IBM小型机安装标准
国家电网xx信息公司
2014年5月
目录
TOC o "1-3" h z u 一、网卡需求
一、网卡需求
1、对于单机系统至少需要1个网口;考虑到网络安全建议做网卡绑定,需要2个网口且分布于不同网卡。
2、对于双机系统至少需要2个网口,且建议分布于不同网卡;考虑到网络安全建议做网卡绑定,需要4个网口且分布于不同网卡.
二、光纤卡需求只有业务有外挂存储资源时需要光纤卡资源,为保证安全,建议使用2个光纤口,且分布于不同光纤卡。
三、磁盘需求主机或lpar分区要由两块磁盘,磁盘大小要求不低于146G。
四、主机文件系统需求
分区或逻辑卷 |
Mount点 |
大小要求 |
类型 |
用途 |
/dev/hd4 |
/ |
10G |
JFS2 |
操作系统 |
/dev/hd2 |
/usr |
6G |
JFS2 |
操作系统 |
/dev/hd9var |
/var |
5G |
JFS2 |
操作系统 |
/dev/hd3 |
/tmp |
5G |
JFS2 |
操作系统 |
/dev/fwdump |
/var/adm/ras/platform |
5G |
JFS2 |
操作系统 |
/dev/hd1 |
/home |
10G |
JFS2 |
操作系统 |
/dev/hd10opt |
/opt |
5G |
JFS2 |
操作系统 |
/dev/livedump |
/var/adm/ras/livedump |
1G |
JFS2 |
操作系统 |
/dev/hd11admin |
/admin |
0.5G |
JFS2 |
操作系统 |
/dev/hd6 |
SWAP |
|
Paging Space |
交换分区 |
修改文件系统空间大小命令:
# chfs -a size=10G /
# chfs -a size=6G /usr
# chfs -a size=5G /var
# chfs -a size=5G /tmp
# chfs -a size=10G /home
# chfs -a size=5G /opt
# chfs -a size=1G /var/adm/ras/livedump
# chfs -a size=512M /admin
对于oracle数据库应用,新建/u01文件系统并分配其容量50G。
对于数据库的归档日志文件系统,建议其放在磁盘阵列上。
其他业务应用文件系统按申请新建。
五、主机名命名规范
主机所在机房的首字母(如:北二楼机房为b)+业务大类(缩写)+设备应用(缩写)+编号
如:数据中心机房营销生产库 syxscoradb1
六、安装设置规范
1、安装openssh文件包以支持ssh访问:(首先需要安装openssl包)
openssh.base
openssh .msg.en_US
openssh.man.en_US
启动sshd:#/usr/bin/startsrc -s sshd(系统默认安装后已经启动)
2、SWAP分区设置标准:
Swap分区为1~1.5倍RAM大小;(最多不超过48GB,还需要再确认)
如果RAM大小介于1024MB和2048 MB,那么Swap分区为1.5倍RAM大小;
如果RAM大小介于2048MB和16GB,那么Swap分区为等同于RAM大小;
如果RAM大小大于16 GB,那么Swap分区为0.75倍RAM大小;
1)修改换页空间大小操作步骤:
首先,执行lsvg rootvg查看rootvg的PP SIZE大小,例如64 megabyte(s)。
其次,查看当前换页空间大小,执行命令:
然后,执行smitty chps命令修改Swap分区大小,填写NUMBER of additional logical partitions项值,计算要增加的LP个数。LP个数=(Swap分区最终大小-当前大小)/PP SIZE。
2)新增一个SWAP分区:
执行smitty pgsp->Add Another Paging Space(选择要建立swap的VG,一般为rootvg),填写SIZE of paging space (in logical partitions)的值(LP的个数),如果需要还可以指定新建的swap创建在哪块磁盘“PHYSICAL VOLUME name”。
3、sysdump设备设置标准:
考虑到现在小型机内存均大约4G,所有系统默认sysdumpdev设备为lg_dumplv,其大小分配原则如下:
4GB<=服务器内存<12GB, lg_dumplv大小为1GB;
12GB<=服务器内存<24GB, lg_dumplv大小为2GB
24GB<=服务器内存<48GB,lg_dumplv大小为3GB
48GB<=服务器内存, lg_dumplv大小为4GB
4、多路径软件安装(安装于磁盘阵列配套的多路径软件)
1)、对应IBM主机直接连接IBM磁盘阵列,使用系统自带的MPIO多路径软件;主机通过SVC连接磁盘阵列,需要安装sddpcm多路径软件。
2)、IBM主机连接HP磁盘阵列,需要安装磁盘阵列专用的多路径软件。
5、建立用于巡视核查的用户kjxxb
smitty user-> Add a User
七、参数修改规范优化虚拟内存参数:(根据数据库或中间件安装要求修改)
vmo -p -o minperm%=3
vmo -p -o maxperm%=90
vmo -p -o maxclient%=90
vmo -p -o lru_file_repage=0
vmo -p -o minfree=960
vmo -p -o maxfree=1088
vmo -p -o strict_maxperm=0
vmo -p -o strict_maxclient=1
vmo -r -o page_steal_method=1
/usr/sbin/no -p -o tcp_recvspace=65536
/usr/sbin/no -p -o tcp_sendspace=65536
/usr/sbin/no -p -o udp_sendspace=65536
/usr/sbin/no -p -o udp_recvspace=655360
/usr/sbin/no -p -o rfc1323=1
/usr/sbin/no -p -o sb_max=4194304
/usr/sbin/no -r -o ipqmaxlen=512
/usr/sbin/no -p -o tcp_ephemeral_low=9000 -o tcp_ephemeral_high=65500
/usr/sbin/no -p -o udp_ephemeral_low=9000 -o udp_ephemeral_high=65500
#smitty chgsys修改Maximum number of PROCESSES allowed per user设置为16384
ncargs 256.(#chdev -l sys0 -a ncargs=’256’)
