AIX安裝配置參考

目錄
適用範圍 1
一、硬件配置要求(生產環境必須滿足，研發測試環境供參考) 3
二、操作系統安裝過程 4
(一) 準備工作 4
(二) 安裝過程 4
(三) 其他軟件包的安裝 21
三、操作系統的配置步驟 22
(一) 修改時區 22
(二) 修正操作系統時間 23
(三) 修改ROOT用戶的密碼 24
(四) 修改機器名 24
(五) 修改操作系統屬性參數 25
(六) 設置系統DUMP 26
(七) VG創建及配置 28
(八) 修改系統交換空間 32
(九) 激活串口 33
(十) 修改IP地址和路由設置 34
(十一) 建立邏輯卷WORKLV 36
(十二) 創建文件系統 37
(十三) 系統內核參數調優 39
(十四) 系統資源參數調整 39
(十五) 配置安全連接軟件SSH 40
(十六) 部署NTP服務(生產環境必須設置，研發測試環境供參考) 41
(十七) 部署生產系統操作系統自動備份腳本(生產環境必須設置，研發測試環境供參考) 41
四、操作系統的安全設置步驟 42
(一) 關閉所有不必要的系統服務進程 42
(二) 設置登錄超時時間 45
(三) 限制用戶使用SU 45
(四) 操作系統用戶帳戶設置規範如下： 45
(五) 用戶密碼策略設置(生產環境必須設置，研發測試環境供參考) 46
(六) 系統安全其他方面的設置步驟 48
五、雙網卡配置與監控部署 49
(一) 小型機雙網卡配置(生產環境必須設置，研發測試環境供參考) 49
(二) 部署生產系統綜合管理腳本(生產環境必須設置，研發測試環境供參考) 50
(三) 部署系統集中監控平臺TIVOLI監控代理(生產環境必須設置，研發測試環境供參考) 51
一、硬件配置要求(生產環境必須滿足，研發測試環境供參考)
AIX操作系統適用於IBM 小型機和刀片式基於Power系列芯片開發的機型，相應的硬件要求建議如下：
 雙電源模塊冗餘配置（拷機過程中需進行電源冗餘測試工作）。
 生產系統小型機原則上應至少配置四塊內置硬盤，其中兩塊建立rootvg用於安裝操作系統，另外兩塊建立datavg用於存儲應用程序和數據。
 生產系統小型機原則上應配置兩張SCSI卡冗餘配置（每個VG至少由位於不同SCSI卡兩塊硬盤進行鏡像）。
 一個生產用IP地址需要配備兩塊網卡互相冗餘，以實現雙網卡的負載均衡、熱備份或者冷備份；生產IP地址優先使用PCI插槽網卡，將主板上網卡作爲備用網卡。
二、操作系統安裝過程
(一) 準備工作
1. 檢查終端、鍵盤是否與主機正確連接。
2. 打開外設及主機電源開關（先外設後主機）。
3. 把安裝介質（操作系統光盤第一張）放入驅動器。
(二) 安裝過程
1. 主機加電後，當系統發出兩次蜂鳴聲時，屏幕上將不斷顯示硬件啓動代碼信息，幾分鐘後出現畫面，需要用戶選擇“1=SMS Menu”進入SMS菜單進行相關設置，使得系統從光盤引導。

2. 根據機型不同，有的機型會出現選擇語言和修改密碼的菜單，可選擇修改admin密碼爲admin
3. 設置小型機啓動參數。 選擇“5.Select Boot Options”。

選擇“1.Select Install/Boot Device”

選擇“7.List all Devices”

選擇“1.IDE CD-ROM”
根據機型不同該菜單有所不同，可翻頁選擇CD-ROM，新機型選擇SATA CD-ROM

4. 選擇“2.Normal Mode Boot”正常模式引導，而後選擇“YES”退出SMS菜單（圖略）。

5. 稍等幾分鐘。

6. 顯示器（終端）顯示：要求用戶選擇控制檯。鍵入“1”並回車（注意：鍵入的“1”不回顯）定義當前設備爲主控臺。

7. 要求用戶選擇安裝語言環境，鍵入“1”後回車，選擇語言環境爲English.

