IBM小型机安装标准

教程发布:风哥 教程分类:ITPUX技术网 更新日期:2022-02-12 浏览学习:1358

一、网卡需求[backcolor=white][font=Arial, 宋体]1、对于单机系统至少需要1个网口;考虑到网络安全建议做网卡绑定,需要2个网口且分布于不同网卡。[backcolor=white][font=Arial, 宋体]2、对于双机系统至少需要2个网口,且建议分布于不同网卡;考虑到网络安全建议做网卡绑定,需要4个网口且分布于不同网卡.二、光纤卡需求[backcolor=white][font=Arial, 宋体]只有业务有外挂存储资源时需要光纤卡资源,为保证安全,建议使用2个光纤口,且分布于不同光纤卡。三、磁盘需求[backcolor=white][font=Arial, 宋体]主机或lpar分区要由两块磁盘,磁盘大小要求不低于146G。四、主机文件系统需求[table=98%]
[td=113]分区或逻辑卷[td=170][align=right]Mount点[td=90][align=right]大小要求[td=108][align=right]类型[td=110][align=right]用途
[td=113]/dev/hd4[td=170][align=right]/[td=90][align=right]10G[td=108][align=right]JFS2[td=110][align=right]操作系统
[td=113]/dev/hd2[td=170][align=right]/usr[td=90][align=right]6G[td=108][align=right]JFS2[td=110][align=right]操作系统
[td=113]/dev/hd9var[td=170][align=right]/var[td=90][align=right]5G[td=108][align=right]JFS2[td=110][align=right]操作系统
[td=113]/dev/hd3[td=170][align=right]/tmp[td=90][align=right]5G[td=108][align=right]JFS2[td=110][align=right]操作系统
[td=113]/dev/fwdump[td=170][align=right]/var/adm/ras/platform[td=90][align=right]5G[td=108][align=right]JFS2[td=110][align=right]操作系统
[td=113]/dev/hd1[td=170][align=right]/home[td=90][align=right]10G[td=108][align=right]JFS2[td=110][align=right]操作系统
[td=113]/dev/hd10opt[td=170][align=right]/opt[td=90][align=right]5G[td=108][align=right]JFS2[td=110][align=right]操作系统
[td=113]/dev/livedump[td=170][align=right]/var/adm/ras/livedump[td=90][align=right]1G[td=108][align=right]JFS2[td=110][align=right]操作系统
[td=113]/dev/hd11admin[td=170][align=right]/admin[td=90][align=right]0.5G[td=108][align=right]JFS2[td=110][align=right]操作系统
[td=113]/dev/hd6[td=170][align=right]SWAP[td=90][align=right] [td=108][align=right]Paging Space[td=110][align=right]交换分区
[backcolor=white][font=Arial, 宋体]修改文件系统空间大小命令:[backcolor=white][font=Arial, 宋体]# chfs -a size=10G /[backcolor=white][font=Arial, 宋体]# chfs -a size=6G /usr[backcolor=white][font=Arial, 宋体]# chfs -a size=5G /var[backcolor=white][font=Arial, 宋体]# chfs -a size=5G /tmp[backcolor=white][font=Arial, 宋体]# chfs -a size=10G /home[backcolor=white][font=Arial, 宋体]# chfs -a size=5G /opt[backcolor=white][font=Arial, 宋体]# chfs -a size=1G /var/adm/ras/livedump[backcolor=white][font=Arial, 宋体]# chfs -a size=512M /admin[backcolor=white][font=Arial, 宋体]对于oracle数据库应用,新建/u01文件系统并分配其容量50G。[backcolor=white][font=Arial, 宋体]对于数据库的归档日志文件系统,建议其放在磁盘阵列上。[backcolor=white][font=Arial, 宋体]其他业务应用文件系统按申请新建。[backcolor=white][font=Arial, 宋体] [backcolor=white][font=Arial, 宋体] 五、主机名命名规范[backcolor=white][font=Arial, 宋体]主机所在机房的首字母(如:北二楼机房为b)+业务大类(缩写)+设备应用(缩写)+编号[backcolor=white][font=Arial, 宋体]如:数据中心机房营销生产库 syxscoradb1[backcolor=white][font=Arial, 宋体] 六、安装设置规范[backcolor=white][font=Arial, 宋体]1、安装openssh文件包以支持ssh访问:(首先需要安装openssl包)[backcolor=white][font=Arial, 宋体]openssh.base[backcolor=white][font=Arial, 宋体]openssh .msg.en_US[backcolor=white][font=Arial, 