基本系统管理.docx
- 文档编号:29814768
- 上传时间:2023-07-27
- 格式:DOCX
- 页数:11
- 大小:18.92KB
基本系统管理.docx
《基本系统管理.docx》由会员分享,可在线阅读,更多相关《基本系统管理.docx(11页珍藏版)》请在冰豆网上搜索。
基本系统管理
1、常用命令
1.#ioscan-fn
列出各I/O卡及设备的所有相关信息:
如逻辑单元号,硬件地址及设备文件名等。
2.#ps-ef
列出正在运行的所有进程的各种信息:
如进程号及进程名等。
3.#netstat-rn
列出网卡状态及路由信息等。
4.#lanscan
列出网卡状态及网络配置信息。
5.#bdf
列出已加载的逻辑卷及其大小信息。
6.#mount
列出已加载的逻辑卷及其加载位置。
7.#uname-a
列出系统ID号,OS版本及用户权限等信息。
8.#hostname
列出系统网络名称。
9.#pvdisplay-v/dev/dsk/c*t*d*
显示磁盘各种信息,如磁盘大小,包含的逻辑卷,设备名称等。
10.#vgdisplay-v/dev/vg00
显示逻辑卷组信息,如包含哪些物理盘及逻辑卷等。
11.#lvdisplay-v/dev/vg00/lvol1
显示逻辑卷各种信息,如包含哪些盘,是否有镜像等。
2、网络故障诊断
1.如需修改网络地址、主机名等,一定要用set_parms命令
#set_parmshostname
#set_parmsip_address
2.查看网卡状态:
lanscan
HardwareStationCrdHardwareNet-Interface
PathAddressIn#statenameunitstate
8/20/5/10x0800097843FB0uplan0up
3.确认网络地址:
#ifconfiglan0
4.启动网卡:
#ifconfiglan0up
5.网络不通的诊断过程:
lanscan查看网卡是否启动(up)
ping自己网卡地址(ip地址)
ping其它机器地址,如不通,在其机器上用lanscan命令得知stationaddress,然后linkloopstation_address来确认网线及集成器是否有问题。
在同一网中,subnetmask应一致。
6.配置网关
手动加网关:
/usr/sbin/routeadddefault20.08.28.981
把网关自动加入系统中
vi/etc/rc.config.d/netconf
:
ROUTE_DESTINATION[0]=default
ROUTE_GATEWAY[0]=20.08.28.98
ROUTE_COUNT[0]=1
:
/sbin/init.d/net将执行:
/usr/sbin/routeadddefault20.08.28.981
命令netstat-rn查看路由表
另外也可用set_parmsaddl_netwrk来设缺省路由。
二、安全安装HP-UX
1、建议在安装配置过程中,不要连接到任何不信任的网络中。
2、尽可能选择最小安装
3、尽可能不要安装NFS,Xwindow,SNMP等组件(视具体需求而定)
4、安装完毕,则使用系统命令查看状态。
#uname?
Ca(版本信息)
#bdf(逻辑卷状态)
#ps?
Cef(进程状态)
#netstat-anfinet(端口状态)
5、安装各种驱动等
6、安装最新的补丁。
安装补丁时要注意HP的补丁与硬件类型和系统版本都相关,检查并安装所有需要的补丁。
确认需要swlist-lfileset.
三、系统基本配置
操作系统安装并打上补丁后,需要做一些措施来对系统进行一些配置。
删除保存的补丁(可选)
缺省情况下,补丁安装完会在/var/adm/sw/save/下备份所有的补丁。
可以选择删除这些补丁文件,但一旦删除就没法使用swremove卸载补丁了。
#swmodify-xpatch_commit=true'*.*'
转换为一个可信系统:
#/usr/lbin/tsconvert
Creatingsecurepassworddatabase...
Directoriescreated.
Makingdefaultfiles.
Systemdefaultfilecreated...
Terminaldefaultfilecreated...
Deviceassignmentfilecreated...
