目录
适用范围 1
一、硬件配置要求(生产环境必须满足,研发测试环境供参考) 3
二、操作系统安装过程 4
(一) 准备工作 4
(二) 安装过程 4
(三) 其他软件包的安装 21
三、操作系统的配置步骤 22
(一) 修改时区 22
(二) 修正操作系统时间 23
(三) 修改ROOT用户的密码 24
(四) 修改机器名 24
(五) 修改操作系统属性参数 25
(六) 设置系统DUMP 26
(七) VG创建及配置 28
(八) 修改系统交换空间 32
(九) 激活串口 33
(十) 修改IP地址和路由设置 34
(十一) 建立逻辑卷WORKLV 36
(十二) 创建文件系统 37
(十三) 系统内核参数调优 39
(十四) 系统资源参数调整 39
(十五) 配置安全连接软件SSH 40
(十六) 部署NTP服务(生产环境必须设置,研发测试环境供参考) 41
(十七) 部署生产系统操作系统自动备份脚本(生产环境必须设置,研发测试环境供参考) 41
四、操作系统的安全设置步骤 42
(一) 关闭所有不必要的系统服务进程 42
(二) 设置登录超时时间 45
(三) 限制用户使用SU 45
(四) 操作系统用户帐户设置规范如下: 45
(五) 用户密码策略设置(生产环境必须设置,研发测试环境供参考) 46
(六) 系统安全其他方面的设置步骤 48
五、双网卡配置与监控部署 49
(一) 小型机双网卡配置(生产环境必须设置,研发测试环境供参考) 49
(二) 部署生产系统综合管理脚本(生产环境必须设置,研发测试环境供参考) 50
(三) 部署系统集中监控平台TIVOLI监控代理(生产环境必须设置,研发测试环境供参考) 51
一、硬件配置要求(生产环境必须满足,研发测试环境供参考)
AIX操作系统适用于IBM 小型机和刀片式基于Power系列芯片开发的机型,相应的硬件要求建议如下:
双电源模块冗余配置(拷机过程中需进行电源冗余测试工作)。
生产系统小型机原则上应至少配置四块内置硬盘,其中两块建立rootvg用于安装操作系统,另外两块建立datavg用于存储应用程序和数据。
生产系统小型机原则上应配置两张SCSI卡冗余配置(每个VG至少由位于不同SCSI卡两块硬盘进行镜像)。
一个生产用IP地址需要配备两块网卡互相冗余,以实现双网卡的负载均衡、热备份或者冷备份;生产IP地址优先使用PCI插槽网卡,将主板上网卡作为备用网卡。
二、操作系统安装过程
(一) 准备工作
选择“1.Select Install/Boot Device”
选择“7.List all Devices”
选择“1.IDE CD-ROM”
根据机型不同该菜单有所不同,可翻页选择CD-ROM,新机型选择SATA CD-ROM
这是系统安装的默认设置,用户应该根据需要进行修改。
选择:完全覆盖安装(New and Complete Overwrite),键入“1”:(进入菜单更改安装方式)
如图所示:键入“1”将安装方式改为New and Complete Overwrite.
此处为选择安装系统到哪一块(或几块)硬盘。
键入“1”,安装到hdisk0.
