数据中心操作系统安装配置规范系列
AIX7.1操作系统安装配置规范
文档信息
项目名称: AIX7.1操作系统安装配置规范 文档作者: 文档审核者: 环境保障二处 环境保障二处 生成日期: 审核日期: 2015年7月 文档版本号: 1.0 文档维护记录
版本号 维护日期 1.0 2015-7-7 作者/维护人 描述 环境保障二处 根据中心内部相关处室讨论意见及部门会商意见修订,形成正式文档 2015年7月 信息科技部
适用范围
本安装配置规范适用于AIX V7.1版。
除条文中特别规定适用范围的,本安装配置规范条文适用于总分行的生产、研发和测试等环境。
鉴于AIX7.1操作系统小版本在不断变化中,且还分为express、standard、enterprise三个版本,本文档根据standard版安装过程截取步骤及截图,若安装其他版本操作系统,文档中所涉及的步骤或截图可能与实际环境有所差异,请注意结合实际情况做出判断。
第 1 页 共 50 页
数据中心操作系统安装配置规范系列
目录
适用范围 .................................................................................................................................................. 1 一、硬件配置要求(生产环境必须满足,研发测试环境供参考) ...................................................... 3 二、操作系统安装过程 .......................................................................................................................... 3 (一) (二) (三)
准备工作 ............................................................................................................................. 3 安装过程 ............................................................................................................................. 3 其他软件包的安装 ........................................................................................................... 20
三、操作系统的配置步骤 .................................................................................................................... 21 (一) (二) (三) (四) (五) (六) (七) (八) (九) (十) (十一) (十二) (十三) (十四) (十五) (十六) (十七)
40
修改时区 ........................................................................................................................... 21 修正操作系统时间 ........................................................................................................... 22 修改ROOT用户的密码 ....................................................................................................... 23 修改机器名 ....................................................................................................................... 23 修改操作系统属性参数 ................................................................................................... 24 设置系统DUMP .................................................................................................................... 25 VG创建及配置 .................................................................................................................. 27 修改系统交换空间 ........................................................................................................... 31 激活串口 ........................................................................................................................... 