AIX服务器安装规范0326

操作系统安装规范中国外汇交易中心工程运行部修订记录目录修订记录 (2)安全要求核对表 (4)1.适用环境 (6)2.安装选项 (6)3.软件安装清单 (7)3.1.系统自带 (7)3.2.扩展 (7)4.用户和组 (9)4.1.组 (9)4.2.用户 (9)5.存储和文件系统 (10)5.1.rootvg的配置 (10)5.2.vg的缺省配置参数 (10)5.3.rootvg中的文件系统 (10)6.系统补丁 (12)6.1.iFix IV07564 (12)6.2.eFix IZ96883 (12)7.系统环境设置 (12)7.1.Shell (12)7.2.内核 (13)7.3.limit配置 (13)7.4.root用户 (14)7.4.1.主目录 (14)7.4.2.profile文件 (14)7.5.NTP (15)6.5 sysdump (15)6.6 存储相关参数 (15)8.系统安全设置 (17)8.1.登录控制策略（/etc/security/login.cfg） (17)8.2.禁用和清理帐户 (17)8.3.用户设置(/etc/security/user) (17)8.4.主机信任安全 (18)8.5.SSH安装和配置 (18)8.6.网络安全参数 (19)8.7.资源控制（/etc/security/limits） (19)8.8.主机日志审计（生产环境） (19)8.9.停止以下服务 (19)8.10.更改SNMP服务community name (20)8.11.数据库账号管理 (21)8.12.网络参数 (21)安全要求核对表1.适用环境操作系统：AIX操作系统位数：64位以AIX 6.1为例，操作系统版本需遵循最新的《版本规划》，具体配置可根据实际情况调整并作记录。

2.安装选项使用缺省值3.软件安装清单3.1.系统自带3.2.扩展4.用户和组4.1.组根据配置数据“服务器用户和组”，创建以下几类组：1.操作人员组: support2.系统管理和维护组: duty，rtbridge,itmsuptmkgroup -'A' id='2011' rtbridgemkgroup -'A' id='2004' itmsupt3.数据库和中间件组：oracle,oper,dba,db2grp1,mkgroup -'A' id='3001' oraclemkgroup -'A' id='3002' opermkgroup -'A' id='3003' dba4.2.用户根据配置数据“服务器用户和组”，创建以下几类用户1.“场务值班”用户: support2.“系统组”用户：rtbridge,个人用户举例：mkuser -a pgrp= rtbridge groups=rtbridge home=/home/rtbridge shell=/usr/bin/ksh id=2011 rtbridge3.“数据库和中间件”用户：4.“应用”用户：5.“监控、备份等管理系统的帐户”: itmsuptmkuser -a pgrp=itmsupt groups= itmsupt home=/home/itmsupt id=2004 itmsupt5.存储和文件系统5.1.rootvg的配置rootvg中应包含两块pvrootvg中的逻辑卷，如存储设备不能提供底层镜像，都应配置成MIRROR方式5.2.vg的缺省配置参数如果业务系统没有特殊要求，使用如下配置：5.3.rootvg中的文件系统注：Owner和Mod为空，则不用进行设置6.系统补丁6.1.iFix IV07564AIX 5300-12-03（仅针对该版本，AIX 5300-12-04已修复）存在一个bug，会导致javacore dump无法正常生成，修复该问题需要打iFix IV07564。

中国移动A I X操作系统安全配置规范S p e c i f i c a t i o n f o r A I X O S C o n f i g u r a t i o nU s e d i n C h i n a M o b i l e版本号：1.0.0x x x发布x x x实施中国移动通信有限公司网络部目录1范围 (1)2规范性引用文件 (1)3术语和定义和缩略语 (3)4AIX设备安全配置要求 (3)4.1账号管理、认证授权 (3)4.1.1账号 (3)4.1.2口令 (6)4.1.3授权 (8)4.2日志配置要求 (12)4.3IP协议安全配置要求 (15)4.3.1IP协议安全 (15)4.3.2路由协议安全 (19)4.4设备其他安全配置要求 (21)4.4.1屏幕保护 (21)4.4.2文件系统及访问权限 (22)4.4.3物理端口设置 (23)4.4.4补丁管理 (24)4.4.5服务 (25)4.4.6内核调整 (28)4.4.7启动项 (29)5编制历史 (30)前言为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。