8. 此後屏幕出現系統安裝和維護的主菜單，需要改變一些設置選項再進行BOS(基本操作系統)的安裝.

9. 改變安裝設置：
   在上面菜單中，鍵入“2”並回車，屏幕出現“Install and Setting”畫面：

這是系統安裝的默認設置，用戶應該根據需要進行修改。
選擇：完全覆蓋安裝（New and Complete Overwrite），鍵入“1”：（進入菜單更改安裝方式）
10. 安裝方式的更改：

如圖所示：鍵入“1”將安裝方式改爲New and Complete Overwrite.
11. 選擇安裝操作系統的目的硬盤：

此處爲選擇安裝系統到哪一塊（或幾塊）硬盤。
鍵入“1”，安裝到hdisk0.
此時會在hdisk0前出現>>>來表明系統將安裝至該硬盤。
選好後選擇：“0”繼續。
12. 選擇完畢後應顯示如下：

13. 鍵入5 將Select Edition從express更改爲standard。一般機器購置時配套的AIX7.1光盤均爲standard版，所以這裏選擇更改爲standard。如果機器購置時配套的AIX7.1光盤爲enterprise版，則選擇enterprise。關於AIX7.1上述三個edition的說明,請參考IBM官網如下鏈接說明。http://www-03.ibm.com/systems/power/software/aix/v71/editions.html

14. 設置完畢選擇0，會出現“Overwrite Installation Summary”，列出當前覆蓋安裝設置的小結，選擇1。

15. 開始安裝BOS，屏幕將不斷顯示安裝的進度。當BOS安裝完畢，系統將自動重啓。

16. 系統重啓後進入如下界面，選擇終端類型爲vt100

17. 接受軟件許可協議

選擇Accept License Agreements，回車，運行OK後，Esc + 0退出，進入如下界面。
18. 軟件維護協議

選擇Accept Software Maintenance Terms and Conditions，回車，運行ok後，按Esc + 0 退出，進入到Installation Assistant界面。
19. 安裝助手界面

選擇Tasks Completed - Exit to Login，回車，進入登錄操作系統界面。

(三) 其他軟件包的安裝
選擇安裝如下軟件包，這些軟件包用於系統性能監控和分析：bos.adt,bos.cifs_fs,bos.clvm,bos.compat,bos.content_list,bos.cpr, bos.dlc,bos.dosutil,bos.installers,bos.lrn,bos.mls,bos.net,bos.perf.gtools,bos.svpkg,bos.sysmgt,bos.data，安裝完畢後，使用如下命令檢查軟件包的一致性

lppchk -v

lppchk -l

三、操作系統的配置步驟
(一) 修改時區

smit --System Environments--Change / Show Date and Time--Change Time Zone Using System Defined Values

選擇Asia/Shanghai，時區修改後需重啓系統使修改生效。

最終結果如下圖。

(二) 修正操作系統時間

smit date

(三) 修改root用戶的密碼
以root登錄，直接輸入passwd
手動輸入新密碼。

(四) 修改機器名

smit hostname

在HOSTNAME輸入對應的主機名。

(五) 修改操作系統屬性參數

smit chgsys

單用戶最大進程數：
Maximum number of PROCESSES allowed per user：128 －> 8192；
啓用磁盤IO歷史記錄：
Continuously maintian DISK I/O history: false－>true；

打開full core dump 設置:
Enable full CORE dump: false ->true；
(六) 設置系統dump

smit dump

Always ALLOW System Dump:false -> true；

執行Show Estimaged Dump Size，根據估算的dump大小調整主dump設備大小，保證主dump設備大小要高於估算的dump大小，AIX 7.1中主dump設備爲/dev/lg_dumplv。