32 修改IP地址和路由设置 ................................................................................................. 33 建立逻辑卷WORKLV ........................................................................................................ 35 创建文件系统 ............................................................................................................... 36 系统内核参数调优 ....................................................................................................... 38 系统资源参数调整 ....................................................................................................... 38 配置安全连接软件SSH ................................................................................................. 39 部署NTP服务(生产环境必须设置,研发测试环境供参考) .................................... 40 部署生产系统操作系统自动备份脚本(生产环境必须设置,研发测试环境供参考)
四、操作系统的安全设置步骤 ............................................................................................................ 41 (一) (二) (三) (四) (五) (六)
关闭所有不必要的系统服务进程 ................................................................................... 41 设置登录超时时间 ........................................................................................................... 44 限制用户使用SU ............................................................................................................... 44 操作系统用户帐户设置规范如下: ............................................................................... 44 用户密码策略设置(生产环境必须设置,研发测试环境供参考) ................................ 45 系统安全其他方面的设置步骤 ....................................................................................... 47
五、双网卡配置与监控部署 ................................................................................................................ 48 (一) (二) (三)
50
第 2 页 共 50 页
小型机双网卡配置(生产环境必须设置,研发测试环境供参考) ................................ 48 部署生产系统综合管理脚本(生产环境必须设置,研发测试环境供参考) ................ 49 部署系统集中监控平台TIVOLI监控代理(生产环境必须设置,研发测试环境供参考)
数据中心操作系统安装配置规范系列
一、硬件配置要求(生产环境必须满足,研发测试环境供参考)
AIX操作系统适用于IBM 小型机和刀片式基于Power系列芯片开发的机型,相应的硬件要求建议如下:
? 双电源模块冗余配置(拷机过程中需进行电源冗余测试工作)。 ? 生产系统小型机原则上应至少配置四块内置硬盘,其中两块建立rootvg
用于安装操作系统,另外两块建立datavg用于存储应用程序和数据。 ? 生产系统小型机原则上应配置两张SCSI卡冗余配置(每个VG至少由位
于不同SCSI卡两块硬盘进行镜像)。
? 一个生产用IP地址需要配备两块网卡互相冗余,以实现双网卡的负载均
衡、热备份或者冷备份;生产IP地址优先使用PCI插槽网卡,将主板上网卡作为备用网卡。
二、操作系统安装过程
(一) 准备工作
1. 检查终端、键盘是否与主机正确连接。 2. 打开外设及主机电源开关(先外设后主机)。 3. 把安装介质(操作系统光盘第一张)放入驱动器。
(二) 安装过程
1. 主机加电后,当系统发出两次蜂鸣声时,屏幕上将不断显示硬件启动代码信息,几分钟后出现画面,需要用户选择“1=SMS Menu”进入SMS菜单进行相关设置,使得系统从光盘引导。
第 3 页 共 50 页
数据中心操作系统安装配置规范系列
