AIX镜像流程

IBM AIX 安全加固实施操作流程第一阶段：加固前备份和健康检查1)数据库0级备份协调业务工程师操作2)备份AIX系统rootvg●将磁带插入磁带机●#smitty mksysb进行系统备份●当COMMAND STATUS页面中Command: OK出现后，表示备份成功。

●取出制作完毕的磁带.●磁带上的标签上注明备份机器的名称和序列号3)加固前业务验证●软件功能测试（检查业务软件正常运行）和基本通话测试（检查业务功能），出一份测试列表。

●snmp健值修改和双机切换步骤14)加固前系统健康检检参考IBM健康检查项5)系统重启执行#shutdown –Fr ，重启系统。

第二阶段：安全补丁加载1)补丁准备●按IBM发布最新安全补丁列表，准备相关安全补丁包●确认补丁加载前先停该节点双机业务2)补丁加载●导出系统补丁加载前补丁列表#instfix -i >/tmp/inst/oldfix.log●安装安全补丁#smitty update_all●导出系统补丁加载后补丁列表1在双机情况下，更改snmp的Key值（缺省为Public）# instfix -i >/tmp/inst/newfix.log3)业务验证（按业务测试列表操作）●由于补丁加载对系统影响较大，需单独业务验证。

●需确认业务工程师业务验证情况第三阶段：安全相关工具部署1）安装部署SSH工具1. 安装openssl（openssl-devel-0.9.7g-1.aix5.1.ppc.rpm）#rpm -i openssl-devel-0.9.7g-1.aix5.1.ppc.rpmprngd必须在openssl和openssh安装之前安装，并且openssl又是安装openssh rpm 文件包所首要必需的。

2.安装openssh（openssh-4.1p1_52.tar.Z），安装时要接受license#uncompress openssh-4.1p1_52.tar.Z#mkdir ssh ; mv openssh-4.1p1_52.tar ssh ; cd ssh#tar –xvf openssh-4.1p1_52.tar#smitty installp在用smit菜单安装时必须更改Accept new License agreement栏的值为yes3.如果想要指定SSH2协议在openSSH被用，需要在/etc/ssh/sshd_config文件里加入如下行：Protocol 2可以用telnet命令来验证SSH协议的版本：# telnet localhost 22Trying...Connected to .Escape character is '^]'.SSH-2.0-OpenSSH_3.4p1上面显示你现在正在用ssh2.如果你看到如下信息：# telnet localhost 22Trying...telnet: connect: A remote host refused an attempted connect operation.那么说明sshd程序现在没有运行，用Ctrl-c和q来终止，然后运行如下命令：#startsrc -s sshd4.如果想要指定root用户不可直接用ssh登陆，需要在/etc/ssh/sshd_config文件里加入如下行：Permitrootlogin no5.执行命令重新启动SSH#stopsrc –s sshd#strarsrc -s sshd4)加固软件安装●确认/usr文件系统有足够的空间用于信息备份●将软件包AixSec_Enhance.1.0.0.1.bff传送到/tmp/inst目录下●#cd /tmp/inst●使用smitty installp安装加固软件。

Windows 7 PE RAM引导盘及WIM镜像制作攻略通过Windows PE引导盘和ImageX命令，可以轻松将系统及安装好的软件打包成WIM镜像，以便日后恢复系统之用。

本文首先介绍Windows 7 PE引导盘制作过程，然后再对Windows系统进行备份。

I. 准备工作* Windows 7 操作系统* Windows 7 AIK下载地址：/DOWNLOADS/details.aspx?displaylang=zh-cn&FamilyID=696dd 665-9f76-4177-a811-39c26d3b3b34版本： 1.0发布日期：2009/8/6语言：中文(简体)下载大小：1769.4 MB* CD刻录盘II. 安装Windows 7 AIK安装Windows 7 AIK 程序，根据提示安装即可。

注意，上面的下载地址是AIK中文版，但是本文示例是英文版，操作方法都一样。

III. 制作Windows PE 引导盘1. 单击“开始”-> “所有程序”-> “MS Windows AIK” -> “部署工具命令提示符”2. 在命令提示符下通过Copype.cmd命令拷贝PE工具copype.cmd <architecture> <destination>其中<architecture> 可以是x86、amd64 或ia64，<destination> 是本地路径。

