分区或逻辑卷	Mount点	大小要求	类型	用途
/dev/hd4	/	10G	JFS2	操作系统
/dev/hd2	/usr	6G	JFS2	操作系统
/dev/hd9var	/var	5G	JFS2	操作系统
/dev/hd3	/tmp	5G	JFS2	操作系统
/dev/fwdump	/var/adm/ras/platform	5G	JFS2	操作系统
/dev/hd1	/home	10G	JFS2	操作系统
/dev/hd10opt	/opt	5G	JFS2	操作系统
/dev/livedump	/var/adm/ras/livedump	1G	JFS2	操作系统
/dev/hd11admin	/admin	0.5G	JFS2	操作系统
/dev/hd6	SWAP		Paging Space	交换分区

修改文件系统空间大小命令：

# chfs -a size=10G /

# chfs -a size=6G /usr

# chfs -a size=5G /var

# chfs -a size=5G /tmp

# chfs -a size=10G /home

# chfs -a size=5G /opt

# chfs -a size=1G /var/adm/ras/livedump

# chfs -a size=512M /admin

对于oracle数据库应用，新建/u01文件系统并分配其容量50G。

对于数据库的归档日志文件系统，建议其放在磁盘阵列上。

其他业务应用文件系统按申请新建。

五、主机名命名规范

主机所在机房的首字母（如：北二楼机房为b）+业务大类（缩写）+设备应用（缩写）+编号

如：数据中心机房营销生产库 syxscoradb1

六、安装设置规范

1、安装openssh文件包以支持ssh访问：(首先需要安装openssl包)

openssh.base

openssh .msg.en_US

openssh.man.en_US

启动sshd：#/usr/bin/startsrc -s sshd（系统默认安装后已经启动）

2、SWAP分区设置标准：

Swap分区为1~1.5倍RAM大小；（最多不超过48GB，还需要再确认）

如果RAM大小介于1024MB和2048 MB，那么Swap分区为1.5倍RAM大小；

如果RAM大小介于2048MB和16GB，那么Swap分区为等同于RAM大小；

如果RAM大小大于16 GB，那么Swap分区为0.75倍RAM大小；

1）修改换页空间大小操作步骤：

首先，执行lsvg rootvg查看rootvg的PP SIZE大小，例如64 megabyte(s)。

其次，查看当前换页空间大小，执行命令：

然后，执行smitty chps命令修改Swap分区大小，填写NUMBER of additional logical partitions项值，计算要增加的LP个数。LP个数=（Swap分区最终大小-当前大小）/PP SIZE。

2）新增一个SWAP分区：

执行smitty pgsp->Add Another Paging Space(选择要建立swap的VG，一般为rootvg)，填写SIZE of paging space (in logical partitions)的值（LP的个数），如果需要还可以指定新建的swap创建在哪块磁盘“PHYSICAL VOLUME name”。