2. 根据机型不同,有的机型会出现选择语言和修改密码的菜单,可选择修改admin密码为admin
3. 设置小型机启动参数。 选择“5.Select Boot Options”。
选择“1.Select Install/Boot Device”
第 4 页 共 50 页
数据中心操作系统安装配置规范系列
选择“7.List all Devices”
第 5 页 共 50 页
数据中心操作系统安装配置规范系列
选择“1.IDE CD-ROM”
根据机型不同该菜单有所不同,可翻页选择CD-ROM,新机型选择SATA CD-ROM
第 6 页 共 50 页
数据中心操作系统安装配置规范系列
4. 选择“2.Normal Mode Boot”正常模式引导,而后选择“YES”退出SMS菜单(图略)。
第 7 页 共 50 页
数据中心操作系统安装配置规范系列
5. 稍等几分钟。
第 8 页 共 50 页
数据中心操作系统安装配置规范系列
6. 显示器(终端)显示:要求用户选择控制台。键入“1”并回车
(注意:键入的“1”不回显)定义当前设备为主控台。
7. 要求用户选择安装语言环境,键入“1”后回车,选择语言环境为English.
第 9 页 共 50 页
数据中心操作系统安装配置规范系列
8. 此后屏幕出现系统安装和维护的主菜单,需要改变一些设置选项再进行BOS(基本操作系统)的安装.
9. 改变安装设置:
在上面菜单中,键入“2”并回车,屏幕出现“Install and Setting”画面:
第 10 页 共 50 页
数据中心操作系统安装配置规范系列
这是系统安装的默认设置,用户应该根据需要进行修改。
选择:完全覆盖安装(New and Complete Overwrite),键入“1”:(进入菜单更改安装方式)
10. 安装方式的更改:
第 11 页 共 50 页
数据中心操作系统安装配置规范系列
如图所示:键入“1”将安装方式改为New and Complete Overwrite. 11. 选择安装操作系统的目的硬盘:
第 12 页 共 50 页
数据中心操作系统安装配置规范系列
此处为选择安装系统到哪一块(或几块)硬盘。 键入“1”,安装到hdisk0.
此时会在hdisk0前出现>>>来表明系统将安装至该硬盘。 选好后选择:“0”继续。 12. 选择完毕后应显示如下:
第 13 页 共 50 页
数据中心操作系统安装配置规范系列
13. 键入5 将Select Edition从express更改为standard。一般机器购置时配套的AIX7.1光盘均为standard版,所以这里选择更改为standard。如果机器购置时配套的AIX7.1光盘为enterprise版,则选择enterprise。关于AIX7.1上述三个edition的说明,请参考IBM官网如下链接说明。
http://www-03.ibm.com/systems/power/software/aix/v71/editions.html
第 14 页 共 50 页
数据中心操作系统安装配置规范系列
14. 设置完毕选择0,会出现“Overwrite Installation Summary”,列出当前覆盖安装设置的小结,选择1。
第 15 页 共 50 页
数据中心操作系统安装配置规范系列
15. 开始安装BOS,屏幕将不断显示安装的进度。当BOS安装完毕,系统将自动重启。
第 16 页 共 50 页
数据中心操作系统安装配置规范系列
16. 系统重启后进入如下界面,选择终端类型为vt100
17. 接受软件许可协议
第 17 页 共 50 页
数据中心操作系统安装配置规范系列
选择Accept License Agreements,回车,运行OK后,Esc + 0退出,进入如下界面。
18. 软件维护协议
第 18 页 共 50 页
数据中心操作系统安装配置规范系列
选择Accept Software Maintenance Terms and Conditions,回车,运行ok后,按Esc + 0 退出,进入到Installation Assistant界面。
19. 安装助手界面
第 19 页 共 50 页
数据中心操作系统安装配置规范系列
选择Tasks Completed - Exit to Login,回车,进入登录操作系统界面。
(三) 其他软件包的安装
选择安装如下软件包,这些软件包用于系统性能监控和分析:bos.adt,bos.cifs_fs,bos.clvm,bos.compat,bos.content_list,bos.cpr, bos.dlc,bos.dosutil,bos.installers,bos.lrn,bos.mls,bos.net,bos.perf.gtools,bos.svpkg,bos.sysmgt,bos.data,安装完毕后,使用如下命令检查软件包的一致性
#lppchk -v #lppchk -l
第 20 页 共 50 页
数据中心操作系统安装配置规范系列
三、操作系统的配置步骤
(一) 修改时区
#smit --System Environments--Change / Show Date and Time--Change Time Zone Using System Defined Values
选择Asia/Shanghai,时区修改后需重启系统使修改生效。
最终结果如下图。
第 21 页 共 50 页
数据中心操作系统安装配置规范系列
(二) 修正操作系统时间
#smit date
第 22 页 共 50 页
数据中心操作系统安装配置规范系列
(三) 修改root用户的密码
以root登录,直接输入passwd 手动输入新密码。
(四) 修改机器名
#smit hostname
在HOSTNAME输入对应的主机名。
第 23 页 共 50 页
数据中心操作系统安装配置规范系列
(五) 修改操作系统属性参数
