目录
适用范围 1
一、硬件配置要求(生产环境必须满足，研发测试环境供参考) 3
二、操作系统安装过程 4
(一) 准备工作 4
(二) 安装过程 4
(三) 其他软件包的安装 21
三、操作系统的配置步骤 22
(一) 修改时区 22
(二) 修正操作系统时间 23
(三) 修改ROOT用户的密码 24
(四) 修改机器名 24
(五) 修改操作系统属性参数 25
(六) 设置系统DUMP 26
(七) VG创建及配置 28
(八) 修改系统交换空间 32
(九) 激活串口 33
(十) 修改IP地址和路由设置 34
(十一) 建立逻辑卷WORKLV 36
(十二) 创建文件系统 37
(十三) 系统内核参数调优 39
(十四) 系统资源参数调整 39
(十五) 配置安全连接软件SSH 40
(十六) 部署NTP服务(生产环境必须设置，研发测试环境供参考) 41
(十七) 部署生产系统操作系统自动备份脚本(生产环境必须设置，研发测试环境供参考) 41
四、操作系统的安全设置步骤 42
(一) 关闭所有不必要的系统服务进程 42
(二) 设置登录超时时间 45
(三) 限制用户使用SU 45
(四) 操作系统用户帐户设置规范如下： 45
(五) 用户密码策略设置(生产环境必须设置，研发测试环境供参考) 46
(六) 系统安全其他方面的设置步骤 48
五、双网卡配置与监控部署 49
(一) 小型机双网卡配置(生产环境必须设置，研发测试环境供参考) 49
(二) 部署生产系统综合管理脚本(生产环境必须设置，研发测试环境供参考) 50
(三) 部署系统集中监控平台TIVOLI监控代理(生产环境必须设置，研发测试环境供参考) 51
一、硬件配置要求(生产环境必须满足，研发测试环境供参考)
AIX操作系统适用于IBM 小型机和刀片式基于Power系列芯片开发的机型，相应的硬件要求建议如下：
 双电源模块冗余配置（拷机过程中需进行电源冗余测试工作）。
 生产系统小型机原则上应至少配置四块内置硬盘，其中两块建立rootvg用于安装操作系统，另外两块建立datavg用于存储应用程序和数据。
 生产系统小型机原则上应配置两张SCSI卡冗余配置（每个VG至少由位于不同SCSI卡两块硬盘进行镜像）。
 一个生产用IP地址需要配备两块网卡互相冗余，以实现双网卡的负载均衡、热备份或者冷备份；生产IP地址优先使用PCI插槽网卡，将主板上网卡作为备用网卡。
二、操作系统安装过程
(一) 准备工作

1. 检查终端、键盘是否与主机正确连接。
2. 打开外设及主机电源开关（先外设后主机）。
3. 把安装介质（操作系统光盘第一张）放入驱动器。
   (二) 安装过程
4. 主机加电后，当系统发出两次蜂鸣声时，屏幕上将不断显示硬件启动代码信息，几分钟后出现画面，需要用户选择“1=SMS Menu”进入SMS菜单进行相关设置，使得系统从光盘引导。
5. 根据机型不同，有的机型会出现选择语言和修改密码的菜单，可选择修改admin密码为admin
6. 设置小型机启动参数。
   选择“5.Select Boot Options”。

选择“1.Select Install/Boot Device”

选择“7.List all Devices”

选择“1.IDE CD-ROM”
根据机型不同该菜单有所不同，可翻页选择CD-ROM，新机型选择SATA CD-ROM

4. 选择“2.Normal Mode Boot”正常模式引导，而后选择“YES”退出SMS菜单（图略）。
5. 稍等几分钟。
6. 显示器（终端）显示：要求用户选择控制台。键入“1”并回车（注意：键入的“1”不回显）定义当前设备为主控台。
7. 要求用户选择安装语言环境，键入“1”后回车，选择语言环境为English.
8. 此后屏幕出现系统安装和维护的主菜单，需要改变一些设置选项再进行BOS(基本操作系统)的安装.
9. 改变安装设置：
   在上面菜单中，键入“2”并回车，屏幕出现“Install and Setting”画面：

这是系统安装的默认设置，用户应该根据需要进行修改。
选择：完全覆盖安装（New and Complete Overwrite），键入“1”：（进入菜单更改安装方式）

10. 安装方式的更改：

如图所示：键入“1”将安装方式改为New and Complete Overwrite.

