统名,如:“/”。
文件系统大小定义如下:文件系统名大小“/”2G“/tmp”2G“/usr”10G“/opt”2G“/home”2G“/var”2G/softinstall 5G验证方式:文件系统大小及使用率可用“df –g”命令查看。
10)vmo设置对于数据库服务器来说,需要调整虚拟内存管理器的一些参数。
使用下列命令调整参数:vmo –p –o maxclient%=20vmo –p –o maxperm%=20vmo –p –o minperm%=10验证方式:可以分别使用下列命令验证。
vmo -a |grep maxclient%vmo -a |grep maxperm%vmo -a |grep minperm%11) rootvg镜像和同步用“lspv |grep rootvg”查看目前属于rootvg的磁盘和磁盘数,默认一般只有一块磁盘属于rootvg。
在rootvg只有一块磁盘的情况下,需要对其进行扩充(加一块磁盘)。
用“lsdev –Cc disk”查看所有的内置磁盘(磁盘类型为“16 Bit LVD SCSI Disk Drive”的磁盘是内置磁盘)。
选择一块不属于rootvg的内置磁盘,并加入到rootvg中。
在rootvg中加入一块磁盘可以使用命令“smitty extendvg”。
加完后,可以用命令“lspv |grep rootvg”命令来验证。
在rootvg中成功加了一块内置磁盘后,接下来可以开始做磁盘镜像了。
用“smitty mirrorvg”命令做rootvg镜像。
在“Mirror sync mode”中选择Background;在“PHYSICAL VOLUME names”中选择需要做镜像的磁盘。
镜像验证:通过命令“lsvg –l rootvg”查看LP 和 PP 比为1:2,LV STATE为syncd。
12)系统引导映像修改、引导顺序修改修改方法:1.系统引导映像修改可以使用下列命令:bosboot –ad /dev/hdisk0bosboot –ad /dev/hdisk1去除引导镜像chpv –c hdisk02.系统引导顺序修改可以使用下列命令:bootlist -m normal hdisk0 hdisk1验证方法:1.系统引导映像修改验证:bosboot设置成功后,会有类似如下所示的信息(大小不一定是22740 512字节)。
bosboot: Boot image is 22740 512 byte blocks.2.系统引导顺序修改验证:bootlist -m normal –o显示结果应该如下显示:hdisk0hdisk113)修改磁盘定额(Quorum)可以使用命令“chvg –Qn rootvg”修改rootvg的磁盘定额。