#smit chgsys
第 24 页 共 50 页
数据中心操作系统安装配置规范系列
单用户最大进程数:
Maximum number of PROCESSES allowed per user:128 -> 8192; 启用磁盘IO历史记录:
Continuously maintian DISK I/O history: false->true; 打开full core dump 设置:
Enable full CORE dump: false ->true;
(六) 设置系统dump
#smit dump
Always ALLOW System Dump:false -> true;
第 25 页 共 50 页
数据中心操作系统安装配置规范系列
执行Show Estimaged Dump Size,根据估算的dump大小调整主dump设备大小,保证主dump设备大小要高于估算的dump大小,AIX 7.1中主dump设备为/dev/lg_dumplv。
第 26 页 共 50 页
数据中心操作系统安装配置规范系列
(七) VG创建及配置
VG创建
以创建datavg为例,一般情况下,卷组类型选择为Scalable VG(三种卷组类型参数比较附后),datavg选择创建在两张不同SCSI卡上的硬盘上(hdisk1、hdisk3),卷组上的PP大小设置为512M。
三种卷组类型比较
卷组类型 MAX PPs per VG MAX PPs per PV MAX PVs Original Volume Group 32512 Big Volume Group 130048 1016 1016 32 128 1024 Scalable Volume Group 32768 注:只有Scalable Volume Group 可以更改MAX PPs per VG
#smit mkvg-> 选择Add a Scalable Volume Group->Volume GROUP name[datavg]-> Physical partition SIZE in megabytes[512]-> PHYSICAL VOLUME names[hdisk1 hdisk3],截图如下所示。
第 27 页 共 50 页
数据中心操作系统安装配置规范系列
关闭datavg的QUORUM
#smit chvg->选择datavg->A QUORUM of disks required to keep the volume group online选择no
rootvg配置镜像
一般情况下,rootvg选择位于另一张不同SCSI卡上的hdisk2给hdisk0做镜像,先把hdisk2加入rootvg,再执行镜像操作
#extendvg -f rootvg hdisk2
第 28 页 共 50 页
数据中心操作系统安装配置规范系列
#smit mirrorvg 如下图所示:
rootvg镜像做完后,刷新引导映像 #bosboot -ad /dev/hdisk2
#bootlist -m normal hdisk0 hdisk2
另外,此时lg_dumplv不会自动镜像,需要通过smit mklvcopy菜单来为这个lg_dumplv来做镜像,copy数指定为2,并指定synchronize the data为yes,如下图所示:
第 29 页 共 50 页
数据中心操作系统安装配置规范系列
做完后可以看到PP的数量已为LP的两倍,即copy数为2
datavg配置镜像
注意确保该VG中jfs2log所在lv需做镜像。
通常datavg的镜像是由创建lv时选择copy数为2来指定,而第一次创建文件系统时自动产生的jfs2log(通常名为loglv0X)是不带镜像的,故需要通过smit mklvcopy菜单来为这个loglv00来做镜像,copy数指定为2,并指定synchronize the data为yes,如下图所示:
第 30 页 共 50 页
数据中心操作系统安装配置规范系列
做完后可以看到PP的数量已为LP的两倍,即copy数为2
(八) 修改系统交换空间
查看系统内存:#lsattr -El mem0, 查看系统原有的交换空间:#lsps -a
虚拟内存设置大小设置规则建议如下,具体可以根据应用程序运行情况来进一步调整优化。
2G以下内存,交换空间配置为2G或2G以上;
2G-8G内存,交换空间配置为内存的一半或与内存一样大; 8G以上内存,交换空间配置内存的一半到内存同样大小; #smit pgsp
第 31 页 共 50 页
数据中心操作系统安装配置规范系列
(九) 激活串口
#smit tty
第 32 页 共 50 页
数据中心操作系统安装配置规范系列
修改机器上的各串口tty(vty)*都设置成Available 和Enable LOGIN:
(十) 修改IP地址和路由设置
#smit inet
第 33 页 共 50 页
数据中心操作系统安装配置规范系列
设置IP地址、掩码,更改状态为UP。 #smit route
第 34 页 共 50 页
数据中心操作系统安装配置规范系列
(十一) 建立逻辑卷worklv
在rootvg上创建worklv,用于创建/work文件系统,用来存放安装介质。 #lsvg rootvg(查询1PP的大小),这里1PP=256MB
在这里我们分配给worklv 1GB空间,也就是4PP。实际工作中可以根据需要来创建更大的逻辑卷。
#smit mklv
第 35 页 共 50 页
数据中心操作系统安装配置规范系列
(十二) 创建文件系统
创建文件系统原则:
第 36 页 共 50 页
数据中心操作系统安装配置规范系列
当一级文件系统未设置为自动挂载时,只能创建并使用一级文件系统,不允许在该一级文件系统下创建二级文件系统,以避免因挂载文件系统的先后顺序导致文件系统内容被覆盖。