(七) VG創建及配置
VG創建
以創建datavg爲例，一般情況下，卷組類型選擇爲Scalable VG（三種卷組類型參數比較附後），datavg選擇創建在兩張不同SCSI卡上的硬盤上（hdisk1、hdisk3），卷組上的PP大小設置爲512M。
三種卷組類型比較
卷組類型 MAX PPs per VG MAX PPs per PV MAX PVs
Original Volume Group 32512 1016 32
Big Volume Group 130048 1016 128
Scalable Volume Group 32768 1024
注：只有Scalable Volume Group 可以更改MAX PPs per VG

smit mkvg-> 選擇Add a Scalable Volume Group->Volume GROUP name[datavg]-> Physical partition SIZE in megabytes[512]-> PHYSICAL VOLUME names[hdisk1 hdisk3]，截圖如下所示。

關閉datavg的QUORUM

smit chvg->選擇datavg->A QUORUM of disks required to keep the volume group online選擇no

rootvg配置鏡像
一般情況下，rootvg選擇位於另一張不同SCSI卡上的hdisk2給hdisk0做鏡像，先把hdisk2加入rootvg，再執行鏡像操作

extendvg -f rootvg hdisk2

smit mirrorvg

如下圖所示：

rootvg鏡像做完後，刷新引導映像

bosboot -ad /dev/hdisk2

bootlist -m normal hdisk0 hdisk2

另外，此時lg_dumplv不會自動鏡像，需要通過smit mklvcopy菜單來爲這個lg_dumplv來做鏡像，copy數指定爲2，並指定synchronize the data爲yes,如下圖所示：

做完後可以看到PP的數量已爲LP的兩倍，即copy數爲2

datavg配置鏡像
注意確保該VG中jfs2log所在lv需做鏡像。
通常datavg的鏡像是由創建lv時選擇copy數爲2來指定，而第一次創建文件系統時自動產生的jfs2log（通常名爲loglv0X）是不帶鏡像的，故需要通過smit mklvcopy菜單來爲這個loglv00來做鏡像，copy數指定爲2，並指定synchronize the data爲yes，如下圖所示:

做完後可以看到PP的數量已爲LP的兩倍，即copy數爲2

(八) 修改系統交換空間
查看系統內存：#lsattr -El mem0，
查看系統原有的交換空間：#lsps -a
虛擬內存設置大小設置規則建議如下，具體可以根據應用程序運行情況來進一步調整優化。
2G以下內存，交換空間配置爲2G或2G以上；
2G-8G內存，交換空間配置爲內存的一半或與內存一樣大；
8G以上內存，交換空間配置內存的一半到內存同樣大小；

smit pgsp

(九) 激活串口

smit tty

修改機器上的各串口tty(vty)*都設置成Available 和Enable LOGIN：

(十) 修改IP地址和路由設置

smit inet

設置IP地址、掩碼，更改狀態爲UP。

smit route

(十一) 建立邏輯卷worklv
在rootvg上創建worklv，用於創建/work文件系統，用來存放安裝介質。

lsvg rootvg(查詢1PP的大小),這裏1PP=256MB

在這裏我們分配給worklv 1GB空間，也就是4PP。實際工作中可以根據需要來創建更大的邏輯卷。

smit mklv

(十二) 創建文件系統
創建文件系統原則：
當一級文件系統未設置爲自動掛載時，只能創建並使用一級文件系統，不允許在該一級文件系統下創建二級文件系統，以避免因掛載文件系統的先後順序導致文件系統內容被覆蓋。
創建文件系統步驟：

smit jfs2

建立文件系統（worklv邏輯卷已預建）

掛載文件系統

mount /work

擴大操作系統類文件系統/，/var，/tmp，/home文件系統空間
嚴格規定應用數據或應用日誌不能寫到這四個文件系統空間內，尤其是/tmp文件系統空間。

/，/var，/tmp和/home文件系統空間至少擴大到2G以上（含2G）。

(十三) 系統內核參數調優

smit tuning->Tuning Network Option Parameters-> Change / Show Current Parameters->

