ScoOpenserver操作系统安装配置规范年月修订Word格式文档下载.docx

1、本安装配置规范适用于PC服务器上安装Sco V5.05、V5.06版和V5.07版本，本安装过程以V5.07为例。除条文中特别规定适用范围的，本安装配置规范条文适用于总分行的生产、研发和测试等环境。Sco Openserver操作系统安装配置规范 1版权申明 2适用范围 2一、PC服务器的硬件配置要求（生产环境必须满足，研发测试环境供参考） 4二、操作系统安装过程 41、安装前的准备 42、安装过程 53、安装过程注意事项 14三、操作系统配置步骤 141、安装网卡驱动： 142、配置用户license 163、建立文件系统 174、挂载文件系统 195、创建用户和组 216、修改内核参数 2

2、27、安装中文包 248、部署NTP（生产环境必须设置，研发测试环境供参考） 24四、操作系统的安全设置步骤 241、关闭不必要的服务端口或服务进程 252、限制可以su的帐户 273、使用SSH替代TELNET进行维护连接 274、FTP服务安全设置 285、合理设置帐号用户 296、设置密码策略（生产环境必须设置，研发测试环境供参考） 297、系统其它安全方面的设置步骤 30五、部署监控 311、部署生产系统主备比对脚本（生产环境必须设置，研发测试环境供参考） 312、部署Tivoli（生产环境必须设置，研发测试环境供参考） 32一、PC服务器的硬件配置要求（生产环境必须满足，研发测试环境

3、供参考）1.生产前置服务器硬件中CPU主频，个数和内存容量，根据具体应用的实际需要进行配置，不要让系统负担过重以至于影响到前端的应用。使用sar或vmstat命令监控， CPU的压力不应长时间高于60，如长时间高于60，建议升级更换前置机。2.硬盘故障是危害最大，也是服务器中比较常见的故障之一，为保障前置系统硬盘数据安全，生产前置服务器应配置阵列卡，并且采用Raid1，1+0，5，5+0或更高级的RAID方式配置阵列，优先考虑使用Raid 1+0, 5+0的阵列模式，并且建议配置热备援盘（hot spare）,以保障硬盘数据的安全。3.对于每台生产前置服务器上的网卡或其他板卡，应该配置备用网卡

4、或板卡。生产IP地址优先使用PCI插槽网卡，将主板网卡作为备用网卡。4.生产用PC服务器应该配置双电源模块。二、操作系统安装过程本篇安装文档以HP DL380 G5为例，其他型号服务器在加载驱动的步骤上可能会有所不同，但其他安装过程基本相同。1、安装前的准备在HP的官方网站搜索HP DL380的raid卡驱动和网卡驱动，下载DL380 G5的驱动放在电脑目录里面，raid驱动为01_BTLD,网卡驱动为VOL.000.000。制作网卡驱动盘：确认Rawrite程序和01_BTLD在同一个目录下，将01_BTLD改名为1.img,执行Rawrite，按照以下图示填写内容做好raid卡的驱动软盘后

5、将其插入PC服务器专用软驱上。2、安装过程放入sco5.07光盘，以cd-rom优先引导顺序模式开机启动系统，在boot画面输入defbootstr link=HPsas，并按下enter键（此命令为加载HP raid卡驱动）回车显示版权说明，点击“继续”选择Accept选择光盘位置，按照默认的选择选择键盘语言，用默认的US English填写操作系统软件license选择Fresh安装输入系统名称，Time zone选择China Standard TimeSecurity profile选择Tradition如果本系统是数据库应用，则要选择Database services为Yes；同时除

6、非应用程序有特殊要求，则应该选择不安装图形界面，这样即可以减少不必要的系统开销，同时也意味者更可能少的安全隐患；选择Hard disk setup调整硬盘空间，选择Optional software选择安装的软件选择customizeTotal available space on disk是硬盘总大小，Size of UNIX partition是根分区的空间大小，建议设置成515G左右（应用目录和数据目录需要单独建立文件系统空间，不能直接放置在根文件系统空间下），Size of OTHER partition是未分配空间大小。（ Selecting optional Software：Op