有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。

本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。

本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。

本标准起草单位：中国移动通信有限公司网络部、中国移动通信集团天津、江苏有限公司。

本标准解释单位：同提出单位。

本标准主要起草人：张瑾、赵强、石磊、陈敏时、周智、曹一生。

1范围本规范适用于中国移动通信网、业务系统和支撑系统中使用AIX操作系统的设备。

本规范明确了AIX操作系统配置的基本安全要求，在未特别说明的情况下，均适用于所有运行的AIX操作系统版本。

AIX操作系统安装配置规范目录AIX操作系统安装配置规范 (1)1 系统安装配置标准 (4)2 安装配置指南 (6)2.1 操作系统安装 (6)2.2 语言包安装 (9)2.3 软件包安装 (10)2.4 补丁安装 (15)2.5 系统配置 (17)2.5.1 时区时间配置 (17)2.5.2 系统参数设置 (17)2.5.3 设置dump大小 (19)2.5.4 修改磁盘定额 (19)2.5.5 rootvg镜像 (19)2.5.6 配置TCP/IP (20)2.5.7 修改用户限制 (20)2.5.8 调整Paging Space (20)2.5.9 启动异步IO (21)2.5.10 修改系统引导映像、顺序 (22)2.5.11 syncd daemon的数据刷新频率 (22)1系统安装配置标准更改操作系统参数Maximum number ofPROCESSES allowedper userHIGH water markLOW water mark设置每个用户支持的最大进程数：chdev –l sys0 –amaxuproc=1024设置High water mark：chdev –l sys0 –a maxpout=33设置Low water mark：chdev –l sys0 –a minpout=24有HA测试需求的环境调整High water mark、Low watermark这两个值，其他无需执行设置dump大小为系统估计值和物理内存的三分之一值的较大者系统估计值：sysdumpdev -esmitty extendlv修改lg_dumplv的大小lsvg –l rootvgprtconf查看物理内存大小smitty mklvcopy 复制lg-dumplv调整PagingSpace大小如果内存>8G，则Paging Space大小和内存一样大如果内存<=8G ，则Paging Space大小是内存的1.5倍lsps –a 查看当前页面空间的大小lsvg rootvg查看smitty chps调整用户限制default： fsize=-1cpu=-1nofiles=-1vi /etc/security/limits将default段中3个值改为-1default： fsize=-1cpu=-1nofiles=-1配置TCP/IP根据实际情况进行配置smitty mktcpip适当增大rootvg的文件系统/usr为10G，/softinstall为5G，其他rootvg文件系统为1Gchfs –a size=10G /usr文件系统路径smitty jfs2 创建文件/softinstallmount /softinstall 挂载rootvg镜像确保rootvg中有两块内置磁盘，且互为镜像smitty extendvgextend rootvg hdisk1将hdisk1添加到rootvgsmitty mirrorvgbosboot –a 写入ha不选2安装配置指南2.1操作系统安装将AIX系统光盘放进主机的cdrom中，启动主机，选1进入到SMS Menu，选择从光盘引导启动。