执行copype x86 c:\winpe_x86 拷贝PE工具此命令将创建以下目录结构并复制该体系结构的所有必要文件。

如，\winpe_x86、\winpe_x86\ISO、\winpe_x86\mount3. 将ImageX 复制到c:\winpe_x86\ISOcopy "c:\Program Files\Windows AIK\Tools\x86\imagex.exe" c:\winpe_x86\ISO\也可以自己制作ImageX 配置文件wimscript.ini，并复制到c:\winpe_x86\ISO。

UNIX一、如何修改系统对用户使用资源的默认限制？用户使用系统资源都有一定的限制，在/etc/security/limits文件中限制着用户使用系统资源的多少，系统管理员(root用户)通过修改这个文件的内容可以限制某个用户对系统资源的使用，例如修改某个用户的fsize属性的值来限制用户进程最大可以产生多大的文件。

在/etc/security/limits文件中可以为每个用户所能使用的资源做出明确的限定。

该文件以形式为每个用户记录限制资源的属性。

右表所列的就是这些限制属性的含义。

这些限制属性分为软限制和硬限制，通常软限制的值应该小于或等于硬限制的值，也就是说硬限制的值是上限。

这些限制属性的值都是十进制的整数，是32位的整数，因此这些整数的最大值就是2147483647，除了cpu、nofiles、cpu_hard和nofiles_hard之外，其他属性值的单位都是512字节块。

如果为用户设置了硬限制的值而没有设置软限制的值，则二者相同。

如果某个值为－1，则表示没有限制。

二、如何确定逻辑设备的物理位置？IBM的pSeries服务器使用物理位置编码（Physical Location Codes）和AIX位置编码来确定失败的现场可替换部件（Field Replaceable Unit，简称FRU）。

物理位置编码作用是映射逻辑设备在实际物理结构中具体位置。

物理位置编码是分层的、分级的，能够标示出特定适配器卡在机架、扩展笼、底板(Backplane)以及卡槽的详细位置。

物理位置编码的格式是一个由字母、数字和符号构成的字符串，其中符号有减号（－）、斜线（/）、井号（＃）和句点号（.）。

例如物理位置编码P3-Z1-A2.1标示一个SCSI设备，它位于底板3上的SCSI总线1上，SCSI地址是SCSI ID 2、LUN 1。

物理位置编码U1.5-P1-I2标示某个适配器位于第一个机架的5号扩展笼，第一个底板的2 号I/O 插槽中。

ESXi虚拟机使用IMG镜像安装系统（LEDE安装教程）最近在玩软路由，很多软路由的安装包都是img镜像格式的，比如LEDE，爱快之类都有img格式。

那么img如果转化为ESXi虚拟磁盘呢？可能很多人会使用StarWind V2V Converter进行格式转化成虚拟机磁盘镜像，玩LEDE时候发现这样转换出来的磁盘镜像会有问题。

所以最后只能在PE下写盘了。

以下以LEDE-2.11写盘为例：1、ESXi服务器（这边略过了，不会的建议度娘）2、下载工具和软件img写盘工具IMG写盘工具.zipWin PE ISO镜像盘。

由于现在的pe很多有病毒，建议使用微PE 工具箱，下载Win8PE 32位版本制作ISO光盘镜像https:///s/1gfyQlW3LEDE-2.11，直接去官网下载固件UltraISO ISO镜像编辑软件3、使用微PE工具箱，制作ISO格式的Win8PE盘，并用UltraISO打开这个Win8PE盘，添加"img盘工具.exe"和"lede-v2.11-r6075-c70254d-x86-64-combined-squashfs"后保存下该镜像文件。

4、ESXi创建LEDE虚拟机因为LEDE是64位的linux系统，建议创建LINUX64位版本的环境。

由于LEDE支持VMXNET3，所以选择这个10G网卡磁盘选择“LSI Logic并行”，磁盘大小建议100MB以上，虚拟节点默认就可以了完成后再编辑LEDE虚拟机，主要是加载刚才的ISO镜像、添加网络适配器2和删除一些不用的设备。

5、IMG写盘启动LEDE虚拟机，自动引导到Win8PE界面，进入PE系统就像Windows一样操作，打开光驱，默认一般是C盘。

双击打开"IMG写盘工具.exe"，选择YES选择刚才建立虚拟磁盘，并选择LEDE镜像，点击开始跳出“数据丢失”提示，点击是开始img写盘，等到完成按确定然后关机，编辑LEDE虚拟机，删除CD/DVD6、启动LEDE虚拟机，可以正常看到LEDE的启动界面。