somaxconn: 1024調整爲4096
clean_partial_conns: 0調整爲1
使用下列命令查看並確認已經修改：

no -a |grep somaxconn

no -a clean_partial_conns

smit tuning->Tuning Network Option Parameters->Save Current

Parameters for Next Boot
內存參數調整：
除文件服務器外，建議將文件系統（JFS/JFS2）使用內存比例都限制在50%以下。
參數 缺省值 目標值 更改參數命令行 參數說明
maxperm% 90% 50% vmo -p -o maxperm%=50 限制JFS文件系統使用內存比例
maxclient% 90% 50% vmo -p -o maxclient%=50 限制JFS2文件系統使用內存比例

注意執行上面表格中vmo命令時先改maxclient%，再改maxperm%。
(十四) 系統資源參數調整

vi /etc/security/limits

fsize = 2097151->-1

data = 262144->2097152
rss = 65536->1048576
stack = 65536->1048576
nofiles = 2000->80000
(十五) 配置安全連接軟件ssh
1. 安裝OpenSSH軟件，要求版本 6.0.0.6200或以上，Openssl版本爲1.0.1.512或以上，有的AIX7.1補丁級別光盤可能會在安裝系統時默認安裝OpenSSH。系統自帶的版本不滿足需求，需手動另行安裝，可到ftp://168.1.6.23/software/system/aix/tools/openssh/AIX71/下載該版本的openssh和openssl，按照先裝Openssl再裝Openssh的順序進行安裝。軟件包裝完後用lslpp -l查看類似如下：

2. sshd服務的啓動和關閉

lssrc -s sshd 查看sshd服務進程的狀態

startsrc -s sshd 啓動sshd服務進程

stopsrc -s sshd 關閉sshd服務進程

3. 配置只能使用安全性更高的ssh v2來連接 修改系統/etc/ssh/sshd_config protocal權限設置爲2，重啓sshd服務 #stopsrc -s sshd

startsrc -s sshd

4. 安裝完成後，就可使用ssh和sftp命令了，命令格式爲 ＃ssh [options] host [command] 其中，options 可使用 -l username 參數以及-p port 參數，username爲遠程主機用戶名，port爲端口。

sftp username@host，其中username爲遠程主機用戶名，host爲遠程主機IP地址。

(十六) 部署NTP服務(生產環境必須設置，研發測試環境供參考)
1. ftp至該網段的綜合管理服務器,在/home/xtjk/ntp目錄下獲取配置文件/etc/rc.d/rc2.d/Sntpd，/etc/ntp.conf，ntp_aix.sh的tar包 (不同機構，sh文件內SERVER_IP時間服務器地址可能不同) ，例如至12網段綜合管理服務器上取得ntp_aix_ 12client.tar,並在本機上解tar。
2. ps -ef|grep -v root確認無應用和數據庫後，使用ntp_aix.sh進行NTP部署
3. 啓動服務後可以用以下命令查看同步狀態：
ntpq -c pe，查看IP地址前是否有*，有這個標記後表示已經鎖定時間源。
ntpq -c rv，查看stratum是否爲2，爲2代表已經鎖定時間服務器， 查看rootdispersion是否慢慢收斂，小於10（ms）就收斂的很好了，同步一天後可能會收斂到1（ms）以下，不過收斂的程度和網絡狀況相關。
(十七) 部署生產系統操作系統自動備份腳本(生產環境必須設置，研發測試環境供參考)
在客戶端上部署操作系統自動備份，定期進行操作系統備份，並統一上傳至該網段的綜合管理服務器，對於該網段沒有綜合管理服務器的客戶端，則要求定期使用磁帶或其它方式進行操作系統備份。當客戶端的操作系統需使用備份恢復安裝時，使用NIMSERVER從該網段的綜合管理服務器恢復安裝。
1. 在本地datavg上建立20G的系統備份空間/xtbf

lsvg datavg,查看本機datavg剩餘空間大小，以及每PP的大小

smit lv-> Add a Logical Volume->

VOLUME GROUP name[datavg],
Logical volume NAME[xtbflv]；, 
Number of LOGICAL PARTITIONS[160]（根據各服務器PP大小而定）, 
PHYSICAL VOLUME names[hdisk1,hdisk3], 
Logical volume TYPE[jfs2], 
Number of COPIES of each logical partition 2.