创建文件系统步骤: #smit jfs2
建立文件系统(worklv逻辑卷已预建)
挂载文件系统
#mount /work
第 37 页 共 50 页
数据中心操作系统安装配置规范系列
扩大操作系统类文件系统/,/var,/tmp,/home文件系统空间
严格规定应用数据或应用日志不能写到这四个文件系统空间内,尤其是/tmp文件系统空间。
/,/var,/tmp和/home文件系统空间至少扩大到2G以上(含2G)。
(十三) 系统内核参数调优
#smit tuning->Tuning Network Option Parameters-> Change / Show Current Parameters-> somaxconn: 1024调整为4096 clean_partial_conns: 0调整为1 使用下列命令查看并确认已经修改: #no -a |grep somaxconn #no -a clean_partial_conns
#smit tuning->Tuning Network Option Parameters->Save Current Parameters for Next Boot 内存参数调整:
除文件服务器外,建议将文件系统(JFS/JFS2)使用内存比例都限制在50%以下。 参数 缺省值 目标值 更改参数命令行 参数说明 maxperm% maxclient% 90% 90% 50% vmo -p -o maxperm%=50 vmo -p -o maxclient%=50 限制JFS文件系统使用内存比例 限制JFS2文件系统使用内存比例 50%
注意执行上面表格中vmo命令时先改maxclient%,再改maxperm%。
(十四) 系统资源参数调整
#vi /etc/security/limits fsize = 2097151->-1 data = 262144->2097152 rss = 65536->1048576
第 38 页 共 50 页
数据中心操作系统安装配置规范系列
stack = 65536->1048576 nofiles = 2000->80000
(十五) 配置安全连接软件ssh
1. 安装OpenSSH软件,要求版本 6.0.0.6200或以上,Openssl版本为1.0.1.512或以上,有的AIX7.1补丁级别光盘可能会在安装系统时默认安装OpenSSH。系统自带的版本不满足需求,需手动另行安装,可到ftp://168.1.6.23/software/system/aix/tools/openssh/AIX71/下载该版本的openssh和openssl,按照先装Openssl再装Openssh的顺序进行安装。软件包装完后用lslpp -l查看类似如下:
2. sshd服务的启动和关闭
#lssrc -s sshd 查看sshd服务进程的状态 #startsrc -s sshd 启动sshd服务进程 #stopsrc -s sshd 关闭sshd服务进程 3. 配置只能使用安全性更高的ssh v2来连接
修改系统/etc/ssh/sshd_config protocal权限设置为2,重启sshd服务 #stopsrc -s sshd #startsrc -s sshd
4. 安装完成后,就可使用ssh和sftp命令了,命令格式为 #ssh [options] host [command]
其中,options 可使用 -l username 参数以及-p port 参数,username为远程主机用户名,port为端口。
第 39 页 共 50 页
数据中心操作系统安装配置规范系列
#sftp username@host,其中username为远程主机用户名,host为远程主机IP地址。
(十六) 部署NTP服务(生产环境必须设置,研发测试环境供参考)
1. ftp至该网段的综合管理服务器,在/home/xtjk/ntp目录下获取配置文件/etc/rc.d/rc2.d/Sntpd,/etc/ntp.conf,ntp_aix.sh的tar包 (不同机构,sh文件内SERVER_IP时间服务器地址可能不同) ,例如至12网段综合管理服务器上取得ntp_aix_ 12client.tar,并在本机上解tar。
2. ps -ef|grep -v root确认无应用和数据库后,使用ntp_aix.sh进行NTP部署
3. 启动服务后可以用以下命令查看同步状态:
ntpq -c pe,查看IP地址前是否有*,有这个标记后表示已经锁定时间源。 ntpq -c rv,查看stratum是否为2,为2代表已经锁定时间服务器, 查看rootdispersion是否慢慢收敛,小于10(ms)就收敛的很好了,同步一天后可能会收敛到1(ms)以下,不过收敛的程度和网络状况相关。
(十七) 部署生产系统操作系统自动备份脚本(生产环境必须设置,研发测试环境供参考)
在客户端上部署操作系统自动备份,定期进行操作系统备份,并统一上传至该网段的综合管理服务器,对于该网段没有综合管理服务器的客户端,则要求定期使用磁带或其它方式进行操作系统备份。当客户端的操作系统需使用备份恢复安装时,使用NIMSERVER从该网段的综合管理服务器恢复安装。
1. 在本地datavg上建立20G的系统备份空间/xtbf
#lsvg datavg,查看本机datavg剩余空间大小,以及每PP的大小 #smit lv-> Add a Logical Volume-> VOLUME GROUP name[datavg], Logical volume NAME[xtbflv];,
Number of LOGICAL PARTITIONS[160](根据各服务器PP大小而定), PHYSICAL VOLUME names[hdisk1,hdisk3], Logical volume TYPE[jfs2],
第 40 页 共 50 页