第一章介绍本章内容包括对IBM针对AIX产品线的高可用性集群多处理系统的介绍以及IBM高可用产品的概念本章将讨论以下主题：●什么是HACMP？●历史与发展●高可用性的概念●高可用性Vs容错1.1.什么是HACMP？在我们解释什么是HACMP以前，我们先来定义一下高可用性的概念。

High availability在当今复杂的环境下，成功实现IT应用的一个关键要素就是提供不间断的应用服务。

HA就是这样一个可以通过消除计划内/计划外宕机事件从而向客户应用提供不间断服务的部件，它能达到消除从硬件到软件的单点故障（SPOFs）。

一个高可用性解决方案可以保证方案中任何组件的失效（包括硬件、软件或系统管理）都不会造成客户无法访问应用和应用数据。

高可用性解决方案可以通过恰当的设计、计划、硬件选择、软件配置以及细心控制改变管理方法来消除单点故障。

Downtime停机时间是指应用程序不能为客户端提供服务的时间。

停机时间分为：➢计划内：-硬件升级-维修-软件更新/升级-备份（离线备份）-测试（对群集确认必须进行周期性测试）-发展➢计划外：-管理员过失-应用失效-硬件失效-其他不可抗力（天灾）IBM针对AIX的高可用性解决方案——HACMP给予饱经考验的IBM群集技术，它包括以下两个组件：➢高可用性：该进程保证应用在用户复制和/或共享资源时是可用的。

➢群集多处理：该进程提供在同一节点上多个应用共享或并发访问数据。

基于HACMP的高可用性解决方案提供自动失效检测、诊断、应用恢复和节点重新控制。

在恰当的应用中，HACMP还可以在并行应用处理中提供对数据的并发访问，从而提供更高的可扩展性。

标准的HACMP环境如图1-1。

1.1.1.历史与发展IBMHACMP最早可追溯至90年代。

HACMP在1990年开始为RS/6000机器上的应用提供高可用性解决方案。

我们不会提供关于更早版本的信息，原因在于这些版本要么已经不被支持或者已经不再使用，我们只提供近期一些版本的相关信息。

AIX系统重启过程系统重启过程：⼀、停⽌HACMP，停⽌系统1、运⾏指令"smitty clstop"回车。

在shutdown mode项选择graceful并回车, 等待命令执⾏OK,退出smitty。

2、等待HACMP完全停⽌, 可⽤指令"tail -f /tmp/hacmp.out"观察HACMP停⽌状况。

3、⽤指令"netstat -i"检查IP address, 确认Boot IP和Admin IP正常，Service IP有没有起。

4、⽤指令"lsvg -o"检查vary on 的VG,确认共享VG变为varyoff状态。

5、停⽌系统：shutdown -Fr⼆、启动HACMP之前1、指令"netstat -i"检查IP address, 确认Boot IP和Admin IP正常，Service IP有没有起。

2、运⾏指令"lsvg -o"检查vary on 的VG,确认共享VG为varyoff状态。

3、确认⽆其他节点正在启动HACMP。

三、启动HACMP1、指令"smitty clstart"回车。

等待命令执⾏OK, 退出smitty。

2、等待HACMP完全启动, ⽤指令"tail -f /tmp/hacmp.out"观察HACMP启动状况。

3、⽤指令"netstat -i"检查IP address, 确认Boot IP和Admin IP正常，Service IP启动正常。

4、⽤指令"lsvg -o"检查vary on 的VG, 认共享VG变为varyon状态。

lsvg -l datavg lspv5、⽤指令"df"检查mount的⽂件系统df -g6、确认属于应⽤正常:su – vbs5db2 connect to vbs5db2 list applicationsdb2 list tablespaces show detaillssrc -alssrc -a |grep cics四、查看⽇志1、/tmp/hacmp.out2、DB2的⽇志⽂件db2diag.log 在/home/db2ivbs/sqllib/db2dump下3、errpt -a >errlog.txt(root下)。

1.1配置网卡绑定、IP地址1.1.1网卡绑定配置双网卡绑定主、备网卡工作模式etherchannel设置方法：说明：本系统有4块物理网卡，分别为ent0、ent1、ent2、ent3，绑定ent0与ent1两块网卡，设置ent0为主网卡、ent1为备份网卡，注意两块网卡不能是一对双口卡。