smit fs-> Add / Change / Show / Delete File Systems-> Enhanced Journaled File Systems-> Add an Enhanced Journaled File System on a Previously Defined Logical Volume->

LOGICAL VOLUME name[xtbflv], 
MOUNT POINT[/xtbf], 
Mount AUTOMATICALLY at system restart?[yes]

mount /xtbf

chown root:system /xtbf

chmod 755 /xtbf

2. 從該生產網段綜合管理服務器上用xtjk用戶到/xtbf/bin目錄上傳自動備份腳本xtbfcli.sh到本機的/xtbf/bin目錄.

cd /xtbf

mkdir bin

chown root:system /xtbf/bin

chown root:system xtbfcli.sh

chmod u+x xtbfcli.sh

3. 用root用戶，配置自動備份crontab

crontab -e

0 1 22 3,6,9,12 * nohup sh /xtbf/bin/xtbfcli.sh &（每季度最後一個月的22號執行自動備份腳本，備份具體時間選擇在應用低峯期進行）
四、操作系統的安全設置步驟
(一) 關閉所有不必要的系統服務進程
操作系統的安全設置原則是：關閉所有不必要的系統服務進程，僅保留應用上需要並且經過安全認證的服務進程。
1. 設置inetd超級服務進程配置文件/etc/inetd.conf,停止所以不需要的服務，註釋所有的行項，如ftp、telnet、shell、kshell、login、klogin、exec、ntalk、daytime、time、wsmserver、xmquery，dtspcd，cmsd，ttdbserver等服務。如果有安裝PowerHA7.1,則caa_cfg服務必須打開。修改inetd.conf文件後，刷新inetd服務進程。

refresh -s inetd

lssrc -ls inetd

2. 同時編輯/etc/inittab文件，註釋掉qdaemon、writesrv、platform_agent、hrd、aso、pconsole、cas_agent（使用：進行註釋），系統重啓時就不再啓動qdaemon、writesrv等服務進程。
3. 除了syslogd, inetd這兩個服務進程外，關閉sendmail portmap snmpd dpid2 hostmibd snmpmibd aixmibd等所有服務和tcpip類服務進程，在/etc/rc.tcpip文件中註釋掉啓動這些服務的行。

vi /etc/rc.tcpip

註釋掉除了syslogd,inetd行以外的所有服務進程。
手工關閉snmp服務

stopsrc -s snmpd

4. 關閉nfs(網絡文件服務)類服務進程，並設置爲現在和重啓後都關閉該服務進程。

smit rmnfs

stop nfs  STOP NFS now, system restart or both 選擇both
5. 關閉spooler打印服務類進程。
執行stopsrc -g spooler
6. 例如ctrmc，clcomd，clconfd等這些服務是較新版本操作系統上的CAA資源子系統的daemon，PowerHA/SSA/虛擬化管理等需要用到這些服務，不建議關閉。用於機器資源管理rsct_rm類進程不建議關閉。
7. 如果有安裝PowerHA7.1,確認/etc/inittab文件中的clcomd服務已打開，以及/etc/inetd.conf文件中caa_cfg服務已打開。若未打開，需手動開啓。

lssrc -g caa查看CAA狀態

starsrc -g caa，進行手工啓動

修改inetd.conf文件後，刷新inetd服務進程

refresh -s inetd

lssrc -ls inetd 查看caa_cfg服務狀態

8. 在啓用CDE環境的服務器上必須啓動portmap服務，在配置NFS服務時，portmap服務也會自動啓動。
9. 以上設置完成後，進行嚴格檢查工作，如發現還有開放的端口，應該查明是否爲應用上需要開放的端口，否則一律進行關閉處理。(stopsrc -s writesrv,lpd,sendmail)

