数据中心操作系统安装配置规范系列
Number of COPIES of each logical partition 2.
#smit fs-> Add / Change / Show / Delete File Systems-> Enhanced Journaled File Systems-> Add an Enhanced Journaled File System on a Previously Defined Logical Volume->
LOGICAL VOLUME name[xtbflv], MOUNT POINT[/xtbf],
Mount AUTOMATICALLY at system restart?[yes] #mount /xtbf
#chown root:system /xtbf #chmod 755 /xtbf
2. 从该生产网段综合管理服务器上用xtjk用户到/xtbf/bin目录上传自动备份脚本xtbfcli.sh到本机的/xtbf/bin目录.
#cd /xtbf #mkdir bin
#chown root:system /xtbf/bin #chown root:system xtbfcli.sh #chmod u+x xtbfcli.sh
3. 用root用户,配置自动备份crontab #crontab -e
0 1 22 3,6,9,12 * nohup sh /xtbf/bin/xtbfcli.sh &(每季度最后一个月的22号执行自动备份脚本,备份具体时间选择在应用低峰期进行)
四、操作系统的安全设置步骤
(一) 关闭所有不必要的系统服务进程
操作系统的安全设置原则是:关闭所有不必要的系统服务进程,仅保留应用上需要并且经过安全认证的服务进程。
1. 设置inetd超级服务进程配置文件/etc/inetd.conf,停止所以不需要的服务,注释所有的行项,如ftp、telnet、shell、kshell、login、klogin、exec、
第 41 页 共 50 页
数据中心操作系统安装配置规范系列
ntalk、daytime、time、wsmserver、xmquery,dtspcd,cmsd,ttdbserver等服务。如果有安装PowerHA7.1,则caa_cfg服务必须打开。修改inetd.conf文件后,刷新inetd服务进程。
#refresh -s inetd #lssrc -ls inetd
2. 同时编辑/etc/inittab文件,注释掉qdaemon、writesrv、platform_agent、hrd、aso、pconsole、cas_agent(使用:进行注释),系统重启时就不再启动qdaemon、writesrv等服务进程。
3. 除了syslogd, inetd这两个服务进程外,关闭sendmail portmap snmpd dpid2 hostmibd snmpmibd aixmibd等所有服务和tcpip类服务进程,在/etc/rc.tcpip文件中注释掉启动这些服务的行。
#vi /etc/rc.tcpip
注释掉除了syslogd,inetd行以外的所有服务进程。 手工关闭snmp服务 #stopsrc -s snmpd
4. 关闭nfs(网络文件服务)类服务进程,并设置为现在和重启后都关闭该服务进程。
#smit rmnfs
stop nfs ? STOP NFS now, system restart or both 选择both 5. 关闭spooler打印服务类进程。 执行stopsrc -g spooler
6. 例如ctrmc,clcomd,clconfd等这些服务是较新版本操作系统上的CAA资源子系统的daemon,PowerHA/SSA/虚拟化管理等需要用到这些服务,不建议关闭。用于机器资源管理rsct_rm类进程不建议关闭。
7. 如果有安装PowerHA7.1,确认/etc/inittab文件中的clcomd服务已打开,以及/etc/inetd.conf文件中caa_cfg服务已打开。若未打开,需手动开启。 #lssrc -g caa查看CAA状态 #starsrc -g caa,进行手工启动
修改inetd.conf文件后,刷新inetd服务进程
第 42 页 共 50 页
数据中心操作系统安装配置规范系列
#refresh -s inetd
#lssrc -ls inetd 查看caa_cfg服务状态
8. 在启用CDE环境的服务器上必须启动portmap服务,在配置NFS服务时,portmap服务也会自动启动。
