目录
一、网卡需求
二、光纤卡需求
三、磁盘需求
四、主机文件系统需求
五、主机名命名规范
六、安装设置规范
七、参数修改规范
八、时钟同步设置
九、rootvg做镜像
十、AIX系统安全加固
一、网卡需求
1、对于单机系统至少需要1个网口;考虑到网络安全建议做网卡绑定,需要2个网口且分布于不同网卡。
2、对于双机系统至少需要2个网口,且建议分布于不同网卡;考虑到网络安全建议做网卡绑定,需要4个网口且分布于不同网卡.
二、光纤卡需求
只有业务有外挂存储资源时需要光纤卡资源,为保证安全,建议使用2个光纤口,且分布于不同光纤卡。
三、磁盘需求
主机或lpar分区要由两块磁盘,磁盘大小要求不低于146G。
四、主机文件系统需求
| 分区或逻辑卷 | Mount点 | 大小要求 | 类型 | 用途 |
| /dev/hd4 | / | 10G | JFS2 | 操作系统 |
| /dev/hd2 | /usr | 6G | JFS2 | 操作系统 |
| /dev/hd9var | /var | 5G | JFS2 | 操作系统 |
| /dev/hd3 | /tmp | 5G | JFS2 | 操作系统 |
| /dev/fwdump | /var/adm/ras/platform | 5G | JFS2 | 操作系统 |
| /dev/hd1 | /home | 10G | JFS2 | 操作系统 |
| /dev/hd10opt | /opt | 5G | JFS2 | 操作系统 |
| /dev/livedump | /var/adm/ras/livedump | 1G | JFS2 | 操作系统 |
| /dev/hd11admin | /admin | 0.5G | JFS2 | 操作系统 |
| /dev/hd6 | SWAP | Paging Space | 交换分区 |
修改文件系统空间大小命令:
# chfs -a size=10G /
# chfs -a size=6G /usr
# chfs -a size=5G /var
# chfs -a size=5G /tmp
# chfs -a size=10G /home
# chfs -a size=5G /opt
# chfs -a size=1G /var/adm/ras/livedump
# chfs -a size=512M /admin
对于oracle数据库应用,新建/u01文件系统并分配其容量50G。
对于数据库的归档日志文件系统,建议其放在磁盘阵列上。
其他业务应用文件系统按申请新建。
五、主机名命名规范
主机所在机房的首字母(如:北二楼机房为b)+业务大类(缩写)+设备应用(缩写)+编号
如:数据中心机房营销生产库 syxscoradb1
六、安装设置规范
1、安装openssh文件包以支持ssh访问:(首先需要安装openssl包)
openssh.base
openssh .msg.en_US
openssh.man.en_US
启动sshd:#/usr/bin/startsrc -s sshd(系统默认安装后已经启动)
2、SWAP分区设置标准:
Swap分区为1~1.5倍RAM大小;(最多不超过48GB,还需要再确认)
如果RAM大小介于1024MB和2048 MB,那么Swap分区为1.5倍RAM大小;
如果RAM大小介于2048MB和16GB,那么Swap分区为等同于RAM大小;
如果RAM大小大于16 GB,那么Swap分区为0.75倍RAM大小;
1)修改换页空间大小操作步骤:
首先,执行lsvg rootvg查看rootvg的PP SIZE大小,例如64 megabyte(s)。
其次,查看当前换页空间大小,执行命令:
然后,执行smitty chps命令修改Swap分区大小,填写NUMBER of additional logical partitions项值,计算要增加的LP个数。LP个数=(Swap分区最终大小-当前大小)/PP SIZE。
2)新增一个SWAP分区:
执行smitty pgsp->Add Another Paging Space(选择要建立swap的VG,一般为rootvg),填写SIZE of paging space (in logical partitions)的值(LP的个数),如果需要还可以指定新建的swap创建在哪块磁盘“PHYSICAL VOLUME name”。
3、sysdump设备设置标准:
考虑到现在小型机内存均大约4G,所有系统默认sysdumpdev设备为lg_dumplv,其大小分配原则如下:
4GB<=服务器内存<12GB, lg_dumplv大小为1GB;
12GB<=服务器内存<24GB, lg_dumplv大小为2GB
24GB<=服务器内存<48GB,lg_dumplv大小为3GB
48GB<=服务器内存, lg_dumplv大小为4GB
4、多路径软件安装(安装于磁盘阵列配套的多路径软件)
1)、对应IBM主机直接连接IBM磁盘阵列,使用系统自带的MPIO多路径软件;主机通过SVC连接磁盘阵列,需要安装sddpcm多路径软件。
2)、IBM主机连接HP磁盘阵列,需要安装磁盘阵列专用的多路径软件。
5、建立用于巡视核查的用户kjxxb
smitty user-> Add a User
七、参数修改规范
优化虚拟内存参数:(根据数据库或中间件安装要求修改)
vmo -p -o minperm%=3
vmo -p -o maxperm%=90
vmo -p -o maxclient%=90
vmo -p -o lru_file_repage=0
vmo -p -o minfree=960
vmo -p -o maxfree=1088
vmo -p -o strict_maxperm=0
vmo -p -o strict_maxclient=1
vmo -r -o page_steal_method=1
/usr/sbin/no -p -o tcp_recvspace=65536
/usr/sbin/no -p -o tcp_sendspace=65536
/usr/sbin/no -p -o udp_sendspace=65536
/usr/sbin/no -p -o udp_recvspace=655360
/usr/sbin/no -p -o rfc1323=1
/usr/sbin/no -p -o sb_max=4194304
/usr/sbin/no -r -o ipqmaxlen=512
/usr/sbin/no -p -o tcp_ephemeral_low=9000 -o tcp_ephemeral_high=65500
/usr/sbin/no -p -o udp_ephemeral_low=9000 -o udp_ephemeral_high=65500
#smitty chgsys修改Maximum number of PROCESSES allowed per user设置为16384
ncargs 256.(#chdev -l sys0 -a ncargs=’256’)
修改光纤卡参数:
#rmdev -l fscsiX -R
#chdev -l fscsiX -a fc_err_recov=fast_fail -a dyntrk=yes
#cfgmgr
修改系统参数:
vmo –p –o vmm_klock_mode=2
RAC方式双机系统共享磁盘参数修改:
IBM阵列:
chdev -l hdiskX -a reserve_policy=no_reserve
HP阵列:
chdev -l hdiskX -a algorithm=round_robin -a reserve_policy=no_reserve
八、时钟同步设置
1)修改时钟同步配置文件
#vi /etc/ntp.conf
在broadcastclient行前#号注释掉,并添加如下一行:
(国网NTP服务器地址100.100.48.254,100.100.48.1。本地NTP服务器地址100.122.1.66)
server 100.122.1.16 prefer
100.122.1.16为时钟同步服务器的IP地址。
2)启动ntp服务
执行smitty xntpdStart using the xntpd SubsystemBoth重启ntp服务,这样ntp服务会立即启动,而且在下次系统重启后也会生效。
3)检查ntp时钟同步结果
执行ntpq -p查看同步结果。
九、rootvg做镜像
1)将硬盘hdisk1加入rootvg中:
#extendvg rootvg hdisk1
2)将rootvg数据镜像到hdisk1中:
# mirrorvg -c 2 rootvg hdisk1
3)重新制作引导:
#bosboot -ad /dev/hdisk0
#bosboot -ad /dev/hdisk1
4)修改启动引导顺序:
#bootlist -m normal hdisk0 hdisk1
5)重启操作系统:
#shutdown -Fr
十、AIX系统安全加固