netstat -an |grep LISTEN

如發現還有開放端口，用rmsock進行查明並處理
例如：
Aix_test1:/etc#netstat -nAa | grep 8080

f1000600036a0390 tcp4 0 0 .8080 *. LISTEN
Aix_test1:/etc#rmsock f1000600036a0390 tcpcb
The socket 0x36a0000 is being held by proccess 225372 (tnslsnr).
剛安裝完畢並進行安全設置後的端口應該只有22，該端口用於sshd安全連接服務(如果使用CDE環境，則保留dtlogin，portmap兩個服務，dtlogin端口號爲32768，portmail端口號爲111)，如下：
Aix_test1:/ #netstat -an|grep LISTEN
tcp4 0 0 .22 *. LISTEN
tcp4 0 0 .111 *. LISTEN（portmail服務,CDE環境需要）
tcp4 0 0 .657 *. LISTEN（AIX自帶資源管理服務）
tcp4 0 0 .32768 *. LISTEN（dtlogin服務，CDE環境需要）
查看打開的服務：
lssrc -a|grep active
portmap portmap 74420 active(CDE環境需要)
syslogd ras 78520 active
sshd ssh 86722 active
IBM.ERRM rsct_rm 49554 active
IBM.AuditRM rsct_rm 61866 active
IBM.ServiceRM rsct_rm 98986 active
IBM.CSMAgentRM rsct_rm 102574 active