7、erating system services全选；Volution Manager全选；Connectivity这项选择：Network Adapter Drivers ,open secure shell, TCP/IP Runtime system；Internet services全不选Documentation选择Unix English DocumentationMail , Mail Reader English Documentation, Network Adapter Driver English DocumentationLanguage Support全不选选择Acce

8、pt above choices，继续往下输入系统密码在之后的安装过程中还会有一个选项，一般情况下我们选择第二项fd1（外置软驱）操作系统安装完后，需安装必要的补丁。生产前置系统操作系统安装5.05版本的，必须安装补丁RS505A或更新补丁。安装5.06版本的，必须安装补丁RS506A，同时安装OSS648C，OSS651B或更新补丁。安装5.07版本的，必须安装补丁osr507mp5（Maintenance Pack 5）或更新补丁。可以用#hw v r cpu查看操作系统识别到的CPU的类型和主频。对于以上补丁在Sco的官方网站或者ftp到综合管理服务器的/work/sco/patches

9、可以下载。3、安装过程注意事项（1）即除非应用程序有特殊要求，则应该选择不安装图形界面，这样即可以减少不必要的系统开支，同时也意味者更可能少的安全隐患；同时要选择支持数据库。（2）选择安装必要的组件和软件包，删除不用的组件和软件包，不允许在生产环境上安装编译开发环境。Sco操作系统带有很多组件和软件包，在进行系统规划和配置时总的原则应该是只安装必要的组件和软件包，删除（不安装）不需要的组件或软件包。同时规定不准在生产系统上安装编译开发环境。三、操作系统配置步骤进入系统后执行以下命令（确认网卡驱动盘已经插入外置软驱里）：#mount /dev/fd1135ds18 /mnt（将外置软盘mount

10、到mnt上面）#cp /mnt/ VOL.000.000 /tmp（如果网卡驱动原来的名字不是VOL.000.000，请改名）#chmod 750 /tmp/VOL.000.000 （更改VOL.000.000的权限）#scoadmin，选择Software Manager-software-Install New选择：from 主机名-continue 再选择Media Images，输入“/tmp” ,continue便自动开始安装网卡配置：执行：scoadmin-networks-Network Configuration Manager-Hardware-Add new LAN ada

11、pter选择刚装好的网卡接下来配置网卡的IP地址：选择新网卡的SCO TCP/IP用Protocol的Modify protocol configuration打开安装完退出scoadmin后会有提示，回车选择Y。重启操作系统，使IP地址生效。#shutdown y g0 i62、配置用户license进入系统后执行scoadmin，选择License Manager-License Additional Users输入License Number,License Code,License Data，详见license文件.3、建立文件系统Fdisk 说明以及相关指令一览：1.Display

12、current disk parameters（显示参数） 2.Use Entire Disk for UNIX（把所有硬盘空间分配给UNIX） 3.Use Rest of Disk for UNIX（将剩余的硬盘空间分配给UNIX） 4.Create UNIX Partition（创建UNIX分区） 5.Activate Partition（激活分区） 6.Delete Partition（删除分区） 7.Create Partition（创建分区） 注意：在增加分区的过程中请选择4，勿选7，第7项会将系统分区删除导致系统瘫痪）运行fdisk,选择1查看文件系统状况Partition1的大小

13、在安装过程中已经设置过了， Fdisk-（选择4）-因为partition1和partition2为两个连续块，第2块的开始字节为第1块末尾字节+1Enter partition number or q to return:2（建立Partition2）Enter starting track number, or 640001（因为Partition1的End为162539）Enter partition size in tracks, or 1500000（输入所要建立Partition2的大小）建立完Partition后，输入divvy m /dev/hd02对刚创建的文件系统进行初始化