此时会在hdisk0前出现>>>来表明系统将安装至该硬盘。
选好后选择:“0”继续。
选择Accept License Agreements,回车,运行OK后,Esc + 0退出,进入如下界面。
选择Accept Software Maintenance Terms and Conditions,回车,运行ok后,按Esc + 0 退出,进入到Installation Assistant界面。
选择Tasks Completed - Exit to Login,回车,进入登录操作系统界面。
(三) 其他软件包的安装
选择安装如下软件包,这些软件包用于系统性能监控和分析:bos.adt,bos.cifs_fs,bos.clvm,bos.compat,bos.content_list,bos.cpr, bos.dlc,bos.dosutil,bos.installers,bos.lrn,bos.mls,bos.net,bos.perf.gtools,bos.svpkg,bos.sysmgt,bos.data,安装完毕后,使用如下命令检查软件包的一致性
三、操作系统的配置步骤
(一) 修改时区
选择Asia/Shanghai,时区修改后需重启系统使修改生效。
最终结果如下图。
(二) 修正操作系统时间
(三) 修改root用户的密码
以root登录,直接输入passwd
手动输入新密码。
(四) 修改机器名
在HOSTNAME输入对应的主机名。
(五) 修改操作系统属性参数
单用户最大进程数:
Maximum number of PROCESSES allowed per user:128 -> 8192;
启用磁盘IO历史记录:
Continuously maintian DISK I/O history: false->true;
打开full core dump 设置:
Enable full CORE dump: false ->true;
(六) 设置系统dump
Always ALLOW System Dump:false -> true;
执行Show Estimaged Dump Size,根据估算的dump大小调整主dump设备大小,保证主dump设备大小要高于估算的dump大小,AIX 7.1中主dump设备为/dev/lg_dumplv。
(七) VG创建及配置
VG创建
以创建datavg为例,一般情况下,卷组类型选择为Scalable VG(三种卷组类型参数比较附后),datavg选择创建在两张不同SCSI卡上的硬盘上(hdisk1、hdisk3),卷组上的PP大小设置为512M。
三种卷组类型比较
卷组类型 MAX PPs per VG MAX PPs per PV MAX PVs
Original Volume Group 32512 1016 32
Big Volume Group 130048 1016 128
Scalable Volume Group 32768 1024
注:只有Scalable Volume Group 可以更改MAX PPs per VG
关闭datavg的QUORUM
rootvg配置镜像
一般情况下,rootvg选择位于另一张不同SCSI卡上的hdisk2给hdisk0做镜像,先把hdisk2加入rootvg,再执行镜像操作
如下图所示:
rootvg镜像做完后,刷新引导映像
另外,此时lg_dumplv不会自动镜像,需要通过smit mklvcopy菜单来为这个lg_dumplv来做镜像,copy数指定为2,并指定synchronize the data为yes,如下图所示:
做完后可以看到PP的数量已为LP的两倍,即copy数为2
datavg配置镜像
注意确保该VG中jfs2log所在lv需做镜像。
通常datavg的镜像是由创建lv时选择copy数为2来指定,而第一次创建文件系统时自动产生的jfs2log(通常名为loglv0X)是不带镜像的,故需要通过smit mklvcopy菜单来为这个loglv00来做镜像,copy数指定为2,并指定synchronize the data为yes,如下图所示:
做完后可以看到PP的数量已为LP的两倍,即copy数为2
(八) 修改系统交换空间
查看系统内存:#lsattr -El mem0,
查看系统原有的交换空间:#lsps -a
虚拟内存设置大小设置规则建议如下,具体可以根据应用程序运行情况来进一步调整优化。
2G以下内存,交换空间配置为2G或2G以上;
2G-8G内存,交换空间配置为内存的一半或与内存一样大;
8G以上内存,交换空间配置内存的一半到内存同样大小;
(九) 激活串口
修改机器上的各串口tty(vty)*都设置成Available 和Enable LOGIN:
(十) 修改IP地址和路由设置
设置IP地址、掩码,更改状态为UP。
(十一) 建立逻辑卷worklv
在rootvg上创建worklv,用于创建/work文件系统,用来存放安装介质。
在这里我们分配给worklv 1GB空间,也就是4PP。实际工作中可以根据需要来创建更大的逻辑卷。
(十二) 创建文件系统
创建文件系统原则:
当一级文件系统未设置为自动挂载时,只能创建并使用一级文件系统,不允许在该一级文件系统下创建二级文件系统,以避免因挂载文件系统的先后顺序导致文件系统内容被覆盖。
创建文件系统步骤:
建立文件系统(worklv逻辑卷已预建)
挂载文件系统
扩大操作系统类文件系统/,/var,/tmp,/home文件系统空间
严格规定应用数据或应用日志不能写到这四个文件系统空间内,尤其是/tmp文件系统空间。
/,/var,/tmp和/home文件系统空间至少扩大到2G以上(含2G)。
(十三) 系统内核参数调优
somaxconn: 1024调整为4096
clean_partial_conns: 0调整为1
使用下列命令查看并确认已经修改:
Parameters for Next Boot
内存参数调整:
除文件服务器外,建议将文件系统(JFS/JFS2)使用内存比例都限制在50%以下。
参数 缺省值 目标值 更改参数命令行 参数说明
maxperm% 90% 50% vmo -p -o maxperm%=50 限制JFS文件系统使用内存比例
maxclient% 90% 50% vmo -p -o maxclient%=50 限制JFS2文件系统使用内存比例
注意执行上面表格中vmo命令时先改maxclient%,再改maxperm%。
(十四) 系统资源参数调整
fsize = 2097151->-1
data = 262144->2097152
rss = 65536->1048576
stack = 65536->1048576
nofiles = 2000->80000
(十五) 配置安全连接软件ssh
sshd服务的启动和关闭
配置只能使用安全性更高的ssh v2来连接
修改系统/etc/ssh/sshd_config protocal权限设置为2,重启sshd服务 #stopsrc -s sshd
安装完成后,就可使用ssh和sftp命令了,命令格式为
#ssh [options] host [command]
其中,options 可使用 -l username 参数以及-p port 参数,username为远程主机用户名,port为端口。
(十六) 部署NTP服务(生产环境必须设置,研发测试环境供参考)
在本地datavg上建立20G的系统备份空间/xtbf
VOLUME GROUP name[datavg],
Logical volume NAME[xtbflv];,
Number of LOGICAL PARTITIONS[160](根据各服务器PP大小而定),
PHYSICAL VOLUME names[hdisk1,hdisk3],
Logical volume TYPE[jfs2],
Number of COPIES of each logical partition 2.
