ScoOpenserver操作系统安装配置规范年月修订.docx
- 文档编号:9050782
- 上传时间:2023-02-03
- 格式:DOCX
- 页数:32
- 大小:2.64MB
ScoOpenserver操作系统安装配置规范年月修订.docx
《ScoOpenserver操作系统安装配置规范年月修订.docx》由会员分享,可在线阅读,更多相关《ScoOpenserver操作系统安装配置规范年月修订.docx(32页珍藏版)》请在冰豆网上搜索。
ScoOpenserver操作系统安装配置规范年月修订
Sco-Openserver操作系统安装配置规范(年月修订)
————————————————————————————————作者:
————————————————————————————————日期:
ScoOpenserver操作系统安装配置规范
文档信息
项目名称:
兴业银行操作系统、数据库安装和配置规范
文档版本号:
1.0
文档作者:
环境保障处
生成日期:
2010年8月
文档审核者:
环境保障处
审核日期:
文档维护记录
版本号
维护日期
作者/维护人
描述
1.0
2010-08-30
环境保障处
形成正式文档
1.1
2010-12-22
环境保障处
根据征求意见进行补充完善
2010年12月
信息科技部
版权申明
本安装配置规范版权为兴业银行所有,属于兴业银行的内部资料,除了兴业银行书面同意及授权外,任何单位和个人不得复制、修改、引用、出版或传播本配置规范的全部或部分内容。
本文档根据部门发布的《关于印发本行信息科技若干主流操作系统安全技术标准(2010年1月修订)的通知》(兴银科【2010】1号文)中的SCO操作系统安全技术标准行修订。
适用范围
本安装配置规范适用于PC服务器上安装ScoV5.05、V5.06版和V5.07版本,本安装过程以V5.07为例。
除条文中特别规定适用范围的,本安装配置规范条文适用于总分行的生产、研发和测试等环境。
ScoOpenserver操作系统安装配置规范1
版权申明2
适用范围2
一、PC服务器的硬件配置要求(生产环境必须满足,研发测试环境供参考)4
二、操作系统安装过程4
1、安装前的准备4
2、安装过程5
3、安装过程注意事项14
三、操作系统配置步骤14
1、安装网卡驱动:
14
2、配置用户license16
3、建立文件系统17
4、挂载文件系统19
5、创建用户和组21
6、修改内核参数22
7、安装中文包24
8、部署NTP(生产环境必须设置,研发测试环境供参考)24
四、操作系统的安全设置步骤24
1、关闭不必要的服务端口或服务进程25
2、限制可以su的帐户27
3、使用SSH替代TELNET进行维护连接27
4、FTP服务安全设置28
5、合理设置帐号用户29
6、设置密码策略(生产环境必须设置,研发测试环境供参考)29
7、系统其它安全方面的设置步骤30
五、部署监控31
1、部署生产系统主备比对脚本(生产环境必须设置,研发测试环境供参考)31
2、部署Tivoli(生产环境必须设置,研发测试环境供参考)32
一、PC服务器的硬件配置要求(生产环境必须满足,研发测试环境供参考)
1.生产前置服务器硬件中CPU主频,个数和内存容量,根据具体应用的实际需要进行配置,不要让系统负担过重以至于影响到前端的应用。
使用sar或vmstat命令监控,CPU的压力不应长时间高于60%,如长时间高于60%,建议升级更换前置机。
2.硬盘故障是危害最大,也是服务器中比较常见的故障之一,为保障前置系统硬盘数据安全,生产前置服务器应配置阵列卡,并且采用Raid1,1+0,5,5+0或更高级的RAID方式配置阵列,优先考虑使用Raid1+0,5+0的阵列模式,并且建议配置热备援盘(hotspare),以保障硬盘数据的安全。
3.对于每台生产前置服务器上的网卡或其他板卡,应该配置备用网卡或板卡。
生产IP地址优先使用PCI插槽网卡,将主板网卡作为备用网卡。
4.生产用PC服务器应该配置双电源模块。
二、操作系统安装过程
本篇安装文档以HPDL380G5为例,其他型号服务器在加载驱动的步骤上可能会有所不同,但其他安装过程基本相同。
1、安装前的准备
在HP的官方网站搜索HPDL380的raid卡驱动和网卡驱动,下载DL380G5的驱动放在电脑目录里面,raid驱动为01_BTLD,网卡驱动为VOL.000.000。
制作网卡驱动盘:
确认Rawrite程序和01_BTLD在同一个目录下,将01_BTLD改名为1.img,执行Rawrite,按照以下图示填写内容
做好raid卡的驱动软盘后将其插入PC服务器专用软驱上。
2、安装过程