Movingpasswords...
securepassworddatabaseinstalled.
Convertingatandcrontabjobs...
Atandcrontabfilesconverted.
改变全局特权
HP-UX有一个特权组,可以分配给一个组特权(参见privgrp(4)).缺省情况下,CHOWN是分配给所有组的一个全局特权:
$getprivgrp
globalprivileges:
CHOWN
/sbin/init.d/set_prvgrp在系统启动时执行/usr/sbin/setprivgrp-f/etc/privgroup.可以创建一个配置文件,删除所有的全局特权(seesetprivgrp(1m)):
#getprivgrp
globalprivileges:
CHOWN
#echo-n>/etc/privgroup
#chmod400/etc/privgroup
#/sbin/init.d/set_prvgrpstart
#getprivgrp
globalprivileges:
设置默认umask.
转换到可信系统后,默认umask已经改为07077
限制root远程登录,只能由console登录
#echoconsole>/etc/securetty
#chmod400/etc/securetty
打开inetd日志功能
在/etc/rc.config.d/netdaemons中的INETD_ARGS环境变量中增加-l参数:
exportINETD_ARGS=-l
删除不需要的系统伪帐户
#groupdellp
#groupdelnuucp
#groupdeldaemon
#userdeluucp
#userdellp
#userdelnuucp
#userdelhpdb
#userdelwww
#userdeldaemon
对于一些保留的系统伪帐户如:
bin,sys,adm等,应当将需要禁止帐户的**用NP代替,并不提供登录shell
Example:
bin:
NP:
60002:
60002:
NoAccessUser:
/:
/sbin/noshell
将root主目录从/改为/root.
编辑/etc/passwd:
root:
*:
0:
3:
:
/root:
/sbin/sh
创建目录并修改权限:
#mkdir/root
#chmod700/root
#mv/.profile/root
#pwconv
四、禁止网络服务
1、禁止inetd服务
由internet服务器过程inetd启动的网络服务是由两个配置文件/etc/inet/services和/etc/inet/inetd.conf来配置的。
/etc/inet/services文件指定每个服务的端口号和端口类型,该配置文件的部分示例如下:
…
ftp21/tcp
telnet23/tcp
smtp25/tcpmail
…
/etc/inet/inetd.conf文件指定服务对应的系统服务程序,该配置文件部分示例如下:
…
ftpstreamtcpnowaitroot/usr/sbin/in.ftpdin.ftpd
telnetstreamtcpnowaitroot/usr/sbin/in.telnetdin.telnetd
…
当要停止某个服务,如ftp、telnet等时,只要注释掉文件/etc/inet/services和/etc/inet/inetd.conf中的相应条目,也就是在那一行的开头加上#字符,然后让inetd重新读配置文件,过程示例如下:
#ps-ef|grepinetd
root14910Jan18?
0:
00/usr/sbin/inetd-s
root2462124605015:
53:
01pts/10:
00grepinetd
#kill?
CHUP149
以上第一条命令是为了获得inetd的进程号,示例中输出的第二列内容就是进程号(149),然后将该进程号填入第二条命令的相应位置。
可以使用lsof?
Ci来查看监听进程和端口信息:
#lsof-i
COMMANDPIDUSERFDTYPEDEVICESIZE/OFFNODENAME
syslogd261root5uinet0x10191e8680t0UDP*:
syslog(Idle)
rpcbind345root4uinet72,0x730t0UDP*:
portmap(Idle)
rpcbind345root6uinet72,0x730t0UDP*:
49158(Idle)
rpcbind345root7uinet72,0x720t0TCP*:
portmap(LISTEN)
sendmail:
397root5uinet0x10222b6680t0TCP*:
smtp(LISTEN)
snmpdm402root3uinet0x10221a2680t0TCP*:
7161(LISTEN)
snmpdm402root5uinet0x10222a2680t0UDP*:
snmp(Idle)
snmpdm402root6uinet0x10221f8680t0UDP*:
*(Unbound)
mib2agt421root0uinet0x10223e8680t0UDP*:
*(Unbound)
swagentd453root6uinet0x1019d32680t0UDP*:
2121(Idle)
2、禁止其他服务
防止syslogd网络监听
安装PHCO_21023补丁可以给syslogd加上-N参数防止网络监听.编辑/sbin/init.d/syslogd修改为/usr/sbin/syslogd-DN.