11. 选择安装操作系统的目的硬盘：

此处为选择安装系统到哪一块（或几块）硬盘。
键入“1”，安装到hdisk0.
此时会在hdisk0前出现>>>来表明系统将安装至该硬盘。
选好后选择：“0”继续。

12. 选择完毕后应显示如下：
13. 键入5 将Select Edition从express更改为standard。一般机器购置时配套的AIX7.1光盘均为standard版，所以这里选择更改为standard。如果机器购置时配套的AIX7.1光盘为enterprise版，则选择enterprise。关于AIX7.1上述三个edition的说明,请参考IBM官网如下链接说明。http://www-03.ibm.com/systems/power/software/aix/v71/editions.html
14. 设置完毕选择0，会出现“Overwrite Installation Summary”，列出当前覆盖安装设置的小结，选择1。
15. 开始安装BOS，屏幕将不断显示安装的进度。当BOS安装完毕，系统将自动重启。
16. 系统重启后进入如下界面，选择终端类型为vt100
17. 接受软件许可协议

选择Accept License Agreements，回车，运行OK后，Esc + 0退出，进入如下界面。

18. 软件维护协议

选择Accept Software Maintenance Terms and Conditions，回车，运行ok后，按Esc + 0 退出，进入到Installation Assistant界面。

19. 安装助手界面

选择Tasks Completed - Exit to Login，回车，进入登录操作系统界面。

(三) 其他软件包的安装
选择安装如下软件包，这些软件包用于系统性能监控和分析：bos.adt,bos.cifs_fs,bos.clvm,bos.compat,bos.content_list,bos.cpr, bos.dlc,bos.dosutil,bos.installers,bos.lrn,bos.mls,bos.net,bos.perf.gtools,bos.svpkg,bos.sysmgt,bos.data，安装完毕后，使用如下命令检查软件包的一致性

lppchk -v

lppchk -l

三、操作系统的配置步骤
(一) 修改时区

smit --System Environments--Change / Show Date and Time--Change Time Zone Using System Defined Values

选择Asia/Shanghai，时区修改后需重启系统使修改生效。

最终结果如下图。

(二) 修正操作系统时间

smit date

(三) 修改root用户的密码
以root登录，直接输入passwd
手动输入新密码。

(四) 修改机器名

smit hostname

在HOSTNAME输入对应的主机名。

(五) 修改操作系统属性参数

smit chgsys

单用户最大进程数：
Maximum number of PROCESSES allowed per user：128 －> 8192；
启用磁盘IO历史记录：
Continuously maintian DISK I/O history: false－>true；
打开full core dump 设置:
Enable full CORE dump: false ->true；
(六) 设置系统dump

smit dump

Always ALLOW System Dump:false -> true；

执行Show Estimaged Dump Size，根据估算的dump大小调整主dump设备大小，保证主dump设备大小要高于估算的dump大小，AIX 7.1中主dump设备为/dev/lg_dumplv。

(七) VG创建及配置
VG创建
以创建datavg为例，一般情况下，卷组类型选择为Scalable VG（三种卷组类型参数比较附后），datavg选择创建在两张不同SCSI卡上的硬盘上（hdisk1、hdisk3），卷组上的PP大小设置为512M。
三种卷组类型比较
卷组类型 MAX PPs per VG MAX PPs per PV MAX PVs
Original Volume Group 32512 1016 32
Big Volume Group 130048 1016 128
Scalable Volume Group 32768 1024
注：只有Scalable Volume Group 可以更改MAX PPs per VG

smit mkvg-> 选择Add a Scalable Volume Group->Volume GROUP name[datavg]-> Physical partition SIZE in megabytes[512]-> PHYSICAL VOLUME names[hdisk1 hdisk3]，截图如下所示。

关闭datavg的QUORUM

smit chvg->选择datavg->A QUORUM of disks required to keep the volume group online选择no

rootvg配置镜像
一般情况下，rootvg选择位于另一张不同SCSI卡上的hdisk2给hdisk0做镜像，先把hdisk2加入rootvg，再执行镜像操作

extendvg -f rootvg hdisk2

smit mirrorvg

如下图所示：

rootvg镜像做完后，刷新引导映像

bosboot -ad /dev/hdisk2

bootlist -m normal hdisk0 hdisk2

另外，此时lg_dumplv不会自动镜像，需要通过smit mklvcopy菜单来为这个lg_dumplv来做镜像，copy数指定为2，并指定synchronize the data为yes,如下图所示：