AIX安装中文图解手册1. 准备工作 (2)2. BOS安装 (2)3. 系统配置 (6)3.1. 使用Installation Assistant进行系统配置 (6)3.2. 使用SMIT进行系统配置 (7)3.2.1. 修改系统时区（须重启） (7)3.2.2. 修改系统时间 (10)3.2.3. 修改异步IO（须重启） (11)3.2.4. 设置ROOT口令 (11)3.2.5. 更改最大进程数 (12)3.2.6. 更改系统用户数 (13)3.2.7. 配置主机名和IP地址 (14)3.2.8. 配置系统 PAGING SPACE（hd6）和系统文件系统 (16)4. 安装扩展子系统 (18)5. 安装MAN文档 (19)6. 系统升级 (21)6.1. 使用update CD升级 (21)6.2. 使用PTF光盘升级 (22)7. 安装、配置C语言 (23)7.1. 安装C语言软件包 (23)7.2. 配置、安装C语言的License (24)7.3. 测试C编译器 (27)1. 准备工作(1) 检查显示器、键盘、鼠标是否与主机正确连接。

(2) 把介质（操作系统光盘第一张）插入驱动器。

(3) 打开外设及主机电源（先外设后主机）。

2. BOS安装（1）主机加电后，敲击键盘<F5>键，RS/6000将从安装介质上引导；（2）显示器显示如下信息，要求用户选择主控台。

☆☆☆☆☆☆Please define the system console☆☆☆☆☆☆Type a 1 and press enter to use this terminal as the system console.Type een 1 en druk op enter om deze terminal als de systeemconsole to gebruiken.Skrive tallet 1 og trykk paa enter for aa bruke denne terminalen som systemkonsoll.Pour definir ce terminal comme console systeme, appuyez sur 1puis sur entree.Taste 1 and ansch1iessend die eingabetaste druecken,umdiese datenstation als systemkonsole zu verwenden.Prenier I1 tasto 1 ed invio per usare questo terminal como consolo.Escriba 1 y pulse intro para utilizer esta terminal comoconsola del sistema.a)Tryck paa 1 och sedan paa enter om dy vill att haer terminalen ska vara systemkonsol键入“[ 1 ]”并回车（注意：键入的“1”不回显）定义当前设备为主控台。

的系统安装和定制过程应该掌握的要点•　磁带机和从带机上安装基本操作系统是无效的程的格式是不同的的网络管理用户在一个网络环境中安装基本操作系统器server可以使资源有效的给其它的机器环境•　以前的版本（标准组件允许根据特殊的需要安装所需要的包例如无盘工作站管理的全部功能•　Client一缺省一设计为限制两用户的系统数据采集系统设计为多用户系统步骤一启动固件程序硬件初始化字符F5Ñ¡Ôñ´Ó¹âÅÌ»ò´Å´øÒýµ¼ÖƳ׵Äϵͳ»áºöÂÔÕâ¸ö²½ÖèϵͳʹÓùâÅÌ»ò´Å´øÒýµ¼ÏµÍ³ËµÃ÷¿ÉÄÜÊǽéÖÊÓÐÎÊÌâ步骤二连接串口１步骤三系统会提示用户选择控制台和安装用的语言“Enter”端相应的数字用户在安装阶段所指定的安装用语言可以不同于系统的主要语言环境步骤４用户选择完控制台和安装用语言后用于按照缺省设置进行安装用于系统故障后的维护工作2Óû§¿ÉÒÔÐ޸ݲװÉèÖý¨ÒéÔڴ˽׶ÎÐ޸Ķø²»±ØµÈ´ý°²×°Íê±ÏÖ®ºóÔÙ½øÐжîÍâµÄ°²×°Trusted Computing Base可信路径可信路径可以保护系统不受伪造的实用程序的破坏环境否则用户再无机会安装TCB环境TCB环境选择　２　Ｃｈａｎｇ／Ｓｈｏｗ　Ｉｎｓｔａｌｌａｔｉｏｎ　ｓｅｔｔｉｎｇ　ａｎｄ　ｉｎｓｔａｌｌ 在安装设置菜单中选择１当前机器的状态有关　一种安装方式如果用户希望完全覆盖当前ＢＯＳ的版本Preservation InstallÈç¹ûϵͳÉÏÒѾ-°²×°¹ýBOSÖеÄÓû§Êý¾Ý/ÉèÖÃÖñ£Áô°²×°ÊÇȱʡµÄ°²×°·½Ê½¿ÉʹÓÃÉý¼¶°²×°等文件系统建非ＩＢＭ产品的设备驱动必须被重新安装Type one or more number for the disk to be used for installation and press Enter. To设备选项当前版本所在硬盘用户还必须选择用于安装的硬盘如图中的例子所示在这种方式下Type the number for the Cultural Convention (such as date, time, and money),Language and keyboard for this system and press Enter, or type 4 and press Enter to create your own combination.安装过程进行至此步骤五系统将会创建足够大的文件系统用于安装安装完毕后如果用户是从系统映象的备份带安装系统并且长度相同这一过程需要花一些时间安装完毕之后步骤六从硬盘引导安装完毕后一个用户用户可以修改其中的某些设置重启后会启动安装辅助程序该程序退出之外的所有定制任务的列表任务给出提示系统中的许多进程需要用到日期和时间如果用户需要在网络环境中与其他系统相互通信用户如果对任务列有很熟悉直接执行定制的任务这对使用系统十分有用可以登录到系统中序练习所有支持的设备驱动程序都是自动安装的。