放入sco5.07光盘,以cd-rom优先引导顺序模式开机启动系统,在boot画面输入defbootstrlink=HPsas,并按下enter键(此命令为加载HPraid卡驱动)
回车
显示版权说明,点击“继续”
选择Accept
选择光盘位置,按照默认的选择
选择键盘语言,用默认的USEnglish
填写操作系统软件license
选择Fresh安装
输入系统名称,Timezone选择ChinaStandardTime
Securityprofile选择Tradition
如果本系统是数据库应用,则要选择Databaseservices为Yes;同时除非应用程序有特殊要求,则应该选择不安装图形界面,这样即可以减少不必要的系统开销,同时也意味者更可能少的安全隐患;
选择Harddisksetup调整硬盘空间,选择Optionalsoftware选择安装的软件
选择customize
Totalavailablespaceondisk是硬盘总大小,SizeofUNIXpartition是根分区的空间大小,建议设置成5-15G左右(应用目录和数据目录需要单独建立文件系统空间,不能直接放置在根文件系统空间下),SizeofOTHERpartition是未分配空间大小。
(SelectingoptionalSoftware:
Operatingsystemservices全选;
VolutionManager全选;
Connectivity这项选择:
NetworkAdapterDrivers,opensecureshell,TCP/IPRuntimesystem;
Internetservices全不选
Documentation选择UnixEnglishDocumentationMail,MailReaderEnglishDocumentation,NetworkAdapterDriverEnglishDocumentation
LanguageSupport全不选
选择Acceptabovechoices,继续往下
输入系统密码
在之后的安装过程中还会有一个选项,一般情况下我们选择第二项fd1(外置软驱)
操作系统安装完后,需安装必要的补丁。
生产前置系统操作系统安装5.05版本的,必须安装补丁RS505A或更新补丁。
安装5.06版本的,必须安装补丁RS506A,同时安装OSS648C,OSS651B或更新补丁。
安装5.07版本的,必须安装补丁osr507mp5(MaintenancePack5)或更新补丁。
可以用#hw–v–rcpu查看操作系统识别到的CPU的类型和主频。
对于以上补丁在Sco的官方网站或者ftp到综合管理服务器的/work/sco/patches可以下载。
3、安装过程注意事项
(1)即除非应用程序有特殊要求,则应该选择不安装图形界面,这样即可以减少不必要的系统开支,同时也意味者更可能少的安全隐患;同时要选择支持数据库。
(2)选择安装必要的组件和软件包,删除不用的组件和软件包,不允许在生产环境上安装编译开发环境。
Sco操作系统带有很多组件和软件包,在进行系统规划和配置时总的原则应该是只安装必要的组件和软件包,删除(不安装)不需要的组件或软件包。
同时规定不准在生产系统上安装编译开发环境。
三、操作系统配置步骤
1、安装网卡驱动:
进入系统后执行以下命令(确认网卡驱动盘已经插入外置软驱里):
#mount/dev/fd1135ds18/mnt(将外置软盘mount到mnt上面)
#cp/mnt/VOL.000.000/tmp(如果网卡驱动原来的名字不是VOL.000.000,请改名)
#chmod750/tmp/VOL.000.000(更改VOL.000.000的权限)
#scoadmin,选择SoftwareManager-software-InstallNew
选择:
from主机名-continue
再选择MediaImages,输入“/tmp”,–continue便自动开始安装网卡配置:
执行:
scoadmin-networks-NetworkConfigurationManager-Hardware-AddnewLANadapter
选择刚装好的网卡
接下来配置网卡的IP地址:
选择新网卡的SCOTCP/IP
用Protocol的Modifyprotocolconfiguration打开
安装完退出scoadmin后会有提示,回车选择Y。
重启操作系统,使IP地址生效。
#shutdown–y–g0–i6
2、配置用户license
进入系统后执行scoadmin,选择LicenseManager-LicenseAdditionalUsers…
输入LicenseNumber,LicenseCode,LicenseData,详见license文件.