(二) 設置登錄超時時間
增加或修改/etc/profile文件中如下行：
TMOUT=900
(三) 限制用戶使用su
使用smit或增加、修改/etc/security/user下default的設置。
default:
su = false
(四) 操作系統用戶帳戶設置規範如下：
1. 系統默認用戶設置
系統超級管理用戶（root）應設置雙重口令。
嚴格禁止使用系統開立的默認帳戶（除root用戶外）登錄。
編輯/etc/passwd，把系統開立的默認帳戶daemon、bin、sys、adm、uucp、guest、nobody、lpd等用戶的登錄標記由“!”改爲“”。
2. 數據庫用戶，如informix,oracle用戶
主機數據庫系統安裝、配置和管理用戶，應設置不允許登錄,vi /etc/passwd
將informix、oracle用戶的登錄標記由“!”改爲“”。
3. 應用特權用戶，如cib用戶
應用維護特權用戶，是數據庫的DBA用戶，可以對應用數據庫、表及記錄進行修改和刪除。應用特權用戶僅用於軟件下發及數據庫、表的增加、刪除,應設置雙重口令。
4. 系統管理查詢用戶，如xtjk用戶
系統管理普通查詢用戶，用於對系統日誌、運行情況進行監控和分析。對數據和程序沒有任何修改權限，用戶屬於staff組，口令由系統管理人員掌握。
5. 應用及數據查詢用戶，如cxwh用戶
應用維護查詢用戶，對數據庫和應用只有查詢功能，屬於staff組。口令由應用維護人員掌握。
(五) 用戶密碼策略設置(生產環境必須設置，研發測試環境供參考)
1. 未接入運維操作管理系統，用戶密碼策略配置如下：
修改/etc/security/user文件，設置用戶口令的複雜度、長度等參數。
選項 描述 設置值
Maxage 最長有效期（周） 30
Maxexpired 口令過期後用戶更改口令的期限（周） 4
Minalpha 最少包含的字母數 4
Minother
最少包含非字母數字字符的數量 1
Minlen 最短字符數 8
Mindiff 新口令與舊口令的最少不同字符數 3
Maxrepeats 口令中某一字符的最多重複次數 3
Histexpire
同一口令不能重複使用的時間範圍（周） 26
Histsize
同一口令與前面舊口令不能重複的個數 4
Pwdwarntime 密碼過期前提示時間（天） 30
Loginretries 用戶輸入密碼錯誤幾次後禁止登錄 20（出於安全考慮例外：root用戶不限制）
各用戶帳戶口令在員工離崗或調離本工作崗位後應及時予以更改。
2. 接入運維操作管理系統，用戶密碼策略配置如下：
選項 描述 設置值
Maxage 最長有效期（周） 0
Maxexpired 口令過期後用戶更改口令的期限（周） -1
Minalpha 最少包含的字母數 4
Minother
最少包含非字母數字字符的數量 1
Minlen 最短字符數 8
Mindiff 新口令與舊口令的最少不同字符數 0
Maxrepeats 口令中某一字符的最多重複次數 8
Histexpire
同一口令不能重複使用的時間範圍（周） 0
Histsize
同一口令與前面舊口令不能重複的個數 0
Pwdwarntime 密碼過期前提示時間（天） 0
Loginretries 用戶輸入密碼錯誤幾次後禁止登錄 20（出於安全考慮例外：root用戶不限制）
注：以上密碼策略設置於default節，即缺省每個用戶都爲該設置，下面列出例外
（1） root用戶需單獨設置loginretries＝0，即root用戶密碼輸入錯誤不受禁止登錄限制(root用戶若被禁止登錄則需要重啓機器使用光盤引導來重設密碼，風險很大)。
（2） 對於某些系統，應用用戶的密碼需在應用程序裏配置的，例如網銀後臺管理系統數據庫服務器上用作weblogic jdbc連接的netbank用戶，這類用戶需限制登錄，login和rlogin設置爲false；同時，密碼不建議定期更改（否則應用就需要定期停止去改密碼及jdbc配置），故這類用戶密碼過期期限需設置爲maxage＝0。另外，因用戶密碼輸入錯誤次數超過loginretries限制導致這些用戶被鎖定可能會影響到應用正常運行，故建議這類用戶設置loginretries＝0。
(六) 系統安全其他方面的設置步驟
1. 爲了保障系統安全穩定運行，規定在運行環境中不予安裝開發編譯所需的軟件包。
2. 安裝必要的補丁。尤其是安全方面的補丁應該及時打上。在安裝系統補丁前必須先進行系統測試後，方可在生產系統上安裝上線運行。
3. 嚴格檢查系統/etc/hosts文件中IP地址是否合法，並及時清理。
4. 嚴格限制用戶帳戶的ftp功能，爲了防止用戶帳戶隨意傳送數據，應該設置/etc/ftpusers文件，或者直接關閉ftpd守護進程，嚴格限制系統用戶的ftp功能。同時嚴格限制登錄用戶在系統中使用ftp命令的權限。
5. 使用正確的umask值，一般情況下可採用默認值022，如有特殊要求，可設置更嚴格的umask值027.。
6. 系統安全文件設定嚴格的讀寫權限，不得隨意更改。
尤其對於/etc/security目錄下的安全設置文件，除了系統超級管理用戶有讀寫權限，其他用戶都不能有任何讀寫權限，不能隨意更改該目錄下的文件權限和屬主。
7. 原則上不允許開設等價主機，如果確爲應用上需要，則需要經過審覈批准，同時需要進行嚴格的管理和控制
要嚴格管理好/etc/hosts.equiv、.rhosts和.netrc這3個文件。其中，/etc /hosts.equiv列出了允許執行rsh、rcp等遠程命令的主機名字；.rhosts在用戶目錄內指定了遠程用戶的名字，其遠程用戶使用本地用戶賬戶執行rcp、rsh和rlogin等命令時不必提供口令；.netrc提供了ftp和rexec命令所需的信息，可自動連接主機而不必提供口令，該文件放在用戶本地目錄中。由於這3個文件的設置都允許一些命令不必提供口令便可訪問主機，因此必須嚴格限制這3個文件的設置。在.rhosts中不能使用“+ +”，由於它可以使任何主機的用戶不必提供口令而直接執行rcp、rlogin和rsh等命令。