宋体]openssh.man.en_US[backcolor=white][font=Arial, 宋体]启动sshd:#/usr/bin/startsrc -s sshd(系统默认安装后已经启动)[backcolor=white][font=Arial, 宋体]2、SWAP分区设置标准:[backcolor=white][font=Arial, 宋体]Swap分区为1~1.5倍RAM大小;(最多不超过48GB,还需要再确认)[backcolor=white][font=Arial, 宋体]如果RAM大小介于1024MB和2048 MB,那么Swap分区为1.5倍RAM大小;[backcolor=white][font=Arial, 宋体]如果RAM大小介于2048MB和16GB,那么Swap分区为等同于RAM大小;[backcolor=white][font=Arial, 宋体]如果RAM大小大于16 GB,那么Swap分区为0.75倍RAM大小;[backcolor=white][font=Arial, 宋体]1)修改换页空间大小操作步骤:[backcolor=white][font=Arial, 宋体]首先,执行lsvg rootvg查看rootvg的PP SIZE大小,例如64 megabyte(s)。[backcolor=white][font=Arial, 宋体]其次,查看当前换页空间大小,执行命令:[backcolor=white][font=Arial, 宋体][img=553,28]file:///C:/Users/xinchao/AppData/Local/Temp/msohtmlclip1/01/clip_image002.jpg[/img][backcolor=white][font=Arial, 宋体]然后,执行smitty chps命令修改Swap分区大小,填写NUMBER of additional logical partitions项值,计算要增加的LP个数。LP个数=(Swap分区最终大小-当前大小)/PP SIZE。 [backcolor=white][font=Arial, 宋体][img=553,28]file:///C:/Users/xinchao/AppData/Local/Temp/msohtmlclip1/01/clip_image004.jpg[/img][backcolor=white][font=Arial, 宋体]2)新增一个SWAP分区:[backcolor=white][font=Arial, 宋体]执行smitty pgsp->Add Another Paging Space(选择要建立swap的VG,一般为rootvg),填写SIZE of paging space (in logical partitions)的值(LP的个数),如果需要还可以指定新建的swap创建在哪块磁盘“PHYSICAL VOLUME name”。[backcolor=white][font=Arial, 宋体][img=553,28]file:///C:/Users/xinchao/AppData/Local/Temp/msohtmlclip1/01/clip_image006.jpg[/img][backcolor=white][font=Arial, 宋体] [backcolor=white][font=Arial, 宋体]3、sysdump设备设置标准:[backcolor=white][font=Arial, 宋体]考虑到现在小型机内存均大约4G,所有系统默认sysdumpdev设备为lg_dumplv,其大小分配原则如下:[backcolor=white][font=Arial, 宋体]4GB<=服务器内存<12GB, lg_dumplv大小为1GB;[backcolor=white][font=Arial, 宋体]12GB<=服务器内存<24GB, lg_dumplv大小为2GB[backcolor=white][font=Arial, 宋体]24GB<=服务器内存<48GB,lg_dumplv大小为3GB[backcolor=white][font=Arial, 宋体]48GB<=服务器内存, lg_dumplv大小为4GB[backcolor=white][font=Arial, 宋体] [backcolor=white][font=Arial, 宋体]4、多路径软件安装(安装于磁盘阵列配套的多路径软件)[backcolor=white][font=Arial, 宋体]1)、对应IBM主机直接连接IBM磁盘阵列,使用系统自带的MPIO多路径软件;主机通过SVC连接磁盘阵列,需要安装sddpcm多路径软件。[backcolor=white][font=Arial, 宋体]2)、IBM主机连接HP磁盘阵列,需要安装磁盘阵列专用的多路径软件。[backcolor=white][font=Arial, 宋体]5、建立用于巡视核查的用户kjxxb[backcolor=white][font=Arial, 宋体]smitty user-> Add a User[backcolor=white][font=Arial, 宋体][img=553,28]file:///C:/Users/xinchao/AppData/Local/Temp/msohtmlclip1/01/clip_image008.jpg[/img]七、参数修改规范[backcolor=white][font=Arial, 宋体]优化虚拟内存参数:(根据数据库或中间件安装要求修改)[backcolor=white][font=Arial, 宋体]vmo -p -o minperm%=3[backcolor=white][font=Arial, 宋体]vmo -p -o maxperm%=90[backcolor=white][font=Arial, 宋体]vmo -p -o maxclient%=90[backcolor=white][font=Arial, 宋体]vmo -p -o lru_file_repage=0[backcolor=white][font=Arial, 宋体]vmo -p -o minfree=960[backcolor=white][font=Arial, 宋体]vmo -p -o maxfree=1088[backcolor=white][font=Arial, 宋体]vmo -p -o strict_maxperm=0[backcolor=white][font=Arial, 宋体]vmo -p -o strict_maxclient=1[backcolor=white][font=Arial, 