3、建立文件系统
Fdisk说明以及相关指令一览:
1.Displaycurrentdiskparameters(显示参数)
2.UseEntireDiskforUNIX(把所有硬盘空间分配给UNIX)
3.UseRestofDiskforUNIX(将剩余的硬盘空间分配给UNIX)
4.CreateUNIXPartition(创建UNIX分区)
5.ActivatePartition(激活分区)
6.DeletePartition(删除分区)
7.CreatePartition(创建分区)
注意:
在增加分区的过程中请选择4,勿选7,第7项会将系统分区删除导致系统瘫痪)
运行fdisk,选择1查看文件系统状况
Partition1的大小在安装过程中已经设置过了,
Fdisk-(选择4)-因为partition1和partition2为两个连续块,第2块的开始字节为第1块末尾字节+1
Enterpartitionnumberor'q'toreturn:
2(建立Partition2)
Enterstartingtracknumber,or'q'toreturn:
640001(因为Partition1的End为162539)
Enterpartitionsizeintracks,or'q'toreturn:
1500000(输入所要建立Partition2的大小)
建立完Partition后,输入divvy–m/dev/hd02对刚创建的文件系统进行初始化(输入7,最多可建立7个块),以后划分Partition2只需要用divvy/dev/hd02就可以了(/dev/hd00和/dev/hd01为系统的根分区,不要修改)
举例我们要划分xtjk,logfs,fhjk三个文件系统
运行divvy/dev/hd02
选择n,给0,1,2区命名:
xtjklogfsfhjk
选择t,给0,1,2区选择HTFS格式的文件系统,如果是裸设备,比如数据库的chunk空间就选择NONFS格式。
选择s,e设置开始和结束的block给0,1,2区划分空间大小,同fdisk使用方法。
划分完按q退出,选择i执行操作。
4、挂载文件系统
执行scoadmin->Filesystems->FilesystemManager以下为假设的挂载位置
在A机执行scoadmin-Filesystems-FilesystemManager-AddMountConfiguration-Local...