修改光纤卡参数:
#rmdev -l fscsiX -R
#chdev -l fscsiX -a fc_err_recov=fast_fail -a dyntrk=yes
#cfgmgr
修改系统参数:
vmo –p –o vmm_klock_mode=2
RAC方式双机系统共享磁盘参数修改:
IBM阵列:
chdev -l hdiskX -a reserve_policy=no_reserve
HP阵列:
chdev -l hdiskX -a algorithm=round_robin -a reserve_policy=no_reserve
八、时钟同步设置1)修改时钟同步配置文件
#vi /etc/ntp.conf
在broadcastclient行前#号注释掉,并添加如下一行:
(国网NTP服务器地址100.100.48.254,100.100.48.1。本地NTP服务器地址100.122.1.66)
server 100.122.1.16 prefer
100.122.1.16为时钟同步服务器的IP地址。
2)启动ntp服务
执行smitty xntpdàStart using the xntpd SubsystemàBoth重启ntp服务,这样ntp服务会立即启动,而且在下次系统重启后也会生效。
3)检查ntp时钟同步结果
执行ntpq -p查看同步结果。
九、rootvg做镜像1)将硬盘hdisk1加入rootvg中:
#extendvg rootvg hdisk1
2)将rootvg数据镜像到hdisk1中:
# mirrorvg -c 2 rootvg hdisk1
3)重新制作引导:
#bosboot -ad /dev/hdisk0
#bosboot -ad /dev/hdisk1
4)修改启动引导顺序:
#bootlist -m normal hdisk0 hdisk1
5)重启操作系统:
#shutdown -Fr
十、AIX系统安全加固
类别 |
序号 |
加固项目 |
加固内容 |
帐户管理 |
1 |
帐号口令策略修改 (强制加固项) |
修改/etc/security/user文件如下: - minalpha=4 口令中最小含有的字符个数 - minlen = 8 口令最短长度 - loginretries = 5 登录失败处理策略 |
2 |
防止root远程登录 (补充加固项) |
增加或修改/etc/security/user文件中如下行 root: admin = true SYSTEM = "compat" loginretries = 0 account_locked = false rlogin=false |
|
3 |
设置登录会话超时 (强制加固项) |
增加或修改/etc/profile文件中如下行 TMOUT=600 |
|
4 |
限制可以su的用户 (补充加固项) |
使用smit或增加、修改/etc/security/user下不需要su的用户的设置 将su=true更改为su=false |
|
5 |
删除默认账号 (补充加固项) |
删除无用账号,如:bin,uucp,nuucp,daemon,guest等。 # chuser rlogin=false login=false bin # chuser rlogin=false login=false uucp # chuser rlogin=false login=false nuucp # chuser rlogin=false login=false daemon # chuser rlogin=false login=false guest # chuser rlogin=false login=false adm # chuser rlogin=false login=false lpd # chuser rlogin=false login=false lp # chuser rlogin=false login=false invscout # chuser rlogin=false login=false snapp |
|
6 |
.rhosts文件加固 (补充加固项) |
在.rhosts和/home/oracle/.rhosts文件中配置正确的信任主机。 |
|
7 |
弱口令 (强制加固项) |
对系统中弱口令、空口令进行修改,至少包含数字、字母及特殊字符,长度至少8位 |
|
8 |
文件权限
|
profile、inetd.conf文件权限设置为744 |
|
网络与服务 |
8 |
系统服务精简 (补充加固项) |
在 /etc/inetd.conf 文件里注释以下服务: echo,discard, daytime, chargen,finger,uucp,tftp,talk,ntalk,telnet,shell,exec,login 使用refresh –s inetd重启inetd服务 |
9 |
关闭Telnet,启用ssh服务进行远程管理 (强制加固项) |
修改inetd.conf文件,对注释telnet服务,安装AIX系统SSH远程管理工具。 |
|
10 |
删除相关服务默认banner消息 (强制加固项) |
修改/etc/motd、/etc/issue、/etc/issue.net以及/etc/banner文件中的内容,避免泄露系统及服务的版本。 |
|
|
11 |
修改777权限文件 (补充加固项) |
使用下面命令进行搜索 find / -type f -perm 777 对其中所有权限为-rwxrwxrwx的.sh文件权限使用chmod命令更改,至少改为-rwxrwx--- |
日志审核增强 |
12 |
记录 ftp 日志 (补充加固项) |
缺省情况下,系统不会记录使用FTP连接和传输文件的日志,这会对系统造成安全隐患,尤其在用户使用匿名ftp方式时。为了避免这种情况发生,可用如下的步骤使系统记录FTP的日志: 1. 修改/etc/syslog.conf文件,并加入一行: daemon.info /tmp/ftplog 其中FileName是日志文件的名字, 它会跟踪FTP的活动,包括匿名和其他用户ID。FileName文件必须在做下一步骤前创建。 2. 运行"refresh -s syslogd"命令刷新syslogd 后台程序。 3. 修改/etc/inetd.conf文件,修改下面的数据行: ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -l 4.运行“refresh -s inetd”命令刷新inetd后台程序。 5.touch /tmp/ftplog |
如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!
赞1
添加新评论3 条评论
2014-12-04 10:12
2014-10-22 15:50
2014-08-05 16:14