14、（输入7，最多可建立7个块），以后划分Partition2只需要用divvy /dev/hd02就可以了（/dev/hd00和/dev/hd01为系统的根分区，不要修改）举例我们要划分 xtjk，logfs,fhjk三个文件系统运行divvy /dev/hd02选择n，给0，1，2区命名：xtjk logfs fhjk选择t，给0，1，2区选择HTFS格式的文件系统，如果是裸设备，比如数据库的chunk空间就选择NON FS格式。选择s,e 设置开始和结束的block给0，1，2区划分空间大小，同fdisk使用方法。划分完按q退出，选择i执行操作。4、挂载文件系统执行scoadmin-File

15、systems- Filesystem Manager以下为假设的挂载位置在A机执行scoadmin-Filesystems- Filesystem Manager- Add Mount Configuration-Local.按照如下填写（假设mount的目录是/usr/xtjk）：应用文件系统应只能建一级文件系统，以避免因挂载文件系统的先后顺序导致文件系统内容的覆盖。5、创建用户和组运行scoadmin- Account Manager，在view下可分别查看用户（user）和组（group）。记录用户和组的名字和ID号，以及对应的文件系统的挂载地址假设为以下配置：（50之前的组是系统自带

16、的，79之前的用户是系统自带的）新建立的用户组是：informix 100新建立的用户是：执行scoadmin,选择Account Manager-，Add New Group,按照配置填入，添加informix组。执行scoadmin,选择Account Manager- Add New User,按照配置填入，添加informix用户。6、修改内核参数NOFILES：单个进程在任何时刻可同时打开文件的数量，默认值112修改为1024或以上MAXUP：同一个用户允许并发的最大进程数，默认值为100修改为1024或以上执行scoadmin,选择Hardware/Kernel Manager -

17、 Kernel，Tune Parameters.,选择7，7、安装中文包在必要情况下，可选择安装中文包，以SCO507为例从ftp至综合管理服务器/work/sco/取得CCEV.PKG安装命令是pkgadd d /tmp/CCEV.PKG（绝对路径）输入1，再输入序列号和密码需要在/etc/profile里面加两条并执行后才能正常显示中文：LANG=en_US.ISO8859-1export LANG8、部署NTP（生产环境必须设置，研发测试环境供参考）（1）ftp至该网段的综合管理服务器,在/home/xtjk/ntp目录下获取配置文件/etc/rc2.d/S58ntpd，/etc/ntp

18、.conf，ntp_aix.sh的tar包ntp_sco _12client.tar,并在服务器上解tar（2）ps -ef|grep -v root确认无应用和数据库后，使用ntp_aix.sh进行NTP部署（3）启动服务后可以用以下命令查看同步状态：ntpq -c pe，看IP地址前是否有*，有这个标记后表示已经锁定时间源。ntpq -c rv，看stratum是否为2，为2代表已经锁定时间服务器， 看rootdispersion是否慢慢收敛，小于10（ms）就收敛的很好了，同步一天后可能会收敛到1（ms）以下，不过收敛的程度和网络状况相关。四、操作系统的安全设置步骤 Sco Opense

19、rver自身内建了丰富的网络功能，具有较好的稳定性和安全性，但是，如果没有对系统进行正确的设置，就会给入侵者以可乘之机。因此，在对系统进行配置的同时，必须把安全性问题放在重要的位置。在操作系统的层面上进行合理规划、配置，避免因管理上的漏洞而给应用系统造成风险。1、关闭不必要的服务端口或服务进程Sco系统安装完默认启动很多网络服务，对很多网络端口连接进行监听，而对这些服务进程和端口必须进行关闭，以杜绝不必要的安全隐患。其中ftp、telnet、rcmd、rlogin和finger等子进程都由inetd来启动对应的服务进程。因此，从系统安全角度出发，要合理地设置/etc/inetd.conf文件，