按照如下填写(假设mount的目录是/usr/xtjk):
应用文件系统应只能建一级文件系统,以避免因挂载文件系统的先后顺序导致文件系统内容的覆盖。
5、创建用户和组
运行scoadmin-AccountManager,在view下可分别查看用户(user)和组(group)。
记录用户和组的名字和ID号,以及对应的文件系统的挂载地址
假设为以下配置:
(50之前的组是系统自带的,79之前的用户是系统自带的)
新建立的用户组是:
informix100
新建立的用户是:
informix100
执行scoadmin,选择AccountManager-,AddNewGroup,按照配置填入,添加informix组。
执行scoadmin,选择AccountManager-AddNewUser,按照配置填入,添加informix用户。
6、修改内核参数
NOFILES:
单个进程在任何时刻可同时打开文件的数量,默认值112修改为1024或以上
MAXUP:
同一个用户允许并发的最大进程数,默认值为100修改为1024或以上
执行scoadmin,选择Hardware/KernelManager-Kernel,TuneParameters...,选择7,
7、安装中文包
在必要情况下,可选择安装中文包,以SCO507为例
从ftp至综合管理服务器/work/sco/取得CCEV.PKG
安装命令是
pkgadd–d/tmp/CCEV.PKG(绝对路径)
输入1,再输入序列号和密码
需要在/etc/profile里面加两条并执行后才能正常显示中文:
LANG=en_US.ISO8859-1
exportLANG
8、部署NTP(生产环境必须设置,研发测试环境供参考)
(1)ftp至该网段的综合管理服务器,在/home/xtjk/ntp目录下获取配置文件/etc/rc2.d/S58ntpd,/etc/ntp.conf,ntp_aix.sh的tar包ntp_sco_12client.tar,并在服务器上解tar
(2)ps-ef|grep-vroot确认无应用和数据库后,使用ntp_aix.sh进行NTP部署
(3)启动服务后可以用以下命令查看同步状态:
ntpq-cpe,看IP地址前是否有*,有这个标记后表示已经锁定时间源。
ntpq-crv,看stratum是否为2,为2代表已经锁定时间服务器,看rootdispersion是否慢慢收敛,小于10(ms)就收敛的很好了,同步一天后可能会收敛到1(ms)以下,不过收敛的程度和网络状况相关。
四、操作系统的安全设置步骤
ScoOpenserver自身内建了丰富的网络功能,具有较好的稳定性和安全性,但是,如果没有对系统进行正确的设置,就会给入侵者以可乘之机。
因此,在对系统进行配置的同时,必须把安全性问题放在重要的位置。
在操作系统的层面上进行合理规划、配置,避免因管理上的漏洞而给应用系统造成风险。
1、关闭不必要的服务端口或服务进程
Sco系统安装完默认启动很多网络服务,对很多网络端口连接进行监听,而对这些服务进程和端口必须进行关闭,以杜绝不必要的安全隐患。
其中ftp、telnet、rcmd、rlogin和finger等子进程都由inetd来启动对应的服务进程。
因此,从系统安全角度出发,要合理地设置/etc/inetd.conf文件,将一切不必要的服务关闭。
关闭的方法是在文件相应行首插入“#”字符,并执行命令kill–HUP
Sco操作系统端口和服务进程对于表及如何关闭服务端口
(以ScoV5.07为例)
启动文件
进程
端口
解决办法(永久关闭端口)
超级服务子进程类:
/etc/inetd
tcpmux
1
/etc/inetd.conf注释相关行,并刷新inetd进程
/etc/inetd
echo
7
/etc/inetd.conf注释相关行,并刷新inetd进程
/etc/inetd
discard
9
/etc/inetd.conf注释相关行,并刷新inetd进程
/etc/inetd
chargen
13
/etc/inetd.conf注释相关行,并刷新inetd进程
/etc/inetd
daytime
19
/etc/inetd.conf注释相关行,并刷新inetd进程
/etc/inetd
ftp
21
/etc/inetd.conf注释相关行,并刷新inetd进程
/etc/inetd
telnet
23
/etc/inetd.conf注释相关行,并刷新inetd进程
/etc/inetd
time
37
/etc/inetd.conf注释相关行,并刷新inetd进程
/etc/inetd
finger
79
/etc/inetd.conf注释相关行,并刷新inetd进程
/etc/inetd
pop3
110
/etc/inetd.conf注释相关行,并刷新inetd进程
/etc/inetd
imap
143
/etc/inetd.conf注释相关行,并刷新inetd进程
/etc/inetd
exec
512
/etc/inetd.conf注释相关行,并刷新inetd进程
/etc/inetd
login
513
/etc/inetd.conf注释相关行,并刷新inetd进程
