文件夹
一、网卡需求
二、光纤卡需求
三、磁盘需求
四、主机文件系统需求
五、主机名命名规范
六、安装设置规范
七、參数改动规范
八、时钟同步设置
九、rootvg做镜像
十、AIX系统安全加固
一、网卡需求
1、对于单机系统至少须要1个网口。考虑到网络安全建议做网卡绑定。须要2个网口且分布于不同网卡。
2、对于双机系统至少须要2个网口。且建议分布于不同网卡;考虑到网络安全建议做网卡绑定,须要4个网口且分布于不同网卡.
二、光纤卡需求
仅仅有业务有外挂存储资源时须要光纤卡资源,为保证安全,建议使用2个光纤口,且分布于不同光纤卡。
三、磁盘需求
主机或lpar分区要由两块磁盘,磁盘大小要求不低于146G。
四、主机文件系统需求
| 分区或逻辑卷 | Mount点 | 大小要求 | 类型 | 用途 |
| /dev/hd4 | / | 10G | JFS2 | 操作系统 |
| /dev/hd2 | /usr | 6G | JFS2 | 操作系统 |
| /dev/hd9var | /var | 5G | JFS2 | 操作系统 |
| /dev/hd3 | /tmp | 5G | JFS2 | 操作系统 |
| /dev/fwdump | /var/adm/ras/platform | 5G | JFS2 | 操作系统 |
| /dev/hd1 | /home | 10G | JFS2 | 操作系统 |
| /dev/hd10opt | /opt | 5G | JFS2 | 操作系统 |
| /dev/livedump | /var/adm/ras/livedump | 1G | JFS2 | 操作系统 |
| /dev/hd11admin | /admin | 0.5G | JFS2 | 操作系统 |
| /dev/hd6 | SWAP | Paging Space | 交换分区 |
改动文件系统空间大小命令:
# chfs -a size=10G /
# chfs -a size=6G /usr
# chfs -a size=5G /var
# chfs -a size=5G /tmp
# chfs -a size=10G /home
# chfs -a size=5G /opt
# chfs -a size=1G /var/adm/ras/livedump
# chfs -a size=512M /admin
对于oracle数据库应用,新建/u01文件系统并分配其容量50G。
对于数据库的归档日志文件系统,建议其放在磁盘阵列上。
其它业务应用文件系统按申请新建。
五、主机名命名规范
主机所在机房的首字母(如:北二楼机房为b)+业务大类(缩写)+设备应用(缩写)+编号
如:数据中心机房营销生产库 syxscoradb1
六、安装设置规范
1、安装openssh文件包以支持ssh訪问:(首先须要安装openssl包)
openssh.base
openssh .msg.en_US
openssh.man.en_US
启动sshd:#/usr/bin/startsrc -s sshd(系统默认安装后已经启动)
2、SWAP分区设置标准:
Swap分区为1~1.5倍RAM大小;(最多不超过48GB,还须要再确认)
假设RAM大小介于1024MB和2048 MB。那么Swap分区为1.5倍RAM大小;
假设RAM大小介于2048MB和16GB,那么Swap分区为等同于RAM大小;
假设RAM大小大于16 GB。那么Swap分区为0.75倍RAM大小;
1)改动换页空间大小操作步骤:
首先,运行lsvg rootvg查看rootvg的PP SIZE大小,比如64 megabyte(s)。
其次。查看当前换页空间大小。运行命令:
然后。运行smitty chps命令改动Swap分区大小。填写NUMBER of additional logical partitions项值,计算要添加的LP个数。LP个数=(Swap分区终于大小-当前大小)/PP SIZE。
2)新增一个SWAP分区:
运行smitty pgsp->Add Another Paging Space(选择要建立swap的VG。一般为rootvg),填写SIZE of paging space (in logical partitions)的值(LP的个数),假设须要还能够指定新建的swap创建在哪块磁盘“PHYSICAL VOLUME name”。
3、sysdump设备设置标准:
考虑到如今小型机内存均大约4G。全部系统默认sysdumpdev设备为lg_dumplv。其大小分配原则例如以下:
4GB<=server内存<12GB, lg_dumplv大小为1GB;
12GB<=server内存<24GB, lg_dumplv大小为2GB
24GB<=server内存<48GB,lg_dumplv大小为3GB
48GB<=server内存, lg_dumplv大小为4GB
4、多路径软件安装(安装于磁盘阵列配套的多路径软件)
1)、相应IBM主机直接连接IBM磁盘阵列,使用系统自带的MPIO多路径软件。主机通过SVC连接磁盘阵列。须要安装sddpcm多路径软件。
2)、IBM主机连接HP磁盘阵列,须要安装磁盘阵列专用的多路径软件。
5、建立用于巡视核查的用户kjxxb
smitty user-> Add a User
七、參数改动规范
优化虚拟内存參数:(依据数据库或中间件安装要求改动)
vmo -p -o minperm%=3
vmo -p -o maxperm%=90
vmo -p -o maxclient%=90
vmo -p -o lru_file_repage=0
vmo -p -o minfree=960
vmo -p -o maxfree=1088
vmo -p -o strict_maxperm=0
vmo -p -o strict_maxclient=1
vmo -r -o page_steal_method=1
/usr/sbin/no -p -o tcp_recvspace=65536
/usr/sbin/no -p -o tcp_sendspace=65536
/usr/sbin/no -p -o udp_sendspace=65536
/usr/sbin/no -p -o udp_recvspace=655360
/usr/sbin/no -p -o rfc1323=1
/usr/sbin/no -p -o sb_max=4194304
/usr/sbin/no -r -o ipqmaxlen=512
/usr/sbin/no -p -o tcp_ephemeral_low=9000 -o tcp_ephemeral_high=65500
/usr/sbin/no -p -o udp_ephemeral_low=9000 -o udp_ephemeral_high=65500
#smitty chgsys改动Maximum number of PROCESSES allowed per user设置为16384
ncargs 256.(#chdev -l sys0 -a ncargs=’256’)
改动光纤卡參数:
#rmdev -l fscsiX -R
#chdev -l fscsiX -a fc_err_recov=fast_fail -a dyntrk=yes
#cfgmgr
改动系统參数:
vmo –p –o vmm_klock_mode=2
RAC方式双机系统共享磁盘參数改动:
IBM阵列:
chdev -l hdiskX -a reserve_policy=no_reserve
HP阵列:
chdev -l hdiskX -a algorithm=round_robin -a reserve_policy=no_reserve
八、时钟同步设置
1)改动时钟同步配置文件
#vi /etc/ntp.conf
在broadcastclient行前#号凝视掉。并加入例如以下一行:
(国网NTPserver地址100.100.48.254,100.100.48.1。本地NTPserver地址100.122.1.66)
server 100.122.1.16 prefer
100.122.1.16为时钟同步server的IP地址。
2)启动ntp服务
运行smitty xntpdStart using the xntpd SubsystemBoth重新启动ntp服务。这样ntp服务会马上启动,并且在下次系统重新启动后也会生效。
3)检查ntp时钟同步结果
运行ntpq -p查看同步结果。
九、rootvg做镜像
1)将硬盘hdisk1增加rootvg中:
#extendvg rootvg hdisk1
2)将rootvg数据镜像到hdisk1中:
# mirrorvg -c 2 rootvg hdisk1
3)又一次制作引导:
#bosboot -ad /dev/hdisk0
#bosboot -ad /dev/hdisk1
4)改动启动引导顺序:
#bootlist -m normal hdisk0 hdisk1
5)重新启动操作系统:
#shutdown -Fr
十、AIX系统安全加固