五、雙網卡配置與監控部署
(一) 小型機雙網卡配置(生產環境必須設置，研發測試環境供參考)
1. 網絡配置
服務器的兩張網卡分別接入兩臺不同的接入層交換機（兩臺接入交換機的速率需相同）
2. 關閉應用與數據庫
3. 以xtjk用戶登錄操作系統，備份路由表
$mkdir network
$lsattr -El inet0 > routetable.txt
$netstat -rn >netstat.txt
$ifconfig -a > ifconfig.txt
$lsdev -Cc adapter > adapter.txt
4. 通過字符終端直連小型機，以root用戶登錄服務器，配置以太通道
（1） 刪除需要綁定的網卡並重新識別

smit ->tcpip ->Further Configuration-> Network Interfaces-> Network Interface Selection-> Remove a Network Interface->選擇已配置IP地址的網卡

rmdev -dl ent0

rmdev -dl ent2

cfgmgr -v

（2） 確保兩張網卡設置成同樣的速度和工作模式，即1000兆全雙工。

smit->Device->Communication->Ethernet Adapter->Adapter->分別選擇2張網卡

Change/Show Characteristics of an Ethernet Adapter->Media speed [1000_Full_Duplex]
（3） 設置以太通道

smit etherchannel->Add An EtherChannel / Link Aggregation->選擇主以太網適配器ent0->Backup Adapter 選擇[ent2]->生成ent4

5. 配置新創建的以太通道en4的IP地址和子網掩碼（確保與原IP地址及子網掩碼一致） #smit chinet
6. 對照備份的路由表，重新配置路由表，對缺少的路由進行添加 #smit route
7. 進行網絡高可用性測試 （1） 在已經配置了以太通道的服務器執行長ping操作，測試網絡連通性 （2） 先拔出ent0網口網線，確認在允許少量丟包的情況下，不會發生網絡的中斷；插上ent0口網絡線以後，再拔出ent2網絡口的網線，確認在允許少量丟包的情況下，不會發生網絡的中斷，再插上ent2口網絡線。
8. 啓動數據庫，啓動應用，並確認應用正常。

(二) 部署生產系統綜合管理腳本(生產環境必須設置，研發測試環境供參考)
1. xtjk用戶登錄系統，至綜合管理服務器上獲取綜合管理腳本
建立bin目錄

mkdir bin

將xtjkchk.pro main.sh xtjkchk.env 三個文件放到bin目錄 
檢查xtjk用戶.profile 文件 根據每臺服務器信息更新相關內容
egrep "INFORMIXDIR|INFORMIXSERVER|ONCONFIG|ORACLE_HOME |ORACLE _SID|PATH" .profile
Informix數據庫必須配置 "INFORMIXDIR|INFORMIXSERVER ONCONFIG|PATH" 環境變量
Oracle數據庫必須配置“ORACLE_HOME|ORACLE_SID|PATH”環境變量
chmod 700 main.sh 
chmod 600 xtjkchk.env
chmod 600 xtjkchk.pro
crontab -e 
新增
0 * * * * /home/xtjk/bin/main.sh
2. 建立該網段綜合管理服務器到本機xtjk用戶的sftp信任機制
到綜合管理服務器xtjk用戶的.ssh目錄下將其id_rsa.pub文件傳至本機的xtjk用戶的.ssh目錄下
cat id_rsa.pub >> authorized_keys
在本網段綜合管理服務器上sftp 到本機xtjk用戶不用輸口令
3. 在該網段綜合管理服務器上添加主備機的ip地址
xtjk用戶登錄該網段綜合管理服務器
將主備機ip地址加入 /home/xtjk/bin/zblist.txt

(三) 部署系統集中監控平臺Tivoli監控代理(生產環境必須設置，研發測試環境供參考)