数据中心操作系统安装配置规范系列
Number of COPIES of each logical partition 2.
#smit fs-> Add / Change / Show / Delete File Systems-> Enhanced Journaled File Systems-> Add an Enhanced Journaled File System on a Previously Defined Logical Volume->
LOGICAL VOLUME name[xtbflv], MOUNT POINT[/xtbf],
Mount AUTOMATICALLY at system restart?[yes] #mount /xtbf
#chown root:system /xtbf #chmod 755 /xtbf
2. 从该生产网段综合管理服务器上用xtjk用户到/xtbf/bin目录上传自动备份脚本xtbfcli.sh到本机的/xtbf/bin目录.
#cd /xtbf #mkdir bin
#chown root:system /xtbf/bin #chown root:system xtbfcli.sh #chmod u+x xtbfcli.sh
3. 用root用户,配置自动备份crontab #crontab -e
0 1 22 3,6,9,12 * nohup sh /xtbf/bin/xtbfcli.sh &(每季度最后一个月的22号执行自动备份脚本,备份具体时间选择在应用低峰期进行)
四、操作系统的安全设置步骤
(一) 关闭所有不必要的系统服务进程
操作系统的安全设置原则是:关闭所有不必要的系统服务进程,仅保留应用上需要并且经过安全认证的服务进程。
1. 设置inetd超级服务进程配置文件/etc/inetd.conf,停止所以不需要的服务,注释所有的行项,如ftp、telnet、shell、kshell、login、klogin、exec、
第 41 页 共 50 页
数据中心操作系统安装配置规范系列
ntalk、daytime、time、wsmserver、xmquery,dtspcd,cmsd,ttdbserver等服务。如果有安装PowerHA7.1,则caa_cfg服务必须打开。修改inetd.conf文件后,刷新inetd服务进程。
#refresh -s inetd #lssrc -ls inetd
2. 同时编辑/etc/inittab文件,注释掉qdaemon、writesrv、platform_agent、hrd、aso、pconsole、cas_agent(使用:进行注释),系统重启时就不再启动qdaemon、writesrv等服务进程。
3. 除了syslogd, inetd这两个服务进程外,关闭sendmail portmap snmpd dpid2 hostmibd snmpmibd aixmibd等所有服务和tcpip类服务进程,在/etc/rc.tcpip文件中注释掉启动这些服务的行。
#vi /etc/rc.tcpip
注释掉除了syslogd,inetd行以外的所有服务进程。 手工关闭snmp服务 #stopsrc -s snmpd
4. 关闭nfs(网络文件服务)类服务进程,并设置为现在和重启后都关闭该服务进程。
#smit rmnfs
stop nfs ? STOP NFS now, system restart or both 选择both 5. 关闭spooler打印服务类进程。 执行stopsrc -g spooler
6. 例如ctrmc,clcomd,clconfd等这些服务是较新版本操作系统上的CAA资源子系统的daemon,PowerHA/SSA/虚拟化管理等需要用到这些服务,不建议关闭。用于机器资源管理rsct_rm类进程不建议关闭。
7. 如果有安装PowerHA7.1,确认/etc/inittab文件中的clcomd服务已打开,以及/etc/inetd.conf文件中caa_cfg服务已打开。若未打开,需手动开启。 #lssrc -g caa查看CAA状态 #starsrc -g caa,进行手工启动
修改inetd.conf文件后,刷新inetd服务进程
第 42 页 共 50 页
数据中心操作系统安装配置规范系列
#refresh -s inetd
#lssrc -ls inetd 查看caa_cfg服务状态
8. 在启用CDE环境的服务器上必须启动portmap服务,在配置NFS服务时,portmap服务也会自动启动。
9. 以上设置完成后,进行严格检查工作,如发现还有开放的端口,应该查明是否为应用上需要开放的端口,否则一律进行关闭处理。(stopsrc -s writesrv,lpd,sendmail) #netstat -an |grep LISTEN
如发现还有开放端口,用rmsock进行查明并处理 例如:
Aix_test1:/etc#netstat -nAa | grep 8080
f1000600036a0390 tcp4 0 0 *.8080 *.* LISTEN
Aix_test1:/etc#rmsock f1000600036a0390 tcpcb
The socket 0x36a0000 is being held by proccess 225372 (tnslsnr). 刚安装完毕并进行安全设置后的端口应该只有22,该端口用于sshd安全连接服务(如果使用CDE环境,则保留dtlogin,portmap两个服务,dtlogin端口号为32768,portmail端口号为111),如下: Aix_test1:/ #netstat -an|grep LISTEN
tcp4 0 0 *.22 *.* LISTEN
tcp4 0 0 *.111 *.* LISTEN(portmail服务,CDE环境需要)