做完后可以看到PP的数量已为LP的两倍，即copy数为2

datavg配置镜像
注意确保该VG中jfs2log所在lv需做镜像。
通常datavg的镜像是由创建lv时选择copy数为2来指定，而第一次创建文件系统时自动产生的jfs2log（通常名为loglv0X）是不带镜像的，故需要通过smit mklvcopy菜单来为这个loglv00来做镜像，copy数指定为2，并指定synchronize the data为yes，如下图所示:

做完后可以看到PP的数量已为LP的两倍，即copy数为2

(八) 修改系统交换空间
查看系统内存：#lsattr -El mem0，
查看系统原有的交换空间：#lsps -a
虚拟内存设置大小设置规则建议如下，具体可以根据应用程序运行情况来进一步调整优化。
2G以下内存，交换空间配置为2G或2G以上；
2G-8G内存，交换空间配置为内存的一半或与内存一样大；
8G以上内存，交换空间配置内存的一半到内存同样大小；

smit pgsp

(九) 激活串口

smit tty

修改机器上的各串口tty(vty)*都设置成Available 和Enable LOGIN：

(十) 修改IP地址和路由设置

smit inet

设置IP地址、掩码，更改状态为UP。

smit route

(十一) 建立逻辑卷worklv
在rootvg上创建worklv，用于创建/work文件系统，用来存放安装介质。

lsvg rootvg(查询1PP的大小),这里1PP=256MB

在这里我们分配给worklv 1GB空间，也就是4PP。实际工作中可以根据需要来创建更大的逻辑卷。

smit mklv

(十二) 创建文件系统
创建文件系统原则：
当一级文件系统未设置为自动挂载时，只能创建并使用一级文件系统，不允许在该一级文件系统下创建二级文件系统，以避免因挂载文件系统的先后顺序导致文件系统内容被覆盖。
创建文件系统步骤：

smit jfs2

建立文件系统（worklv逻辑卷已预建）

挂载文件系统

mount /work

扩大操作系统类文件系统/，/var，/tmp，/home文件系统空间
严格规定应用数据或应用日志不能写到这四个文件系统空间内，尤其是/tmp文件系统空间。
/，/var，/tmp和/home文件系统空间至少扩大到2G以上（含2G）。

(十三) 系统内核参数调优

smit tuning->Tuning Network Option Parameters-> Change / Show Current Parameters->

somaxconn: 1024调整为4096
clean_partial_conns: 0调整为1
使用下列命令查看并确认已经修改：

no -a |grep somaxconn

no -a clean_partial_conns

smit tuning->Tuning Network Option Parameters->Save Current

Parameters for Next Boot
内存参数调整：
除文件服务器外，建议将文件系统（JFS/JFS2）使用内存比例都限制在50%以下。
参数 缺省值 目标值 更改参数命令行 参数说明
maxperm% 90% 50% vmo -p -o maxperm%=50 限制JFS文件系统使用内存比例
maxclient% 90% 50% vmo -p -o maxclient%=50 限制JFS2文件系统使用内存比例

注意执行上面表格中vmo命令时先改maxclient%，再改maxperm%。
(十四) 系统资源参数调整

vi /etc/security/limits

fsize = 2097151->-1
data = 262144->2097152
rss = 65536->1048576
stack = 65536->1048576
nofiles = 2000->80000
(十五) 配置安全连接软件ssh

1. 安装OpenSSH软件，要求版本 6.0.0.6200或以上，Openssl版本为1.0.1.512或以上，有的AIX7.1补丁级别光盘可能会在安装系统时默认安装OpenSSH。系统自带的版本不满足需求，需手动另行安装，可到ftp://168.1.6.23/software/system/aix/tools/openssh/AIX71/下载该版本的openssh和openssl，按照先装Openssl再装Openssh的顺序进行安装。软件包装完后用lslpp -l查看类似如下：