禁止SNMP服务
编辑SNMP启动文件:
/etc/rc.config.d/SnmpHpunix
SetSNMP_HPUNIX_STARTto0:
SNMP_HPUNIX_START=0
/etc/rc.config.d/SnmpMaster
SetSNMP_MASTER_STARTto0:
SNMP_MASTER_START=0
/etc/rc.config.d/SnmpMib2
SetSNMP_MIB2_STARTto0:
SNMP_MIB2_START=0
/etc/rc.config.d/SnmpTrpDst
SetSNMP_TRAPDEST_STARTto0:
SNMP_TRAPDEST_START=0
禁止sendmail进程
编辑/etc/rc.config.d/mailservs:
exportSENDMAIL_SERVER=0
禁止rpcbind进程
#rm/sbin/rc1.d/K600nfs.core
#rm/sbin/rc2.d/S400nfs.core
#mv/usr/sbin/rpcbind/usr/sbin/rpcbind.DISABLE
五、文件系统安全
1、检查Set-id程序
#find/\(-perm-4000-o-perm-2000\)-typef-execls-ld{}\;
#chmodu-s/usr/sbin/swinstall
#chmodu-s/usr/sbin/vgcreate
#chmodu-s/sbin/vgcreate
可以采用下列方法,将所有文件的set-id位去掉,然后对一些需要的程序单独加上suid位(可根据情况选择):
#find/-perm-4000-typef-execchmodu-s{}\;
#find/-perm-2000-typef-execchmodg-s{}\;
#chmodu+s/usr/bin/su
#chmodu+s/usr/bin/passwd
采用这种方法后,普通用户将无法使用很多系统命令,如bdf,uptime,arp等:
$bdf/dev/vg00/lvol3
bdf:
/dev/vg00/lvol3:
Permissiondenied
2.修改重要文件权限
#chmod1777/tmp/var/tmp/var/preserve(加上粘滞位)
#chmod666/dev/null
六、网络参数调整
利用ndd命令,可以检测或者更改网络设备驱动程序的特性。
在/etc/rc.config.d/nddconf启动脚本中增加以下各条命令,然后重启系统,可以提高网络的安全性。
格式如下:
/usr/sbin/ndd-set/dev/ipip_forward_directed_broadcasts0
Networkdevice
Parameter
Defaultvalue
Suggestedvalue
Comment
/dev/ip
ip_forward_directed_broadcasts
1
0
不转发定向广播包
/dev/ip
ip_forward_src_routed
1
0
不转发原路由包
/dev/ip
ip_forwarding
2
0
禁止包转发
/dev/ip
ip_pmtu_strategy
2
1
不采用echo-requestPMTU策略
/dev/ip
ip_send_redirects
1
0
不发ICMP重定向包
/dev/ip
ip_send_source_quench
1
0
不发ICMP源结束包
/dev/tcp
tcp_conn_request_max
20
500
增加TCP监听数最大值,提高性能
/dev/tcp
tcp_syn_rcvd_max
500
500
HPSYNflood保护
/dev/ip
ip_respond_to_echo_broadcast
1
0
不响应ICMPecho请求广播包
由于ndd调用前,已经启动网卡参数,所以可能不能正确设置。
可以采用下列方法,建立一个启动脚本。
#cp/tmp/secconf/etc/rc.config.d
#chmod444/etc/rc.config.d/secconf
#cp/tmp/sectune/sbin/init.d
#chmod555/sbin/init.d/sectune
#ln-s/sbin/init.d/sectune/sbin/rc2.d/S009sectune
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基本 系统管理