目錄
一、網卡需求
二、光纖卡需求
三、磁盤需求
四、主機文件系統需求
五、主機名命名規范
六、安裝設置規范
七、參數修改規范
八、時鐘同步設置
九、rootvg做鏡像
十、AIX系統安全加固
一、網卡需求
1、對於單機系統至少需要1個網口;考慮到網絡安全建議做網卡綁定,需要2個網口且分布於不同網卡。
2、對於雙機系統至少需要2個網口,且建議分布於不同網卡;考慮到網絡安全建議做網卡綁定,需要4個網口且分布於不同網卡.
二、光纖卡需求
只有業務有外掛存儲資源時需要光纖卡資源,為保證安全,建議使用2個光纖口,且分布於不同光纖卡。
三、磁盤需求
主機或lpar分區要由兩塊磁盤,磁盤大小要求不低於146G。
四、主機文件系統需求
分區或邏輯卷 Mount點 大小要求 類型 用途 /dev/hd4 / 10G JFS2 操作系統 /dev/hd2 /usr 6G JFS2 操作系統 /dev/hd9var /var 5G JFS2 操作系統 /dev/hd3 /tmp 5G JFS2 操作系統 /dev/fwdump /var/adm/ras/platform 5G JFS2 操作系統 /dev/hd1 /home 10G JFS2 操作系統 /dev/hd10opt /opt 5G JFS2 操作系統 /dev/livedump /var/adm/ras/livedump 1G JFS2 操作系統 /dev/hd11admin /admin 0.5G JFS2 操作系統 /dev/hd6 SWAP Paging Space 交換分區修改文件系統空間大小命令:
# chfs -a size=10G /
# chfs -a size=6G /usr
# chfs -a size=5G /var
# chfs -a size=5G /tmp
# chfs -a size=10G /home
# chfs -a size=5G /opt
# chfs -a size=1G /var/adm/ras/livedump
# chfs -a size=512M /admin
對於oracle數據庫應用,新建/u01文件系統並分配其容量50G。
對於數據庫的歸檔日志文件系統,建議其放在磁盤陣列上。
其他業務應用文件系統按申請新建。
五、主機名命名規范
主機所在機房的首字母(如:北二樓機房為b)+業務大類(縮寫)+設備應用(縮寫)+編號
如:數據中心機房營銷生產庫 syxscoradb1
六、安裝設置規范
1、安裝openssh文件包以支持ssh訪問:(首先需要安裝openssl包)
openssh.base
openssh .msg.en_US
openssh.man.en_US
啟動sshd:#/usr/bin/startsrc -s sshd(系統默認安裝後已經啟動)
2、SWAP分區設置標准:
Swap分區為1~1.5倍RAM大小;(最多不超過48GB,還需要再確認)
如果RAM大小介於1024MB和2048 MB,那麼Swap分區為1.5倍RAM大小;
如果RAM大小介於2048MB和16GB,那麼Swap分區為等同於RAM大小;
如果RAM大小大於16 GB,那麼Swap分區為0.75倍RAM大小;
1)修改換頁空間大小操作步驟:
首先,執行lsvg rootvg查看rootvg的PP SIZE大小,例如64 megabyte(s)。
其次,查看當前換頁空間大小,執行命令:
然後,執行smitty chps命令修改Swap分區大小,填寫NUMBER of additional logical partitions項值,計算要增加的LP個數。LP個數=(Swap分區最終大小-當前大小)/PP SIZE。
2)新增一個SWAP分區:
執行smitty pgsp->Add Another Paging Space(選擇要建立swap的VG,一般為rootvg),填寫SIZE of paging space (in logical partitions)的值(LP的個數),如果需要還可以指定新建的swap創建在哪塊磁盤“PHYSICAL VOLUME name”。
3、sysdump設備設置標准:
考慮到現在小型機內存均大約4G,所有系統默認sysdumpdev設備為lg_dumplv,其大小分配原則如下:
4GB<=服務器內存<12GB, lg_dumplv大小為1GB;
12GB<=服務器內存<24GB, lg_dumplv大小為2GB
24GB<=服務器內存<48GB,lg_dumplv大小為3GB
48GB<=服務器內存, lg_dumplv大小為4GB
4、多路徑軟件安裝(安裝於磁盤陣列配套的多路徑軟件)
1)、對應IBM主機直接連接IBM磁盤陣列,使用系統自帶的MPIO多路徑軟件;主機通過SVC連接磁盤陣列,需要安裝sddpcm多路徑軟件。
2)、IBM主機連接HP磁盤陣列,需要安裝磁盤陣列專用的多路徑軟件。
5、建立用於巡視核查的用戶kjxxb
smitty user-> Add a User
七、參數修改規范
優化虛擬內存參數:(根據數據庫或中間件安裝要求修改)
vmo -p -o minperm%=3
vmo -p -o maxperm%=90
vmo -p -o maxclient%=90
vmo -p -o lru_file_repage=0
vmo -p -o minfree=960
vmo -p -o maxfree=1088
vmo -p -o strict_maxperm=0
vmo -p -o strict_maxclient=1
vmo -r -o page_steal_method=1
/usr/sbin/no -p -o tcp_recvspace=65536
/usr/sbin/no -p -o tcp_sendspace=65536
/usr/sbin/no -p -o udp_sendspace=65536
/usr/sbin/no -p -o udp_recvspace=655360
/usr/sbin/no -p -o rfc1323=1
/usr/sbin/no -p -o sb_max=4194304
/usr/sbin/no -r -o ipqmaxlen=512
/usr/sbin/no -p -o tcp_ephemeral_low=9000 -o tcp_ephemeral_high=65500
/usr/sbin/no -p -o udp_ephemeral_low=9000 -o udp_ephemeral_high=65500
#smitty chgsys修改Maximum number of PROCESSES allowed per user設置為16384
ncargs 256.(#chdev -l sys0 -a ncargs=’256’)
修改光纖卡參數:
#rmdev -l fscsiX -R
#chdev -l fscsiX -a fc_err_recov=fast_fail -a dyntrk=yes
#cfgmgr
修改系統參數:
vmo –p –o vmm_klock_mode=2
RAC方式雙機系統共享磁盤參數修改:
IBM陣列:
chdev -l hdiskX -a reserve_policy=no_reserve
HP陣列:
chdev -l hdiskX -a algorithm=round_robin -a reserve_policy=no_reserve
八、時鐘同步設置
1)修改時鐘同步配置文件
#vi /etc/ntp.conf
在broadcastclient行前#號注釋掉,並添加如下一行:
(國網NTP服務器地址100.100.48.254,100.100.48.1。本地NTP服務器地址100.122.1.66)
server 100.122.1.16 prefer
100.122.1.16為時鐘同步服務器的IP地址。
2)啟動ntp服務
執行smitty xntpdStart using the xntpd SubsystemBoth重啟ntp服務,這樣ntp服務會立即啟動,而且在下次系統重啟後也會生效。
3)檢查ntp時鐘同步結果
執行ntpq -p查看同步結果。
九、rootvg做鏡像
1)將硬盤hdisk1加入rootvg中:
#extendvg rootvg hdisk1
2)將rootvg數據鏡像到hdisk1中:
# mirrorvg -c 2 rootvg hdisk1
3)重新制作引導:
#bosboot -ad /dev/hdisk0
#bosboot -ad /dev/hdisk1
4)修改啟動引導順序:
#bootlist -m normal hdisk0 hdisk1
5)重啟操作系統:
#shutdown -Fr
十、AIX系統安全加固