2. sshd服务的启动和关闭

   lssrc -s sshd 查看sshd服务进程的状态

   startsrc -s sshd 启动sshd服务进程

   stopsrc -s sshd 关闭sshd服务进程

3. 配置只能使用安全性更高的ssh v2来连接
   修改系统/etc/ssh/sshd_config protocal权限设置为2，重启sshd服务 #stopsrc -s sshd

   startsrc -s sshd

4. 安装完成后，就可使用ssh和sftp命令了，命令格式为
   ＃ssh [options] host [command]
   其中，options 可使用 -l username 参数以及-p port 参数，username为远程主机用户名，port为端口。

   sftp username@host，其中username为远程主机用户名，host为远程主机IP地址。

   (十六) 部署NTP服务(生产环境必须设置，研发测试环境供参考)

5. ftp至该网段的综合管理服务器,在/home/xtjk/ntp目录下获取配置文件/etc/rc.d/rc2.d/Sntpd，/etc/ntp.conf，ntp_aix.sh的tar包 (不同机构，sh文件内SERVER_IP时间服务器地址可能不同) ，例如至12网段综合管理服务器上取得ntp_aix_ 12client.tar,并在本机上解tar。
6. ps -ef|grep -v root确认无应用和数据库后，使用ntp_aix.sh进行NTP部署
7. 启动服务后可以用以下命令查看同步状态：
   ntpq -c pe，查看IP地址前是否有*，有这个标记后表示已经锁定时间源。
   ntpq -c rv，查看stratum是否为2，为2代表已经锁定时间服务器， 查看rootdispersion是否慢慢收敛，小于10（ms）就收敛的很好了，同步一天后可能会收敛到1（ms）以下，不过收敛的程度和网络状况相关。
   (十七) 部署生产系统操作系统自动备份脚本(生产环境必须设置，研发测试环境供参考)
   在客户端上部署操作系统自动备份，定期进行操作系统备份，并统一上传至该网段的综合管理服务器，对于该网段没有综合管理服务器的客户端，则要求定期使用磁带或其它方式进行操作系统备份。当客户端的操作系统需使用备份恢复安装时，使用NIMSERVER从该网段的综合管理服务器恢复安装。

8. 在本地datavg上建立20G的系统备份空间/xtbf

   lsvg datavg,查看本机datavg剩余空间大小，以及每PP的大小

   smit lv-> Add a Logical Volume->

   VOLUME GROUP name[datavg],
   Logical volume NAME[xtbflv]；,
   Number of LOGICAL PARTITIONS[160]（根据各服务器PP大小而定）,
   PHYSICAL VOLUME names[hdisk1,hdisk3],
   Logical volume TYPE[jfs2],
   Number of COPIES of each logical partition 2.

   smit fs-> Add / Change / Show / Delete File Systems-> Enhanced Journaled File Systems-> Add an Enhanced Journaled File System on a Previously Defined Logical Volume->

   LOGICAL VOLUME name[xtbflv],
   MOUNT POINT[/xtbf],
   Mount AUTOMATICALLY at system restart?[yes]

   mount /xtbf

   chown root:system /xtbf

   chmod 755 /xtbf

9. 从该生产网段综合管理服务器上用xtjk用户到/xtbf/bin目录上传自动备份脚本xtbfcli.sh到本机的/xtbf/bin目录.

   cd /xtbf

   mkdir bin

   chown root:system /xtbf/bin

   chown root:system xtbfcli.sh

   chmod u+x xtbfcli.sh

10. 用root用户，配置自动备份crontab

    crontab -e

11. 1 22 3,6,9,12 * nohup sh /xtbf/bin/xtbfcli.sh &（每季度最后一个月的22号执行自动备份脚本，备份具体时间选择在应用低峰期进行）
    四、操作系统的安全设置步骤
    (一) 关闭所有不必要的系统服务进程
    操作系统的安全设置原则是：关闭所有不必要的系统服务进程，仅保留应用上需要并且经过安全认证的服务进程。

12. 设置inetd超级服务进程配置文件/etc/inetd.conf,停止所以不需要的服务，注释所有的行项，如ftp、telnet、shell、kshell、login、klogin、exec、ntalk、daytime、time、wsmserver、xmquery，dtspcd，cmsd，ttdbserver等服务。如果有安装PowerHA7.1,则caa_cfg服务必须打开。修改inetd.conf文件后，刷新inetd服务进程。

    refresh -s inetd

    lssrc -ls inetd

13. 同时编辑/etc/inittab文件，注释掉qdaemon、writesrv、platform_agent、hrd、aso、pconsole、cas_agent（使用：进行注释），系统重启时就不再启动qdaemon、writesrv等服务进程。