宋体]vmo -r -o page_steal_method=1[backcolor=white][font=Arial, 宋体]/usr/sbin/no -p -o tcp_recvspace=65536[backcolor=white][font=Arial, 宋体]/usr/sbin/no -p -o tcp_sendspace=65536[backcolor=white][font=Arial, 宋体]/usr/sbin/no -p -o udp_sendspace=65536[backcolor=white][font=Arial, 宋体]/usr/sbin/no -p -o udp_recvspace=655360[backcolor=white][font=Arial, 宋体]/usr/sbin/no -p -o rfc1323=1[backcolor=white][font=Arial, 宋体]/usr/sbin/no -p -o sb_max=4194304[backcolor=white][font=Arial, 宋体]/usr/sbin/no -r -o ipqmaxlen=512[backcolor=white][font=Arial, 宋体]/usr/sbin/no -p -o tcp_ephemeral_low=9000 -o tcp_ephemeral_high=65500[backcolor=white][font=Arial, 宋体]/usr/sbin/no -p -o udp_ephemeral_low=9000 -o udp_ephemeral_high=65500[backcolor=white][font=Arial, 宋体]#smitty chgsys修改Maximum number of PROCESSES allowed per user设置为16384[backcolor=white][font=Arial, 宋体]ncargs 256.(#chdev -l sys0 -a ncargs=’256’)[backcolor=white][font=Arial, 宋体] [backcolor=white][font=Arial, 宋体]修改光纤卡参数:[backcolor=white][font=Arial, 宋体]#rmdev -l fscsiX -R[backcolor=white][font=Arial, 宋体]#chdev -l fscsiX -a fc_err_recov=fast_fail -a dyntrk=yes[backcolor=white][font=Arial, 宋体]#cfgmgr[backcolor=white][font=Arial, 宋体]修改系统参数:[backcolor=white][font=Arial, 宋体]vmo –p –o vmm_klock_mode=2[backcolor=white][font=Arial, 宋体]RAC方式双机系统共享磁盘参数修改:[backcolor=white][font=Arial, 宋体]IBM阵列:[backcolor=white][font=Arial, 宋体]chdev -l hdiskX -a reserve_policy=no_reserve[backcolor=white][font=Arial, 宋体]HP阵列:[backcolor=white][font=Arial, 宋体]chdev -l hdiskX -a algorithm=round_robin -a reserve_policy=no_reserve八、时钟同步设置[backcolor=white][font=Arial, 宋体]1)修改时钟同步配置文件[backcolor=white][font=Arial, 宋体]#vi /etc/ntp.conf[backcolor=white][font=Arial, 宋体]在broadcastclient行前#号注释掉,并添加如下一行:[backcolor=white][font=Arial, 宋体](国网NTP服务器地址100.100.48.254,100.100.48.1。本地NTP服务器地址100.122.1.66)[backcolor=white][font=Arial, 宋体]server 100.122.1.16 prefer[backcolor=white][font=Arial, 宋体]100.122.1.16为时钟同步服务器的IP地址。[backcolor=white][font=Arial, 宋体]2)启动ntp服务[backcolor=white][font=Arial, 宋体]执行smitty xntpdàStart using the xntpd SubsystemàBoth重启ntp服务,这样ntp服务会立即启动,而且在下次系统重启后也会生效。[backcolor=white][font=Arial, 宋体]3)检查ntp时钟同步结果[backcolor=white][font=Arial, 宋体]执行ntpq -p查看同步结果。九、rootvg做镜像[backcolor=white][font=Arial, 宋体]1)将硬盘hdisk1加入rootvg中:[backcolor=white][font=Arial, 宋体]#extendvg rootvg hdisk1[backcolor=white][font=Arial, 宋体]2)将rootvg数据镜像到hdisk1中:[backcolor=white][font=Arial, 宋体]# mirrorvg -c 2 rootvg hdisk1[backcolor=white][font=Arial, 宋体]3)重新制作引导:[backcolor=white][font=Arial, 宋体]#bosboot -ad /dev/hdisk0[backcolor=white][font=Arial, 宋体]#bosboot -ad /dev/hdisk1[backcolor=white][font=Arial, 宋体]4)修改启动引导顺序:[backcolor=white][font=Arial, 宋体]#bootlist -m normal hdisk0 hdisk1[backcolor=white][font=Arial, 宋体]5)重启操作系统:[backcolor=white][font=Arial, 宋体]#shutdown -Fr十、AIX系统安全加固[font=Arial, 宋体][table=98%]