9. 以上设置完成后,进行严格检查工作,如发现还有开放的端口,应该查明是否为应用上需要开放的端口,否则一律进行关闭处理。(stopsrc -s writesrv,lpd,sendmail) #netstat -an |grep LISTEN
如发现还有开放端口,用rmsock进行查明并处理 例如:
Aix_test1:/etc#netstat -nAa | grep 8080
f1000600036a0390 tcp4 0 0 *.8080 *.* LISTEN
Aix_test1:/etc#rmsock f1000600036a0390 tcpcb
The socket 0x36a0000 is being held by proccess 225372 (tnslsnr). 刚安装完毕并进行安全设置后的端口应该只有22,该端口用于sshd安全连接服务(如果使用CDE环境,则保留dtlogin,portmap两个服务,dtlogin端口号为32768,portmail端口号为111),如下: Aix_test1:/ #netstat -an|grep LISTEN
tcp4 0 0 *.22 *.* LISTEN
tcp4 0 0 *.111 *.* LISTEN(portmail服务,CDE环境需要)
tcp4 0 0 *.657 *.* LISTEN(AIX自带资源管理服务) tcp4 0 0 *.32768 *.* LISTEN(dtlogin服务,CDE环境需要)
查看打开的服务: lssrc -a|grep active
portmap portmap 74420 active(CDE环境需要) syslogd ras 78520 active
第 43 页 共 50 页
数据中心操作系统安装配置规范系列
sshd ssh 86722 active IBM.ERRM rsct_rm 49554 active IBM.AuditRM rsct_rm 61866 active IBM.ServiceRM rsct_rm 98986 active IBM.CSMAgentRM rsct_rm 102574 active
(二) 设置登录超时时间
增加或修改/etc/profile文件中如下行: TMOUT=900
(三) 限制用户使用su
使用smit或增加、修改/etc/security/user下default的设置。 default: su = false
(四) 操作系统用户帐户设置规范如下:
1. 系统默认用户设置
系统超级管理用户(root)应设置双重口令。
严格禁止使用系统开立的默认帐户(除root用户外)登录。
编辑/etc/passwd,把系统开立的默认帐户daemon、bin、sys、adm、uucp、guest、nobody、lpd等用户的登录标记由“!”改为“*”。
2. 数据库用户,如informix,oracle用户
主机数据库系统安装、配置和管理用户,应设置不允许登录,vi /etc/passwd 将informix、oracle用户的登录标记由“!”改为“*”。
3. 应用特权用户,如cib用户
应用维护特权用户,是数据库的DBA用户,可以对应用数据库、表及记录进行修改和删除。应用特权用户仅用于软件下发及数据库、表的增加、删除,应设置双重口令。
4. 系统管理查询用户,如xtjk用户
系统管理普通查询用户,用于对系统日志、运行情况进行监控和分析。对数
第 44 页 共 50 页
数据中心操作系统安装配置规范系列
据和程序没有任何修改权限,用户属于staff组,口令由系统管理人员掌握。
5. 应用及数据查询用户,如cxwh用户
应用维护查询用户,对数据库和应用只有查询功能,属于staff组。口令由应用维护人员掌握。
(五) 用户密码策略设置(生产环境必须设置,研发测试环境供参考)
1. 未接入运维操作管理系统,用户密码策略配置如下:
修改/etc/security/user文件,设置用户口令的复杂度、长度等参数。
选项 Maxage 描述 最长有效期(周) 设置值 30 Maxexpired 口令过期后用户更改口令的期限(周) Minalpha Minother Minlen Mindiff 最短字符数 新口令与旧口令的最少不同字符数 最少包含的字母数 最少包含非字母数字字符的数量 4 4 1 8 3 3 26 Maxrepeats 口令中某一字符的最多重复次数 Histexpire 同一口令不能重复使用的时间范围 Histsize Pwdwarntime Loginretries 用户输入密码错误几次后禁止登录 (周) 同一口令与前面旧口令不能重复的个数 密码过期前提示时间(天) 4 30 20(出于安全考虑例外:root用户不限制) 第 45 页 共 50 页