LOGICAL VOLUME name[xtbflv],
MOUNT POINT[/xtbf],
Mount AUTOMATICALLY at system restart?[yes]
从该生产网段综合管理服务器上用xtjk用户到/xtbf/bin目录上传自动备份脚本xtbfcli.sh到本机的/xtbf/bin目录.
用root用户,配置自动备份crontab
设置inetd超级服务进程配置文件/etc/inetd.conf,停止所以不需要的服务,注释所有的行项,如ftp、telnet、shell、kshell、login、klogin、exec、ntalk、daytime、time、wsmserver、xmquery,dtspcd,cmsd,ttdbserver等服务。如果有安装PowerHA7.1,则caa_cfg服务必须打开。修改inetd.conf文件后,刷新inetd服务进程。
除了syslogd, inetd这两个服务进程外,关闭sendmail portmap snmpd dpid2 hostmibd snmpmibd aixmibd等所有服务和tcpip类服务进程,在/etc/rc.tcpip文件中注释掉启动这些服务的行。
注释掉除了syslogd,inetd行以外的所有服务进程。
手工关闭snmp服务
关闭nfs(网络文件服务)类服务进程,并设置为现在和重启后都关闭该服务进程。
stop nfs STOP NFS now, system restart or both 选择both
如果有安装PowerHA7.1,确认/etc/inittab文件中的clcomd服务已打开,以及/etc/inetd.conf文件中caa_cfg服务已打开。若未打开,需手动开启。
修改inetd.conf文件后,刷新inetd服务进程
以上设置完成后,进行严格检查工作,如发现还有开放的端口,应该查明是否为应用上需要开放的端口,否则一律进行关闭处理。(stopsrc -s writesrv,lpd,sendmail)
如发现还有开放端口,用rmsock进行查明并处理
例如:
Aix_test1:/etc#netstat -nAa | grep 8080
f1000600036a0390 tcp4 0 0 .8080 .* LISTEN
Aix_test1:/etc#rmsock f1000600036a0390 tcpcb
The socket 0x36a0000 is being held by proccess 225372 (tnslsnr).