1、增加EtherChannel，#smit etherchannel2、选择网卡ent03、选择备份网卡 Backup Adapter “ent1”按F4选着确认后系统提示生成ent4虚拟网卡配置IP地址时选择ent4对应的逻辑网卡en4进行配置。

1.1.2I P地址配置配置ip地址不要使用smit mktcpip，因为使用mktcpip每配置一个IP地址时，都会更改/etc/hosts表增加一条主机名的映射关系。

建议使用smit chinet配置ip地址，然后手工修改hosts表。

smit chinet1.2配置网络路由1.2.1配置default gatewaysmit mkroute，如配置缺省网关时指定DESTINATION Address 为 0，并输入缺省网关地址，其它项不填写。

1.2.2配置静态路由配置静态路由时也使用smit菜单进行配置，以保证系统重新启动后，路由不会丢失。

举例配置带外管理到11.159.0.0网段，走11.159.20.1，子网掩码为255.255.0.0 smit route1.2.3检查路由配置1、检查当前路由表#netstat –rn2、检查ODM库中的路由表信息#lsattr –El inet01.3设置系统时区及时间时区设置为Asia/Shanghaismit system→Change / Show Date and Time→Change Time Zone Using System Defined Values选择正确的时区，时区设置完成后需要重新引导操作系统。

虚拟化技术与应用》期末考试题一、单项选择题（每题2分，共40分）1.Docker镜像采用分层的结构构建，最底层是（），这是一个引导文件系统［单选题］rootfsbootfs（正确答案）BaseimageContainer2.进入正在运行中的容器,将终端依附到容器上命令是（）［单选题］dockerattach容器名称或ID（正确答案）dockerrundockerexec以上方法都可以3.在Docker中基于DockerFlie构建镜像的命令是（）［单选题］dockercreatedockercommitdockerexportdockerbulid（正确答案）4.查看容器或者镜像详细信息的命令是（）［单选题］dockerinfodockernodedockerinspect（正确答案）dockerps5.在dockerhub中拉取镜像命令是（）［单选题］dockerpushdockerpull（正确答案）dockerloaddockerget6.搜索镜像的命令是（）［单选题］dockerfinddockerseekdockersearch（正确答案）dockerlookup7.Dockerfile文件中指定基础镜像的指令是（）［单选题］FROM（正确答案）RUNADDCMD8.Docker配置第三方镜像仓库，修改设置或修改（）文件［单选题］config.jsonmirror.jsonrespository.jsondaemon.json（正确答案）9.查看容器中运行的进程信息（）［单选题］dockerpsdockertop（正确答案）dockerstatsdockerinspect10.在容器中执行完操作之后，可以使用（）终止Bash程序，容器也会随之停止，回到宿主机中。

［单选题］quitcloseexit（正确答案）pause11.当执行“Docker create镜像名称或ID”，容器创建完成后，Docker会生成一个镜像ID,其长度为（）位的十六进制字符串。

AIX上安装Webl ogic Server10.3 详细过程1.下载IBM Java SDK 6.0 for AIX登陆https:///developerworks/java/jdk/aix/service.html在"Where to get SDK base image and JRE"一行,选择你需要下载的JDK版本和位数,我这里选择的是"Java 6 64-bit"，如图:注意:在"Where to get SDK base image and JRE"一行选,不要选错了!~点进去之后,接着出现一个IBM账户,输入你的IBM ID和密码,登陆成功后,勾选"I agree"选项,然后点击"I confirm",进入下载页面,勾选"64-bit Java 6 SDK userguide(sdkguide.aix64.htm)[向导网页,可以不下载]"和"Base SDK(required)Java6_64.sdk.tar或者OR Java6_64.sdk.tar.gz"(真正的安装文件),接着用IBM 的Java Applet下载这2个文件。

注:以下操作请在root用户下操作,若要想使用普通用户,可以选择"smitty installp"命令来安装JDK1.6,不过操作过程中可能还需要root用户来改变某些文件的权限,所以推荐使用root 用户,安装完成后,仍可用root用户来改变JDK的权限。

2.下载WebLogic10.3 for AIX 64 bit的安装介质注:去/ 下载WebLogic Server10.3 forAIX5.3 (server103_generic.jar), 想下载其他版本的WebLogic Server,请登陆MetaLink,搜索"BEA Release Archive"即可找到。