AIX操作系统的安装安装介质与方式AIX操作系统的安装可以：1）通过Tape安装。

2）通过CD-ROM安装。

3）通过网络安装。

4）预先安装(Preinstall).在购买时选择“预装操作系统”。

AIX操作系统的安装方式（Installation Method）有以下四种：完全覆盖安装：操作系统被安装在rootvg的第一块硬盘上，这将覆盖原系统中所有的系统保留目录。

保留安装：这种安装方式可以保留操作系统的版本不变，同时保留 rootvg上的用户数据，但将覆盖/usr 、/tmp、/var 和/ 目录。

用户还可以利用/etc/preserve.list指定系统安装时需要保留的文件系统。

默认的需保留的文件系统为/etc/filesystem中所列。

升级安装：这种安装方式用于操作系统的升级，这将覆盖/tmp目录。

这是系统默认的安装方式。

备份带安装：恢复用mksysb命令生成的安装带中/image.data中指定的文件系统，这种安装方式用于系统（rootvg）的复制。

安装步骤准备工作(1) 连接好鼠标键盘显示器和电源线。

(2) 打开主机电源。

(3) 主机自动进入加电自检过程。

(4) 等到主机自检完毕电源绿色指示灯闪烁，按白色按钮开机。

(5) 等到光驱指示灯亮过之后，把第一张安装介质插入驱动器。

(6) 等到显示器电源指示灯点亮之后，系统提示选择console，根据提示按数字键。

(7) 等到主机开机鸣响一过，键盘灯闪亮过后，按‘5’（字符终端）进入系统安装画面。

(8) 提示键入admin口令，默认口令是admin.(power5小机)BOS（Base Operating System）安装(1) 主机将从安装介质上引导；(2) 当终端显示如下信息时：键入“1”并回车（注意：键入的“1”不回显）选择主控台(3) 屏幕上将不断显示一些信息，几分钟后出现：(4) 此后屏幕出现：这是系统安装和维护的主菜单。

(5)安装BOS基本操作系统键入“2”并回车，屏幕出现“Install and Setting”画面：这是系统安装的默认设置，用户可以根据需要进行修改。

AIX 7.1系统安装部分：1.IBM 小机开机之后插入安装光盘7.1，出现如下画面，快速按1进入系统菜单说明：如果不快速的话，系统就进入原有系统2.进入引导选项，选择5，提供多种启动方式3.选择安装引导设备，选择14.选择3 ，进入CD安装5.选择5 进入sata6.选择17.继续选择1进入sata cd-rom8.以正常模式引导，选着29.接下来有退出系统服务的界面，选择110.光盘启动，开始加载直到下图界面出现在选择1，定义系统控制口，这里不会显示数字，屏幕也没有符号提示11.选择1进入，以英文安装12.配置安装选项，我们统一选择2 即使是小机第一次安装13.改变安装选项，可以选着安装盘符位置，IVO系统版本都选择express 精简版的，都选择OK，选择0 开始安装14．选择0之后会再一次提醒用户查看安装配置，再确认一次。