刚安装完毕并进行安全设置后的端口应该只有22,该端口用于sshd安全连接服务(如果使用CDE环境,则保留dtlogin,portmap两个服务,dtlogin端口号为32768,portmail端口号为111),如下:
Aix_test1:/ #netstat -an|grep LISTEN
tcp4 0 0 .22 .* LISTEN
tcp4 0 0 .111 .* LISTEN(portmail服务,CDE环境需要)
tcp4 0 0 .657 .* LISTEN(AIX自带资源管理服务)
tcp4 0 0 .32768 .* LISTEN(dtlogin服务,CDE环境需要)
查看打开的服务:
lssrc -a|grep active
portmap portmap 74420 active(CDE环境需要)
syslogd ras 78520 active
sshd ssh 86722 active
IBM.ERRM rsct_rm 49554 active
IBM.AuditRM rsct_rm 61866 active
IBM.ServiceRM rsct_rm 98986 active
IBM.CSMAgentRM rsct_rm 102574 active
(二) 设置登录超时时间
增加或修改/etc/profile文件中如下行:
TMOUT=900
(三) 限制用户使用su
使用smit或增加、修改/etc/security/user下default的设置。
default:
su = false
(四) 操作系统用户帐户设置规范如下:
未接入运维操作管理系统,用户密码策略配置如下:
修改/etc/security/user文件,设置用户口令的复杂度、长度等参数。
选项 描述 设置值
Maxage 最长有效期(周) 30
Maxexpired 口令过期后用户更改口令的期限(周) 4
Minalpha 最少包含的字母数 4
Minother
最少包含非字母数字字符的数量 1
Minlen 最短字符数 8
Mindiff 新口令与旧口令的最少不同字符数 3
Maxrepeats 口令中某一字符的最多重复次数 3
Histexpire
同一口令不能重复使用的时间范围(周) 26
Histsize
同一口令与前面旧口令不能重复的个数 4
Pwdwarntime 密码过期前提示时间(天) 30
Loginretries 用户输入密码错误几次后禁止登录 20(出于安全考虑例外:root用户不限制)
各用户帐户口令在员工离岗或调离本工作岗位后应及时予以更改。
接入运维操作管理系统,用户密码策略配置如下:
选项 描述 设置值
Maxage 最长有效期(周) 0
Maxexpired 口令过期后用户更改口令的期限(周) -1
Minalpha 最少包含的字母数 4
Minother
最少包含非字母数字字符的数量 1
Minlen 最短字符数 8
Mindiff 新口令与旧口令的最少不同字符数 0
Maxrepeats 口令中某一字符的最多重复次数 8
Histexpire
同一口令不能重复使用的时间范围(周) 0
Histsize
同一口令与前面旧口令不能重复的个数 0
Pwdwarntime 密码过期前提示时间(天) 0
Loginretries 用户输入密码错误几次后禁止登录 20(出于安全考虑例外:root用户不限制)
注:以上密码策略设置于default节,即缺省每个用户都为该设置,下面列出例外
(1) root用户需单独设置loginretries=0,即root用户密码输入错误不受禁止登录限制(root用户若被禁止登录则需要重启机器使用光盘引导来重设密码,风险很大)。
(2) 对于某些系统,应用用户的密码需在应用程序里配置的,例如网银后台管理系统数据库服务器上用作weblogic jdbc连接的netbank用户,这类用户需限制登录,login和rlogin设置为false;同时,密码不建议定期更改(否则应用就需要定期停止去改密码及jdbc配置),故这类用户密码过期期限需设置为maxage=0。另外,因用户密码输入错误次数超过loginretries限制导致这些用户被锁定可能会影响到应用正常运行,故建议这类用户设置loginretries=0。
(六) 系统安全其他方面的设置步骤
五、双网卡配置与监控部署
(一) 小型机双网卡配置(生产环境必须设置,研发测试环境供参考)
通过字符终端直连小型机,以root用户登录服务器,配置以太通道
(1) 删除需要绑定的网卡并重新识别
(2) 确保两张网卡设置成同样的速度和工作模式,即1000兆全双工。
Change/Show Characteristics of an Ethernet Adapter->Media speed [1000_Full_Duplex]
(3) 设置以太通道
(二) 部署生产系统综合管理脚本(生产环境必须设置,研发测试环境供参考)
xtjk用户登录系统,至综合管理服务器上获取综合管理脚本
建立bin目录
将xtjkchk.pro main.sh xtjkchk.env 三个文件放到bin目录
检查xtjk用户.profile 文件 根据每台服务器信息更新相关内容
egrep "INFORMIXDIR|INFORMIXSERVER|ONCONFIG|ORACLE_HOME |ORACLE _SID|PATH" .profile
Informix数据库必须配置 "INFORMIXDIR|INFORMIXSERVER ONCONFIG|PATH" 环境变量
Oracle数据库必须配置“ORACLE_HOME|ORACLE_SID|PATH”环境变量
chmod 700 main.sh
chmod 600 xtjkchk.env
chmod 600 xtjkchk.pro
crontab -e
新增
(三) 部署系统集中监控平台Tivoli监控代理(生产环境必须设置,研发测试环境供参考)
参照《系统集中监控平台升级项目软件安装实施手册_AIX及有关数据库代理安装配置》最新版本中有关要求或有关监控代理部署模板进行Tivoli监控代理部署。
如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!
赞9
添加新评论6 条评论
2022-09-28 22:50
2020-06-22 15:15
2020-06-22 15:15
2019-11-27 14:11
2018-04-26 16:58
2017-05-16 14:33