aix系统安装配置手册

aix系统安装配置手册内容摘要：

中应创建了两个过滤规则。 使用下面的命令检查这两个过滤规则： lsfilt v4 正常情况下可以看到2条规则，如果提示无任何缺省规则，请参考本节的注解。 4. ： smitty ipsec4 Advanced IP Security Configuration Configure IP Security Filter Rules Add an IP Security Filter Rule Add an IP Security Filter Rule * Rule Action [permit] + * IP Source Address [] * IP Source Mask [] IP Destination Address [] IP Destination Mask [] * Apply to Source Routing? (PERMIT/inbound only) [yes]+ * Protocol [all]+ * Source Port / ICMP Type Operation [any]+ * Source Port Number / ICMP Type [0] * Destination Port / ICMP Code Operation [eq]+ * Destination Port Number / ICMP Type [23] * Routing [both] + * Direction [both]+ * Log Control [no]+ * Fragmentation Control [0]+ * Interface [all] + 其他缺省值5. ： Add an IP Security Filter Rule * Rule Action [deny]+ * IP Source Address [] * IP Source Mask []— IP Destination Address []— IP Destination Mask [] * Apply to Source Routing? (PERMIT/inbound only) [yes] + * Protocol [all]+ * Source Port / ICMP Type Operation [any] + * Source Port Number / ICMP Type [0] * Destination Port / ICMP Code Operation [eq]+ * Destination Port Number / ICMP Type [23] * Routing [both]+ * Direction [both]+ * Log Control [no] + * Fragmentation Control [all packets]+ * Interface [all] + 6. 激活设置的过滤规则： smitty ipsec4 Advanced IP Security Configuration Activate/Update/Deactivate IP Security Filter Rule Activate / Update 7. 上面的操作进行完后， telnet至。 注：步骤3所涉及的，任何机器都有这两条默认规则。 规则1是允许IPSec跟其他设备通讯的一个规则。 NewOak公司制订了IPSec的规则，利用4001端口和别的利用IPSec的设备通信，现在保留这个通信信息，是为了历史兼容。 规则2保证默认情况下，所有网络传输可以正常进行。 当安装完操作系统后是肯定存在的。 但是部分局点执行lsdevCc ipsec发现 ipsec_v4 Available Cannot get IPv4 default filter rule. Cannot change default rule for IPv4 in ODM. Cannot get IPv4 default filter rule 可能是因为在smitty ipsec4菜单当中，这两条规则是被当作普通规则，可能安装后被认为删除了。 出现这种情况，你是无法进行设置任何新的规则的。 如果希望修复该规则并回到缺省状态，可以使用smitty remove 删除对应的文件包，然后从安装光盘安装该包。 并且打补丁到最新就可以解决。 FTP配置 缺省情况下， 系统不会记录使用FTP连接和传输文件的日志（log). 这会对系统造成安全隐患，尤其在用户使用匿名ftp方式时。 为了避免这种情况发生， 可用如下的步骤使系统记录FTP的日志：，并加入一行： FileName其中FileName是日志文件的名字， 它会跟踪FTP的活动，包括匿名和其他用户ID. FileName文件必须在做下一步骤前创建。 refresh s syslogd命令刷新syslogd 后台程序。 ，修改下面的数据行：ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd l“refresh s inetd”命令刷新inetd后台程序。 说要在AIX上做一个FTP，但是有限制条件。 原本没有限制条件倒也简单，加了条件就比较麻烦了。 两个目录的权限如下： drwxrxrx 2 tkbudget tkbudget 256 Mar 16 17:02 cron_logsdrwxrx 2 tkbudget tkbudget 256 Mar 17 13:33 tk_outline 用户要求建立一个单独的ftp用户，该用户只对上述两个目录有读写权限。 