tcp4 0 0 *.657 *.* LISTEN(AIX自带资源管理服务) tcp4 0 0 *.32768 *.* LISTEN(dtlogin服务,CDE环境需要)
查看打开的服务: lssrc -a|grep active
portmap portmap 74420 active(CDE环境需要) syslogd ras 78520 active
第 43 页 共 50 页
数据中心操作系统安装配置规范系列
sshd ssh 86722 active IBM.ERRM rsct_rm 49554 active IBM.AuditRM rsct_rm 61866 active IBM.ServiceRM rsct_rm 98986 active IBM.CSMAgentRM rsct_rm 102574 active
(二) 设置登录超时时间
增加或修改/etc/profile文件中如下行: TMOUT=900
(三) 限制用户使用su
使用smit或增加、修改/etc/security/user下default的设置。 default: su = false
(四) 操作系统用户帐户设置规范如下:
1. 系统默认用户设置
系统超级管理用户(root)应设置双重口令。
严格禁止使用系统开立的默认帐户(除root用户外)登录。
编辑/etc/passwd,把系统开立的默认帐户daemon、bin、sys、adm、uucp、guest、nobody、lpd等用户的登录标记由“!”改为“*”。
2. 数据库用户,如informix,oracle用户
主机数据库系统安装、配置和管理用户,应设置不允许登录,vi /etc/passwd 将informix、oracle用户的登录标记由“!”改为“*”。
3. 应用特权用户,如cib用户
应用维护特权用户,是数据库的DBA用户,可以对应用数据库、表及记录进行修改和删除。应用特权用户仅用于软件下发及数据库、表的增加、删除,应设置双重口令。
4. 系统管理查询用户,如xtjk用户
系统管理普通查询用户,用于对系统日志、运行情况进行监控和分析。对数
第 44 页 共 50 页
数据中心操作系统安装配置规范系列
据和程序没有任何修改权限,用户属于staff组,口令由系统管理人员掌握。
5. 应用及数据查询用户,如cxwh用户
应用维护查询用户,对数据库和应用只有查询功能,属于staff组。口令由应用维护人员掌握。
(五) 用户密码策略设置(生产环境必须设置,研发测试环境供参考)
1. 未接入运维操作管理系统,用户密码策略配置如下:
修改/etc/security/user文件,设置用户口令的复杂度、长度等参数。
选项 Maxage 描述 最长有效期(周) 设置值 30 Maxexpired 口令过期后用户更改口令的期限(周) Minalpha Minother Minlen Mindiff 最短字符数 新口令与旧口令的最少不同字符数 最少包含的字母数 最少包含非字母数字字符的数量 4 4 1 8 3 3 26 Maxrepeats 口令中某一字符的最多重复次数 Histexpire 同一口令不能重复使用的时间范围 Histsize Pwdwarntime Loginretries 用户输入密码错误几次后禁止登录 (周) 同一口令与前面旧口令不能重复的个数 密码过期前提示时间(天) 4 30 20(出于安全考虑例外:root用户不限制) 第 45 页 共 50 页
数据中心操作系统安装配置规范系列
各用户帐户口令在员工离岗或调离本工作岗位后应及时予以更改。 2. 接入运维操作管理系统,用户密码策略配置如下:
选项 Maxage 描述 最长有效期(周) 设置值 0 Maxexpired 口令过期后用户更改口令的期限(周) Minalpha Minother Minlen Mindiff 最短字符数 新口令与旧口令的最少不同字符数 最少包含的字母数 最少包含非字母数字字符的数量 -1 4 1 8 0 8 0 Maxrepeats 口令中某一字符的最多重复次数 Histexpire 同一口令不能重复使用的时间范围 Histsize Pwdwarntime Loginretries 用户输入密码错误几次后禁止登录 (周) 同一口令与前面旧口令不能重复的个数 密码过期前提示时间(天) 0 0 20(出于安全考虑例外:root用户不限制) 注:以上密码策略设置于default节,即缺省每个用户都为该设置,下面列出例外
(1)root用户需单独设置loginretries=0,即root用户密码输入错误不受禁止登录限制(root用户若被禁止登录则需要重启机器使用光盘引导来重设密码,风险很大)。
(2)对于某些系统,应用用户的密码需在应用程序里配置的,例如网银后
第 46 页 共 50 页
数据中心操作系统安装配置规范系列
台管理系统数据库服务器上用作weblogic jdbc连接的netbank用户,这类用户需限制登录,login和rlogin设置为false;同时,密码不建议定期更改(否则应用就需要定期停止去改密码及jdbc配置),故这类用户密码过期期限需设置为maxage=0。另外,因用户密码输入错误次数超过loginretries限制导致这些用户被锁定可能会影响到应用正常运行,故建议这类用户设置loginretries=0。
(六) 系统安全其他方面的设置步骤
1. 为了保障系统安全稳定运行,规定在运行环境中不予安装开发编译所需的软件包。
2. 安装必要的补丁。尤其是安全方面的补丁应该及时打上。在安装系统补丁前必须先进行系统测试后,方可在生产系统上安装上线运行。
3. 严格检查系统/etc/hosts文件中IP地址是否合法,并及时清理。 4. 严格限制用户帐户的ftp功能,为了防止用户帐户随意传送数据,应该设置/etc/ftpusers文件,或者直接关闭ftpd守护进程,严格限制系统用户的ftp功能。同时严格限制登录用户在系统中使用ftp命令的权限。