3、sysdump设备设置标准：

考虑到现在小型机内存均大约4G，所有系统默认sysdumpdev设备为lg_dumplv，其大小分配原则如下：

4GB<=服务器内存<12GB, lg_dumplv大小为1GB；

12GB<=服务器内存<24GB, lg_dumplv大小为2GB

24GB<=服务器内存<48GB,lg_dumplv大小为3GB

48GB<=服务器内存, lg_dumplv大小为4GB

4、多路径软件安装（安装于磁盘阵列配套的多路径软件）

1）、对应IBM主机直接连接IBM磁盘阵列，使用系统自带的MPIO多路径软件；主机通过SVC连接磁盘阵列，需要安装sddpcm多路径软件。

2）、IBM主机连接HP磁盘阵列，需要安装磁盘阵列专用的多路径软件。

5、建立用于巡视核查的用户kjxxb

smitty user-> Add a User

七、参数修改规范

优化虚拟内存参数：（根据数据库或中间件安装要求修改）

vmo -p -o minperm%=3

vmo -p -o maxperm%=90

vmo -p -o maxclient%=90

vmo -p -o lru_file_repage=0

vmo -p -o minfree=960

vmo -p -o maxfree=1088

vmo -p -o strict_maxperm=0

vmo -p -o strict_maxclient=1

vmo -r -o page_steal_method=1

/usr/sbin/no -p -o tcp_recvspace=65536

/usr/sbin/no -p -o tcp_sendspace=65536

/usr/sbin/no -p -o udp_sendspace=65536

/usr/sbin/no -p -o udp_recvspace=655360

/usr/sbin/no -p -o rfc1323=1

/usr/sbin/no -p -o sb_max=4194304

/usr/sbin/no -r -o ipqmaxlen=512

/usr/sbin/no -p -o tcp_ephemeral_low=9000 -o tcp_ephemeral_high=65500

/usr/sbin/no -p -o udp_ephemeral_low=9000 -o udp_ephemeral_high=65500

#smitty chgsys修改Maximum number of PROCESSES allowed per user设置为16384

ncargs 256.（#chdev -l sys0 -a ncargs=’256’）

修改光纤卡参数：

#rmdev -l fscsiX -R

#chdev -l fscsiX -a fc_err_recov=fast_fail -a dyntrk=yes

#cfgmgr

修改系统参数：

vmo –p –o vmm_klock_mode=2

RAC方式双机系统共享磁盘参数修改：

IBM阵列：

chdev -l hdiskX -a reserve_policy=no_reserve

HP阵列：

chdev -l hdiskX -a algorithm=round_robin -a reserve_policy=no_reserve

八、时钟同步设置

1）修改时钟同步配置文件

#vi /etc/ntp.conf

在broadcastclient行前#号注释掉，并添加如下一行：

（国网NTP服务器地址100.100.48.254,100.100.48.1。本地NTP服务器地址100.122.1.66）

server 100.122.1.16 prefer

100.122.1.16为时钟同步服务器的IP地址。

2）启动ntp服务

执行smitty xntpdàStart using the xntpd SubsystemàBoth重启ntp服务，这样ntp服务会立即启动，而且在下次系统重启后也会生效。

3）检查ntp时钟同步结果

执行ntpq -p查看同步结果。

九、rootvg做镜像

1）将硬盘hdisk1加入rootvg中：

#extendvg rootvg hdisk1

2）将rootvg数据镜像到hdisk1中：

# mirrorvg -c 2 rootvg hdisk1

3）重新制作引导：

#bosboot -ad /dev/hdisk0

#bosboot -ad /dev/hdisk1

4）修改启动引导顺序：

#bootlist -m normal hdisk0 hdisk1

5）重启操作系统：

#shutdown -Fr

十、AIX系统安全加固

类别	序号	加固项目	加固内容
帐户管理	1	帐号口令策略修改（强制加固项）	修改/etc/security/user文件如下: - minalpha=4 口令中最小含有的字符个数 - minlen = 8 口令最短长度 - loginretries = 5 登录失败处理策略
	2	防止root远程登录（补充加固项）	增加或修改/etc/security/user文件中如下行 root: admin = true SYSTEM = "compat" loginretries = 0 account_locked = false rlogin=false
	3	设置登录会话超时（强制加固项）	增加或修改/etc/profile文件中如下行 TMOUT=600
	4	限制可以su的用户（补充加固项）	使用smit或增加、修改/etc/security/user下不需要su的用户的设置将su=true更改为su=false
	5	删除默认账号（补充加固项）	删除无用账号，如：bin，uucp，nuucp，daemon，guest等。 # chuser rlogin=false login=false bin # chuser rlogin=false login=false uucp # chuser rlogin=false login=false nuucp # chuser rlogin=false login=false daemon # chuser rlogin=false login=false guest # chuser rlogin=false login=false adm # chuser rlogin=false login=false lpd # chuser rlogin=false login=false lp # chuser rlogin=false login=false invscout # chuser rlogin=false login=false snapp
	6	.rhosts文件加固（补充加固项）	在.rhosts和/home/oracle/.rhosts文件中配置正确的信任主机。
	7	弱口令（强制加固项）	对系统中弱口令、空口令进行修改，至少包含数字、字母及特殊字符，长度至少8位
	8	文件权限	profile、inetd.conf文件权限设置为744
网络与服务	8	系统服务精简（补充加固项）	在 /etc/inetd.conf 文件里注释以下服务: echo,discard, daytime, chargen，finger，uucp，tftp，talk，ntalk，telnet，shell，exec，login 使用refresh –s inetd重启inetd服务
	9	关闭Telnet，启用ssh服务进行远程管理（强制加固项）	修改inetd.conf文件，对注释telnet服务，安装AIX系统SSH远程管理工具。
	10	删除相关服务默认banner消息（强制加固项）	修改/etc/motd、/etc/issue、/etc/issue.net以及/etc/banner文件中的内容，避免泄露系统及服务的版本。
	11	修改777权限文件（补充加固项）	使用下面命令进行搜索 find / -type f -perm 777 对其中所有权限为-rwxrwxrwx的.sh文件权限使用chmod命令更改，至少改为-rwxrwx---
日志审核增强	12	记录 ftp 日志（补充加固项）	缺省情况下，系统不会记录使用FTP连接和传输文件的日志，这会对系统造成安全隐患，尤其在用户使用匿名ftp方式时。为了避免这种情况发生，可用如下的步骤使系统记录FTP的日志： 1. 修改/etc/syslog.conf文件，并加入一行： daemon.info /tmp/ftplog 其中FileName是日志文件的名字，它会跟踪FTP的活动，包括匿名和其他用户ID。FileName文件必须在做下一步骤前创建。 2. 运行"refresh -s syslogd"命令刷新syslogd 后台程序。 3. 修改/etc/inetd.conf文件，修改下面的数据行： ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -l 4.运行“refresh -s inetd”命令刷新inetd后台程序。 5.touch /tmp/ftplog