实施步骤： 1 创建tkbgtftp用户（rlogin=false，限制用户登录）。 AIX Version 5(C) Copyrights by IBM and by others 1982, 2005.login: tkbgtftptkbgtftp39。 s Password:3004306 Remote logins are not allowed for this account. 2 在/etc/ftpusers文件中加入tkbudget用户，限制OWNER使用FTP服务。 more /etc/ftpuserstkbudget 3 使用/etc/ more /etc/readonly: /readwrite: /hyperion/tk_outline, /hyperion/corn_logs 4 重启FTP服务 stopsrc t ftp0513127 The ftp subserver was stopped successfully. startsrc t ftp0513124 The ftp subserver has been started. 实施了上述操作后，基本上实现了用户的需求，同时在安全上也做了相应的限制，但是感觉不是很灵活。 但是对于系统自带的FTP服务来说，就算不错了。 原本打算使用ACL来控制用户访问权限的，但是操作起来对系统修改较多，所以决定还是在FTP服务层面做访问控制。 下面是关于ACL的相关描述，用于参考。 在使用acledit命令前，需要先设置相应的环境变量 export EDITOR=/usr/bin/vi aclget tk_outlineattributes:base permissions owner(tkbudget): rwx group(tkbudget): rx others: extended permissions enabled permit rwx u:tkbgtftp注：如果在安装bundle包时已安装openssh则此步不需要。 安装顺序为先安装OpenSSL , 后安装OpenSSH216。 OpenSSL : 将 通过smitty installp安装 . 如下图: 216。 OpenSSH : , 用命令: Zcat | tar xvf 解包. Smitty installp 安装 . 注意要先单独安装license. 后面再安装base包,都要选择ACCEPT new license agreements为yes. 如下图: 216。 软件安装完成后 , 可以通过lssrc –s sshd查看ssh后台程序有没启动 . 一般安装完ssh软件, 会自动激活该后台程序 . 如查看未激活 , 用 startsrc s sshd来启动就可以. 216。 软件安装完成后 , 在/etc下会有ssh这个目录生成.216。 要修改sshd_config文件 , 为后面的2台机器之间互相访问不需要提供密码做准备 . 修改的内容如图红色的,vi sshd_config将前头的号注释掉,启用就可以. 216。 利用命令:sshkeygen生成key全部选择默认的就可以 , 生成的private key和public Key会保存在 ~/.ssh目录下 . 如下图注: 为了后面的访问方便, passphrase一行密码一般设置为空. 216。 将2台机器的public key互相传给对方 . 可以有好几种方法: ftp , rcp , scp都可以 . 这里用rcp来传输, 其实scp也可以传输,就是有点麻烦,由于ssh未配置好 , 就不用scp了.同样, 在另外台机器把local的pub key传给对方. 名字改为local machine named 方法 . 有区别于本地的pub key . 可以看到对方的pub key已经传输完成 . 216。 由于上面修改了sshd_config文件 , 其中一行为 AuthorizedKeysFile .ssh/authorized_keys为认证读取文件的位置 .我们采取默认的方式 , 在~/.ssh下touch一个authorized_keys文件. 将传输过来的对方主机的pub key内容 ,追加到authorized_keys文件上, 如果有多个主机建立了ssh信任机制, 则连续追加即可. 如图所示 , 追加成功. 216。 开始互访 第一次访问, 会提示你是否确认访问, 输入yes . 第二次访问, 就没有改提示了 . 如下图:而且访问的hosts会自动在默认的~/.ssh目录下生成一个known_hosts文件, 该文件记录了ssh目的主机的ip地址以及公钥和密码信息 . 物理卷（PV）：物理卷就是指机器中的硬盘，一块独立的硬盘就是一个物理卷，机器中有多少个硬盘就是有多少个物理卷。 每个物理卷都有一个名字，一般都是用hdiskX表示，其中，X是序号，如：hdisk0就是第一块硬盘。 卷组（VG）：卷组是系统中最大的存储单位，一个卷组由一个或多个物理硬盘组成，也就是由一个或者多个物理卷组成。 在一个系统中，至少要有一个卷组rootvg，BOS系统就存放在rootvg卷组中，rootvg卷组是在安装BOS系统时自动创建的。 如果系统中只有一个卷组，那么只能是rootvg卷组。 当然，用户可以根据自己需要再继续创建其他卷组。 前提是，系统中还有空闲的其他物理卷。 物理分区（PP）：是指物理卷上连续的大小相等的存储单位。 物理卷是由物理分区组成。