5. 使用正确的umask值,一般情况下可采用默认值022,如有特殊要求,可设置更严格的umask值027.。
6. 系统安全文件设定严格的读写权限,不得随意更改。
尤其对于/etc/security目录下的安全设置文件,除了系统超级管理用户有读写权限,其他用户都不能有任何读写权限,不能随意更改该目录下的文件权限和属主。
7. 原则上不允许开设等价主机,如果确为应用上需要,则需要经过审核批准,同时需要进行严格的管理和控制
要严格管理好/etc/hosts.equiv、.rhosts和.netrc这3个文件。其中,/etc /hosts.equiv列出了允许执行rsh、rcp等远程命令的主机名字;.rhosts在用户目录内指定了远程用户的名字,其远程用户使用本地用户账户执行rcp、rsh和rlogin等命令时不必提供口令;.netrc提供了ftp和rexec命令所需的信息,可自动连接主机而不必提供口令,该文件放在用户本地目录中。由于这3个文件的设置都允许一些命令不必提供口令便可访问主机,因此必须严格限制这3个文件的设置。在.rhosts中不能使用“+ +”,由于它可以使任何主机的用户不必提
第 47 页 共 50 页
数据中心操作系统安装配置规范系列
供口令而直接执行rcp、rlogin和rsh等命令。
五、双网卡配置与监控部署
(一) 小型机双网卡配置(生产环境必须设置,研发测试环境供参考)
1. 网络配置
服务器的两张网卡分别接入两台不同的接入层交换机(两台接入交换机的速率需相同)
2. 关闭应用与数据库
3. 以xtjk用户登录操作系统,备份路由表 $mkdir network
$lsattr -El inet0 > routetable.txt $netstat -rn >netstat.txt $ifconfig -a > ifconfig.txt $lsdev -Cc adapter > adapter.txt
4. 通过字符终端直连小型机,以root用户登录服务器,配置以太通道 (1)删除需要绑定的网卡并重新识别
#smit ->tcpip ->Further Configuration-> Network Interfaces-> Network Interface Selection-> Remove a Network Interface->选择已配置IP地址的网卡
#rmdev -dl ent0 #rmdev -dl ent2 #cfgmgr -v
(2)确保两张网卡设置成同样的速度和工作模式,即1000兆全双工。 #smit->Device->Communication->Ethernet Adapter->Adapter->分别选择2张网卡
Change/Show Characteristics of an Ethernet Adapter->Media speed [1000_Full_Duplex]
第 48 页 共 50 页
数据中心操作系统安装配置规范系列
(3)设置以太通道
#smit etherchannel->Add An EtherChannel / Link Aggregation->选择主以太网适配器ent0->Backup Adapter 选择[ent2]->生成ent4
5. 配置新创建的以太通道en4的IP地址和子网掩码(确保与原IP地址及子网掩码一致)
#smit chinet
6. 对照备份的路由表,重新配置路由表,对缺少的路由进行添加 #smit route
7. 进行网络高可用性测试
(1)在已经配置了以太通道的服务器执行长ping操作,测试网络连通性 (2)先拔出ent0网口网线,确认在允许少量丢包的情况下,不会发生网络的中断;插上ent0口网络线以后,再拔出ent2网络口的网线,确认在允许少量丢包的情况下,不会发生网络的中断,再插上ent2口网络线。
8. 启动数据库,启动应用,并确认应用正常。
(二) 部署生产系统综合管理脚本(生产环境必须设置,研发测试环境
供参考)
1. xtjk用户登录系统,至综合管理服务器上获取综合管理脚本 建立bin目录 #mkdir bin
将xtjkchk.pro main.sh xtjkchk.env 三个文件放到bin目录 检查xtjk用户.profile 文件 根据每台服务器信息更新相关内容 egrep \|ORACLE _SID|PATH\
Informix
数据库必须配置 \
ONCONFIG|PATH\ 环境变量
Oracle数据库必须配置“ORACLE_HOME|ORACLE_SID|PATH”环境变量 chmod 700 main.sh chmod 600 xtjkchk.env chmod 600 xtjkchk.pro crontab -e
第 49 页 共 50 页
数据中心操作系统安装配置规范系列
新增
0 * * * * /home/xtjk/bin/main.sh
2. 建立该网段综合管理服务器到本机xtjk用户的sftp信任机制 到综合管理服务器xtjk用户的.ssh目录下将其id_rsa.pub文件传至本机的xtjk用户的.ssh目录下
cat id_rsa.pub >> authorized_keys
在本网段综合管理服务器上sftp 到本机xtjk用户不用输口令 3. 在该网段综合管理服务器上添加主备机的ip地址 xtjk用户登录该网段综合管理服务器
将主备机ip地址加入 /home/xtjk/bin/zblist.txt
(三) 部署系统集中监控平台Tivoli监控代理(生产环境必须设置,
研发测试环境供参考)
参照《系统集中监控平台升级项目软件安装实施手册_AIX及有关数据库代理安装配置》最新版本中有关要求或有关监控代理部署模板进行Tivoli监控代理部署。
第 50 页 共 50 页