14. 除了syslogd, inetd这两个服务进程外，关闭sendmail portmap snmpd dpid2 hostmibd snmpmibd aixmibd等所有服务和tcpip类服务进程，在/etc/rc.tcpip文件中注释掉启动这些服务的行。

    vi /etc/rc.tcpip

    注释掉除了syslogd,inetd行以外的所有服务进程。
    手工关闭snmp服务

    stopsrc -s snmpd

15. 关闭nfs(网络文件服务)类服务进程，并设置为现在和重启后都关闭该服务进程。

    smit rmnfs

    stop nfs  STOP NFS now, system restart or both 选择both

16. 关闭spooler打印服务类进程。
    执行stopsrc -g spooler
17. 例如ctrmc，clcomd，clconfd等这些服务是较新版本操作系统上的CAA资源子系统的daemon，PowerHA/SSA/虚拟化管理等需要用到这些服务，不建议关闭。用于机器资源管理rsct_rm类进程不建议关闭。

18. 如果有安装PowerHA7.1,确认/etc/inittab文件中的clcomd服务已打开，以及/etc/inetd.conf文件中caa_cfg服务已打开。若未打开，需手动开启。

    lssrc -g caa查看CAA状态

    starsrc -g caa，进行手工启动

    修改inetd.conf文件后，刷新inetd服务进程

    refresh -s inetd

    lssrc -ls inetd 查看caa_cfg服务状态

19. 在启用CDE环境的服务器上必须启动portmap服务，在配置NFS服务时，portmap服务也会自动启动。

20. 以上设置完成后，进行严格检查工作，如发现还有开放的端口，应该查明是否为应用上需要开放的端口，否则一律进行关闭处理。(stopsrc -s writesrv,lpd,sendmail)

    netstat -an |grep LISTEN

    如发现还有开放端口，用rmsock进行查明并处理
    例如：
    Aix_test1:/etc#netstat -nAa | grep 8080
    f1000600036a0390 tcp4 0 0 .8080 .* LISTEN
    Aix_test1:/etc#rmsock f1000600036a0390 tcpcb
    The socket 0x36a0000 is being held by proccess 225372 (tnslsnr).
    刚安装完毕并进行安全设置后的端口应该只有22，该端口用于sshd安全连接服务(如果使用CDE环境，则保留dtlogin，portmap两个服务，dtlogin端口号为32768，portmail端口号为111)，如下：
    Aix_test1:/ #netstat -an|grep LISTEN
    tcp4 0 0 .22 .* LISTEN
    tcp4 0 0 .111 .* LISTEN（portmail服务,CDE环境需要）
    tcp4 0 0 .657 .* LISTEN（AIX自带资源管理服务）
    tcp4 0 0 .32768 .* LISTEN（dtlogin服务，CDE环境需要）
    查看打开的服务：
    lssrc -a|grep active
    portmap portmap 74420 active(CDE环境需要)
    syslogd ras 78520 active
    sshd ssh 86722 active
    IBM.ERRM rsct_rm 49554 active
    IBM.AuditRM rsct_rm 61866 active
    IBM.ServiceRM rsct_rm 98986 active
    IBM.CSMAgentRM rsct_rm 102574 active

(二) 设置登录超时时间
增加或修改/etc/profile文件中如下行：
TMOUT=900
(三) 限制用户使用su
使用smit或增加、修改/etc/security/user下default的设置。
default:
su = false
(四) 操作系统用户帐户设置规范如下：

1. 系统默认用户设置
   系统超级管理用户（root）应设置双重口令。
   严格禁止使用系统开立的默认帐户（除root用户外）登录。
   编辑/etc/passwd，把系统开立的默认帐户daemon、bin、sys、adm、uucp、guest、nobody、lpd等用户的登录标记由“!”改为“*”。
2. 数据库用户，如informix,oracle用户
   主机数据库系统安装、配置和管理用户，应设置不允许登录,vi /etc/passwd
   将informix、oracle用户的登录标记由“!”改为“*”。
3. 应用特权用户，如cib用户
   应用维护特权用户，是数据库的DBA用户，可以对应用数据库、表及记录进行修改和删除。应用特权用户仅用于软件下发及数据库、表的增加、删除,应设置双重口令。
4. 系统管理查询用户，如xtjk用户
   系统管理普通查询用户，用于对系统日志、运行情况进行监控和分析。对数据和程序没有任何修改权限，用户属于staff组，口令由系统管理人员掌握。
5. 应用及数据查询用户，如cxwh用户
   应用维护查询用户，对数据库和应用只有查询功能，属于staff组。口令由应用维护人员掌握。
   (五) 用户密码策略设置(生产环境必须设置，研发测试环境供参考)