若没问题，可以选择1，继续安装。

15.开始等待大约需要1小时左右16．直到出现如下画面说明安装完成17. 选择终端类型为vt10018.软件许可协议—选择Accept License Agreements，让后按ESC+0退出19．退出之后就进入了系统设置界面，你可以在这设置时间，又或者你迟点设置，直接选择最后一项进入登陆界面。

20．到此AIX7.1系统安装完毕，直接进入系统AIX7.1系统安装完毕后，系统环境配置部分：1.修改时区smit-->system environment-->change show date and time-->change time zoneusing system defined values asia/shanghai2.修改时间Smit date3.修改root用户密码4.配置主机名和IP ：smitty mktcpip5.vi修改/etc/profile,将下列内容添加到最下端6.更改最大进程数smit chgsys7.配置ntpd, vi修改/etc/ntp.conf修改完之后跑命令：查看时间同步是否OK，出现如下说明OK8.配置sendmail,vi修改/etc/mail/sendmail.cf 建类似的内容添加到相应位置修改完之后跑命令：9.系统用户的limits 修改，即vi 修改/etc/security/limits10.新建paging00 smit mkps11.系统核心参数修改smit chgsys 主要修改maxuproc, minpout, maxpou12. 运行如下命令：no -p -o ipsrcrouterecv=1no -p -o nonlocsrcroute=1no -p -o ip_ifdelete_notify=1no -p -o ipignoreredirects=1no -p -o nbc_limit=3370188no -p -o nbc_pseg_limit=3964928no -p -o rfc1323=1no -p -o sb_max=10485760no -p -o tcp_keepinit=150no -p -o tcp_keepidle=600no -p -o tcp_keepintvl=20no -p -o tcp_sendspace=655360no -p -o tcp_recvspace=655360no -p -o udp_recvspace=131072no -p -o udp_sendspace=65536no -p -o routerevalidate=1no -p -o tcp_pmtu_discover=0no -p -o udp_pmtu_discover=0vmo -p -o minperm%=5vmo -p -o maxperm%=10vmo -p -o maxclient%=10vmo -p -o minfree=320vmo -p -o maxfree=640ioo -r -o maxrandwrt=4 这些命令生产对应的在13增加相应的用户组smit mkgroup ioo -r -o minpgahead=8ioo -r -o maxpgahead=25614.增加相应用户组下的用户useradd -d /home/test01 -g 888 -m -s /usr/bin/ksh -u 4001 kpippt到此系统的环境变量配置完毕15.接下来时针对具体的事务建立想用的VG 和FS ，安装相应的应用软件，部署相应的监控脚本16.针对具体的将系统补丁打到要求的版本smit update_allCd 到版本补丁的具体路径下15.做rootvg 的clone在没有做clone前查看rootvg 所属的pv在hdisk1上clone一份rootvg成功完成后：16.镜像rootvg在没有做mirror前查看rootvg 所属的pv 和空闲的PV将hdisk2加入到root vg中,smit extendvg用lspv检查hdisk2已经加到了rootvg里将在hdisk2上做rootvg的镜像,smit mirrorvg回车后开始：查看mirror 成功后，一个lp对应2个PP查看bootlist引导的做进去hd5将顺序修改17.为rootvg 建立热备盘hotspare将即将作为hot spare 的盘加入到相应的vg 中将hdisk3标记为hot spare查看标记是否成功设置vg的迁移和同步策略查看hotspare 是否成功到此所有的步骤全部完成。