/etc/inetd
shell
514
/etc/inetd.conf注释相关行,并刷新inetd进程
其他服务进程类:
/etc/rc2.d/P86sendmail
sendmail
25
#mvP86sendmailsendmailP86
/etc/rc2.d/P93scohttpd
scohttpd
457
#mvP93scohttpdscohttpdP93
/etc/rc2.d/P90apche
/usr/lib/apache/bin/httpd
80
#mvP90apacheapacheP90,并杀掉相应进程
/etc/rc2.d/S84rpcinit
Portmap(rwalld,rusersd)
111
#mvS84rpcinitrcpinitS84,并杀掉相应进程
/etc/rc2.d/S85tcp里面注释:
/etc/snmpd
snmpd
199
S85tcp文件里注释/etc/snmpd一行,并杀掉相应进程
/etc/rc2.d/S89nfs
statd
1024
#mvS89nfsnfsS89,并杀掉相应进程
/etc/rc2.d/S85nis
ypxfrd
778
#mvS85nisnisS85,并杀掉相应进程
/etc/rc2.d/S95docview
/usr/lib/apache/bin/httpd-d/usr/lib/docview-f/usr/lib/docview/conf/httpd.co
8457
#mvS95docviewdovviewS95,并杀掉相应进程
其中:
杀死进程:
kill-9PID号
刷新进程:
kill–HUPPID号
可以使用lsof命令来查看开放端口和进程的对应。
关闭后系统开放tcp端口情况:
2、限制可以su的帐户
AccountManager——选择帐户——Users——Authorizations——从Authorized框中移除su权限(默认所有用户都有su权限)。
3、使用SSH替代TELNET进行维护连接
采用SSH方式取代telnet进行远程登录时,传输的数据都经过加密,比telnet有较高的安全性(SCO507自带SSH,无需安装)。
ScoOpenserver的SSH安装包在综合管理服务器/work/sco/ScoSSH,目录中有ScoOpenserver中安装SSH服务所需的三个软件包。
下载后用tar分别解开各软件包,并用CustomMedia依次严格按以下顺序安装各软件包。
zlib-1.1.4---unencumberedlosslessdata-compressionlibrary(ver1.1.4)
prngd-0.9.25---PseudoRandomNumberGeneratorDaemon(ver0.9.23)
Openssh-3.4pl---SecureShellremoteaccessutilities(ver3.4p1)
安装完成后,即可发现系统启动了SSHD进程。
安装完ssh后编辑/etc/init.d/prngd文件,用#注释以下几行:
if[-f"$lock_file"]
then
echo"Alreadyrunning,accordingtolockfile:
$lock_file"
exit0
fi
这样,每次系统重启后ssh就会自动启动,而无需人工去启动ssh服务。
#ps–ef|grepssh
root3971008:
22:
44?
00:
00:
00/usr/local/sbin/sshd
然后在用户的根目录的.profile文件的PATH的:
后加入/usr/local/bin这个路径,如PATH=/bin:
/etc:
/usr/bin:
/tcb/bin:
/usr/local/bin
安装完成后,就可使用ssh命令了,命令格式为
ssh[options]host[command]
其中,options可使用-luser参数,user为远程主机用户名。
配置为只能使用安全性更高的sshv2来接
vi/etc/ssh/sshd_config,将#Protocol2,1修改为Protocol2,重启sshd服务。
Kill–HUPsshpid
4、FTP服务安全设置
如果需启用ftp服务,需禁止系统默认帐号使用ftp服务。
编辑/etc/ftpusers文件,使之内容包括系统的默认帐号和不使用ftp服务的帐户。
chmod644/etc/ftpusers
同时启用FTP日志
(1)修改/etc/syslog.conf文件,并加入一行:
daemon.infoFileName
其中FileName是日志文件的名字,它会跟踪FTP的活动,包括匿名和其他用户ID。
FileName文件必须在做下一步骤前创建。
(2)运行"kill–HUPsyslogd-pid"命令刷新syslogd后台程序。
(3)修改/etc/inetd.conf文件,修改下面的数据行:
ftpstreamtcpnowaitroot/usr/sbin/ft
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ScoOpenserver 操作系统 安装 配置 规范 年月 修订