6. 未接入运维操作管理系统，用户密码策略配置如下：
   修改/etc/security/user文件，设置用户口令的复杂度、长度等参数。
   选项 描述 设置值
   Maxage 最长有效期（周） 30
   Maxexpired 口令过期后用户更改口令的期限（周） 4
   Minalpha 最少包含的字母数 4
   Minother

   最少包含非字母数字字符的数量    1

   Minlen 最短字符数 8
   Mindiff 新口令与旧口令的最少不同字符数 3
   Maxrepeats 口令中某一字符的最多重复次数 3
   Histexpire

   同一口令不能重复使用的时间范围（周）    26

   Histsize

   同一口令与前面旧口令不能重复的个数    4

   Pwdwarntime 密码过期前提示时间（天） 30
   Loginretries 用户输入密码错误几次后禁止登录 20（出于安全考虑例外：root用户不限制）
   各用户帐户口令在员工离岗或调离本工作岗位后应及时予以更改。

7. 接入运维操作管理系统，用户密码策略配置如下：
   选项 描述 设置值
   Maxage 最长有效期（周） 0
   Maxexpired 口令过期后用户更改口令的期限（周） -1
   Minalpha 最少包含的字母数 4
   Minother

   最少包含非字母数字字符的数量    1

   Minlen 最短字符数 8
   Mindiff 新口令与旧口令的最少不同字符数 0
   Maxrepeats 口令中某一字符的最多重复次数 8
   Histexpire

   同一口令不能重复使用的时间范围（周）    0

   Histsize

   同一口令与前面旧口令不能重复的个数    0

   Pwdwarntime 密码过期前提示时间（天） 0
   Loginretries 用户输入密码错误几次后禁止登录 20（出于安全考虑例外：root用户不限制）
   注：以上密码策略设置于default节，即缺省每个用户都为该设置，下面列出例外
   （1） root用户需单独设置loginretries＝0，即root用户密码输入错误不受禁止登录限制(root用户若被禁止登录则需要重启机器使用光盘引导来重设密码，风险很大)。
   （2） 对于某些系统，应用用户的密码需在应用程序里配置的，例如网银后台管理系统数据库服务器上用作weblogic jdbc连接的netbank用户，这类用户需限制登录，login和rlogin设置为false；同时，密码不建议定期更改（否则应用就需要定期停止去改密码及jdbc配置），故这类用户密码过期期限需设置为maxage＝0。另外，因用户密码输入错误次数超过loginretries限制导致这些用户被锁定可能会影响到应用正常运行，故建议这类用户设置loginretries＝0。
   (六) 系统安全其他方面的设置步骤

8. 为了保障系统安全稳定运行，规定在运行环境中不予安装开发编译所需的软件包。
9. 安装必要的补丁。尤其是安全方面的补丁应该及时打上。在安装系统补丁前必须先进行系统测试后，方可在生产系统上安装上线运行。
10. 严格检查系统/etc/hosts文件中IP地址是否合法，并及时清理。
11. 严格限制用户帐户的ftp功能，为了防止用户帐户随意传送数据，应该设置/etc/ftpusers文件，或者直接关闭ftpd守护进程，严格限制系统用户的ftp功能。同时严格限制登录用户在系统中使用ftp命令的权限。
12. 使用正确的umask值，一般情况下可采用默认值022，如有特殊要求，可设置更严格的umask值027.。
13. 系统安全文件设定严格的读写权限，不得随意更改。
    尤其对于/etc/security目录下的安全设置文件，除了系统超级管理用户有读写权限，其他用户都不能有任何读写权限，不能随意更改该目录下的文件权限和属主。
14. 原则上不允许开设等价主机，如果确为应用上需要，则需要经过审核批准，同时需要进行严格的管理和控制
    要严格管理好/etc/hosts.equiv、.rhosts和.netrc这3个文件。其中，/etc /hosts.equiv列出了允许执行rsh、rcp等远程命令的主机名字；.rhosts在用户目录内指定了远程用户的名字，其远程用户使用本地用户账户执行rcp、rsh和rlogin等命令时不必提供口令；.netrc提供了ftp和rexec命令所需的信息，可自动连接主机而不必提供口令，该文件放在用户本地目录中。由于这3个文件的设置都允许一些命令不必提供口令便可访问主机，因此必须严格限制这3个文件的设置。在.rhosts中不能使用“+ +”，由于它可以使任何主机的用户不必提供口令而直接执行rcp、rlogin和rsh等命令。

