数据中心操作系统安装配置规范系列
各用户帐户口令在员工离岗或调离本工作岗位后应及时予以更改。 2. 接入运维操作管理系统,用户密码策略配置如下:
选项 Maxage 描述 最长有效期(周) 设置值 0 Maxexpired 口令过期后用户更改口令的期限(周) Minalpha Minother Minlen Mindiff 最短字符数 新口令与旧口令的最少不同字符数 最少包含的字母数 最少包含非字母数字字符的数量 -1 4 1 8 0 8 0 Maxrepeats 口令中某一字符的最多重复次数 Histexpire 同一口令不能重复使用的时间范围 Histsize Pwdwarntime Loginretries 用户输入密码错误几次后禁止登录 (周) 同一口令与前面旧口令不能重复的个数 密码过期前提示时间(天) 0 0 20(出于安全考虑例外:root用户不限制) 注:以上密码策略设置于default节,即缺省每个用户都为该设置,下面列出例外
(1)root用户需单独设置loginretries=0,即root用户密码输入错误不受禁止登录限制(root用户若被禁止登录则需要重启机器使用光盘引导来重设密码,风险很大)。
(2)对于某些系统,应用用户的密码需在应用程序里配置的,例如网银后
第 46 页 共 50 页
数据中心操作系统安装配置规范系列
台管理系统数据库服务器上用作weblogic jdbc连接的netbank用户,这类用户需限制登录,login和rlogin设置为false;同时,密码不建议定期更改(否则应用就需要定期停止去改密码及jdbc配置),故这类用户密码过期期限需设置为maxage=0。另外,因用户密码输入错误次数超过loginretries限制导致这些用户被锁定可能会影响到应用正常运行,故建议这类用户设置loginretries=0。
(六) 系统安全其他方面的设置步骤
1. 为了保障系统安全稳定运行,规定在运行环境中不予安装开发编译所需的软件包。
2. 安装必要的补丁。尤其是安全方面的补丁应该及时打上。在安装系统补丁前必须先进行系统测试后,方可在生产系统上安装上线运行。
3. 严格检查系统/etc/hosts文件中IP地址是否合法,并及时清理。 4. 严格限制用户帐户的ftp功能,为了防止用户帐户随意传送数据,应该设置/etc/ftpusers文件,或者直接关闭ftpd守护进程,严格限制系统用户的ftp功能。同时严格限制登录用户在系统中使用ftp命令的权限。
5. 使用正确的umask值,一般情况下可采用默认值022,如有特殊要求,可设置更严格的umask值027.。
6. 系统安全文件设定严格的读写权限,不得随意更改。
尤其对于/etc/security目录下的安全设置文件,除了系统超级管理用户有读写权限,其他用户都不能有任何读写权限,不能随意更改该目录下的文件权限和属主。
7. 原则上不允许开设等价主机,如果确为应用上需要,则需要经过审核批准,同时需要进行严格的管理和控制
要严格管理好/etc/hosts.equiv、.rhosts和.netrc这3个文件。其中,/etc /hosts.equiv列出了允许执行rsh、rcp等远程命令的主机名字;.rhosts在用户目录内指定了远程用户的名字,其远程用户使用本地用户账户执行rcp、rsh和rlogin等命令时不必提供口令;.netrc提供了ftp和rexec命令所需的信息,可自动连接主机而不必提供口令,该文件放在用户本地目录中。由于这3个文件的设置都允许一些命令不必提供口令便可访问主机,因此必须严格限制这3个文件的设置。在.rhosts中不能使用“+ +”,由于它可以使任何主机的用户不必提
第 47 页 共 50 页
数据中心操作系统安装配置规范系列
供口令而直接执行rcp、rlogin和rsh等命令。
五、双网卡配置与监控部署
(一) 小型机双网卡配置(生产环境必须设置,研发测试环境供参考)
1. 网络配置
服务器的两张网卡分别接入两台不同的接入层交换机(两台接入交换机的速率需相同)
2. 关闭应用与数据库
3. 以xtjk用户登录操作系统,备份路由表 $mkdir network
$lsattr -El inet0 > routetable.txt $netstat -rn >netstat.txt $ifconfig -a > ifconfig.txt $lsdev -Cc adapter > adapter.txt
4. 通过字符终端直连小型机,以root用户登录服务器,配置以太通道 (1)删除需要绑定的网卡并重新识别
#smit ->tcpip ->Further Configuration-> Network Interfaces-> Network Interface Selection-> Remove a Network Interface->选择已配置IP地址的网卡
#rmdev -dl ent0 #rmdev -dl ent2 #cfgmgr -v
(2)确保两张网卡设置成同样的速度和工作模式,即1000兆全双工。 #smit->Device->Communication->Ethernet Adapter->Adapter->分别选择2张网卡
Change/Show Characteristics of an Ethernet Adapter->Media speed [1000_Full_Duplex]
第 48 页 共 50 页
数据中心操作系统安装配置规范系列
(3)设置以太通道
#smit etherchannel->Add An EtherChannel / Link Aggregation->选择主以太网适配器ent0->Backup Adapter 选择[ent2]->生成ent4
5. 配置新创建的以太通道en4的IP地址和子网掩码(确保与原IP地址及子网掩码一致)
#smit chinet
6. 对照备份的路由表,重新配置路由表,对缺少的路由进行添加 #smit route
7. 进行网络高可用性测试
(1)在已经配置了以太通道的服务器执行长ping操作,测试网络连通性 (2)先拔出ent0网口网线,确认在允许少量丢包的情况下,不会发生网络的中断;插上ent0口网络线以后,再拔出ent2网络口的网线,确认在允许少量丢包的情况下,不会发生网络的中断,再插上ent2口网络线。
8. 启动数据库,启动应用,并确认应用正常。
(二) 部署生产系统综合管理脚本(生产环境必须设置,研发测试环境
供参考)
1. xtjk用户登录系统,至综合管理服务器上获取综合管理脚本 建立bin目录 #mkdir bin
将xtjkchk.pro main.sh xtjkchk.env 三个文件放到bin目录 检查xtjk用户.profile 文件 根据每台服务器信息更新相关内容 egrep \|ORACLE _SID|PATH\
Informix
数据库必须配置 \
ONCONFIG|PATH\ 环境变量
Oracle数据库必须配置“ORACLE_HOME|ORACLE_SID|PATH”环境变量 chmod 700 main.sh chmod 600 xtjkchk.env chmod 600 xtjkchk.pro crontab -e
第 49 页 共 50 页
数据中心操作系统安装配置规范系列
新增
0 * * * * /home/xtjk/bin/main.sh
2. 建立该网段综合管理服务器到本机xtjk用户的sftp信任机制 到综合管理服务器xtjk用户的.ssh目录下将其id_rsa.pub文件传至本机的xtjk用户的.ssh目录下
cat id_rsa.pub >> authorized_keys
在本网段综合管理服务器上sftp 到本机xtjk用户不用输口令 3. 在该网段综合管理服务器上添加主备机的ip地址 xtjk用户登录该网段综合管理服务器
将主备机ip地址加入 /home/xtjk/bin/zblist.txt
(三) 部署系统集中监控平台Tivoli监控代理(生产环境必须设置,
研发测试环境供参考)
参照《系统集中监控平台升级项目软件安装实施手册_AIX及有关数据库代理安装配置》最新版本中有关要求或有关监控代理部署模板进行Tivoli监控代理部署。
第 50 页 共 50 页