[td=91]类别[td=60][align=right]序号[td=128][align=right]加固项目[td=340][align=right]加固内容
[td=1,8,91][align=right]帐户管理[td=60][align=right]1[td=128][align=right]帐号口令策略修改(强制加固项)[td=340][align=right]修改/etc/security/user文件如下:- minalpha=4 口令中最小含有的字符个数- minlen = 8 口令最短长度- loginretries = 5 登录失败处理策略
[td=60][align=right]2[td=128][align=right]防止root远程登录(补充加固项)[td=340][align=right]增加或修改/etc/security/user文件中如下行root: admin = true SYSTEM = "compat" loginretries = 0 account_locked = falserlogin=false
[td=60][align=right]3[td=128][align=right]设置登录会话超时(强制加固项)[td=340][align=right]增加或修改/etc/profile文件中如下行TMOUT=600
[td=60][align=right]4[td=128][align=right]限制可以su的用户(补充加固项)[td=340][align=right]使用smit或增加、修改/etc/security/user下不需要su的用户的设置将su=true更改为su=false
[td=60][align=right]5[td=128][align=right]删除默认账号(补充加固项)[td=340][align=right]删除无用账号,如:bin,uucp,nuucp,daemon,guest等。# chuser rlogin=false login=false bin# chuser rlogin=false login=false uucp# chuser rlogin=false login=false nuucp# chuser rlogin=false login=false daemon# chuser rlogin=false login=false guest# chuser rlogin=false login=false adm# chuser rlogin=false login=false lpd# chuser rlogin=false login=false lp# chuser rlogin=false login=false invscout# chuser rlogin=false login=false snapp
[td=60][align=right]6[td=128][align=right].rhosts文件加固(补充加固项)[td=340][align=right]在.rhosts和/home/oracle/.rhosts文件中配置正确的信任主机。
[td=60][align=right]7[td=128][align=right]弱口令(强制加固项)[td=340][align=right]对系统中弱口令、空口令进行修改,至少包含数字、字母及特殊字符,长度至少8位
[td=60][align=right]8[td=128][align=right]文件权限 [td=340][align=right]profile、inetd.conf文件权限设置为744
[td=1,3,91][align=right]网络与服务[td=60][align=right]8[td=128][align=right]系统服务精简(补充加固项)[td=340][align=right]在 /etc/inetd.conf 文件里注释以下服务: echo,discard, daytime, chargen,finger,uucp,tftp,talk,ntalk,telnet,shell,exec,login使用refresh –s inetd重启inetd服务
[td=60][align=right]9[td=128][align=right]关闭Telnet,启用ssh服务进行远程管理(强制加固项)[td=340][align=right]修改inetd.conf文件,对注释telnet服务,安装AIX系统SSH远程管理工具。
[td=60][align=right]10[td=128][align=right]删除相关服务默认banner消息(强制加固项)[td=340][align=right]修改/etc/motd、/etc/issue、/etc/issue.net以及/etc/banner文件中的内容,避免泄露系统及服务的版本。
[td=91][align=right] [td=60][align=right]11[td=128][align=right]修改777权限文件(补充加固项)[td=340][align=right]使用下面命令进行搜索find / -type f -perm 777对其中所有权限为-rwxrwxrwx的.sh文件权限使用chmod命令更改,至少改为-rwxrwx---
[td=91][align=right]日志审核增强[td=60][align=right]12[td=128][align=right]记录 ftp 日志(补充加固项)[td=340][align=right]缺省情况下,系统不会记录使用FTP连接和传输文件的日志,这会对系统造成安全隐患,尤其在用户使用匿名ftp方式时。为了避免这种情况发生,可用如下的步骤使系统记录FTP的日志:1. 修改/etc/syslog.conf文件,并加入一行:daemon.info /tmp/ftplog其中FileName是日志文件的名字, 它会跟踪FTP的活动,包括匿名和其他用户ID。FileName文件必须在做下一步骤前创建。2. 运行"refresh -s syslogd"命令刷新syslogd 后台程序。3. 修改/etc/inetd.conf文件,修改下面的数据行:ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -l4.运行“refresh -s inetd”命令刷新inetd后台程序。5.touch /tmp/ftplog
[font=Arial, 宋体]

本文标签:
本文标题:IBM小型机安装标准
网站声明:本文由风哥整理发布,转载请保留此段声明,本站所有内容将不对其使用后果做任何承诺,请读者谨慎使用!
【上一篇】
【下一篇】