五、双网卡配置与监控部署
(一) 小型机双网卡配置(生产环境必须设置，研发测试环境供参考)

1. 网络配置
   服务器的两张网卡分别接入两台不同的接入层交换机（两台接入交换机的速率需相同）
2. 关闭应用与数据库
3. 以xtjk用户登录操作系统，备份路由表
   $mkdir network
   $lsattr -El inet0 > routetable.txt
   $netstat -rn >netstat.txt
   $ifconfig -a > ifconfig.txt
   $lsdev -Cc adapter > adapter.txt

4. 通过字符终端直连小型机，以root用户登录服务器，配置以太通道
   （1） 删除需要绑定的网卡并重新识别

   smit ->tcpip ->Further Configuration-> Network Interfaces-> Network Interface Selection-> Remove a Network Interface->选择已配置IP地址的网卡

   rmdev -dl ent0

   rmdev -dl ent2

   cfgmgr -v

   （2） 确保两张网卡设置成同样的速度和工作模式，即1000兆全双工。

   smit->Device->Communication->Ethernet Adapter->Adapter->分别选择2张网卡

   Change/Show Characteristics of an Ethernet Adapter->Media speed [1000_Full_Duplex]
   （3） 设置以太通道

   smit etherchannel->Add An EtherChannel / Link Aggregation->选择主以太网适配器ent0->Backup Adapter 选择[ent2]->生成ent4

5. 配置新创建的以太通道en4的IP地址和子网掩码（确保与原IP地址及子网掩码一致）
   #smit chinet
6. 对照备份的路由表，重新配置路由表，对缺少的路由进行添加
   #smit route
7. 进行网络高可用性测试
   （1） 在已经配置了以太通道的服务器执行长ping操作，测试网络连通性
   （2） 先拔出ent0网口网线，确认在允许少量丢包的情况下，不会发生网络的中断；插上ent0口网络线以后，再拔出ent2网络口的网线，确认在允许少量丢包的情况下，不会发生网络的中断，再插上ent2口网络线。
8. 启动数据库，启动应用，并确认应用正常。

(二) 部署生产系统综合管理脚本(生产环境必须设置，研发测试环境供参考)

1. xtjk用户登录系统，至综合管理服务器上获取综合管理脚本
   建立bin目录

   mkdir bin

   将xtjkchk.pro main.sh xtjkchk.env 三个文件放到bin目录
   检查xtjk用户.profile 文件 根据每台服务器信息更新相关内容
   egrep "INFORMIXDIR|INFORMIXSERVER|ONCONFIG|ORACLE_HOME |ORACLE _SID|PATH" .profile
   Informix数据库必须配置 "INFORMIXDIR|INFORMIXSERVER ONCONFIG|PATH" 环境变量
   Oracle数据库必须配置“ORACLE_HOME|ORACLE_SID|PATH”环境变量
   chmod 700 main.sh
   chmod 600 xtjkchk.env
   chmod 600 xtjkchk.pro
   crontab -e
   新增

2. • • • • /home/xtjk/bin/main.sh
3. 建立该网段综合管理服务器到本机xtjk用户的sftp信任机制
   到综合管理服务器xtjk用户的.ssh目录下将其id_rsa.pub文件传至本机的xtjk用户的.ssh目录下
   cat id_rsa.pub >> authorized_keys
   在本网段综合管理服务器上sftp 到本机xtjk用户不用输口令
4. 在该网段综合管理服务器上添加主备机的ip地址
   xtjk用户登录该网段综合管理服务器
   将主备机ip地址加入 /home/xtjk/bin/zblist.txt

(三) 部署系统集中监控平台Tivoli监控代理(生产环境必须设置，研发测试环境供参考)
参照《系统集中监控平台升级项目软件安装实施手册_AIX及有关数据库代理安装配置》最新版本中有关要求或有关监控代理部署模板进行Tivoli监控代理部署。