20、将一切不必要的服务关闭。关闭的方法是在文件相应行首插入“#”字符，并执行命令kill HUP 使配置后的命令立即生效，其他网络服务进程和端口关闭见下表：Sco操作系统端口和服务进程对于表及如何关闭服务端口（以Sco V5.07为例）启动文件进程端口解决办法（永久关闭端口）超级服务子进程类：/etc/inetdtcpmux1/etc/inetd.conf注释相关行，并刷新inetd进程echo7discard9chargen13daytime19ftp21telnet23time37finger79pop3110imap143exec512login513shell514其他服务进程类：/etc

21、/rc2.d/P86sendmailsendmail25#mv P86sendmail sendmailP86/etc/rc2.d/P93scohttpdscohttpd457#mv P93scohttpd scohttpdP93/etc/rc2.d/P90apche/usr/lib/apache/bin/httpd80#mv P90apache apacheP90，并杀掉相应进程/etc/rc2.d/S84rpcinitPortmap（rwalld，rusersd）111#mv S84rpcinit rcpinitS84，并杀掉相应进程/etc/rc2.d/S85tcp里面注释：/etc/s

22、nmpdsnmpd199S85tcp文件里注释/etc/snmpd一行，并杀掉相应进程/etc/rc2.d/S89nfsstatd1024#mv S89nfs nfsS89，并杀掉相应进程/etc/rc2.d/S85nisypxfrd778#mv S85nis nisS85，并杀掉相应进程/etc/rc2.d /S95docview/usr/lib/apache/bin/httpd -d /usr/lib/docview -f /usr/lib/docview/conf/httpd.co8457#mv S95docview dovviewS95，并杀掉相应进程其中：杀死进程：kill -9 P

23、ID号刷新进程：kill HUP PID号可以使用lsof命令来查看开放端口和进程的对应。关闭后系统开放tcp端口情况：2、限制可以su的帐户Account Manager选择帐户UsersAuthorizations从Authorized框中移除su权限（默认所有用户都有su权限）。3、使用SSH替代TELNET进行维护连接采用SSH方式取代telnet进行远程登录时，传输的数据都经过加密，比telnet有较高的安全性（SCO 507自带SSH，无需安装）。Sco Openserver的SSH安装包在综合管理服务器/work/sco/ScoSSH，目录中有Sco Openserver中安装S

24、SH服务所需的三个软件包。下载后用tar分别解开各软件包，并用Custom Media依次严格按以下顺序安装各软件包。zlib-1.1.4 - unencumbered lossless data-compression library （ver 1.1.4）prngd-0.9.25 - Pseudo Random Number Generator Daemon （ver 0.9.23）Openssh-3.4pl - Secure Shell remote access utilities （ver 3.4p1）安装完成后，即可发现系统启动了SSHD进程。安装完ssh后编辑/etc/init.

25、d/prngd文件,用注释以下几行： if -f $lock_file then echo Already running, according to lock file: $lock_file exit 0 fi这样，每次系统重启后ssh就会自动启动，而无需人工去启动ssh服务。#ps ef|grep sshroot 397 1 0 08:22:44 ? 00:00:00 /usr/local/sbin/sshd然后在用户的根目录的.profile文件的PATH的：后加入/usr/local/bin这个路径，如PATH=/bin:/etc:/usr/bin:/tcb/bin:/usr/loc

26、al/bin安装完成后，就可使用ssh 命令了，命令格式为ssh options host command其中，options 可使用 -l user 参数，user为远程主机用户名。配置为只能使用安全性更高的ssh v2来接vi /etc/ssh/sshd_config, 将#Protocol 2,1 修改为Protocol 2，重启sshd服务。Kill HUP sshpid4、FTP服务安全设置如果需启用ftp服务，需禁止系统默认帐号使用ftp服务。编辑/etc/ftpusers文件,使之内容包括系统的默认帐号和不使用ftp服务的帐户。chmod 644 /etc/ftpusers同时启用FTP日志（1）修改/etc/syslog.conf文件，并加入一行：daemon.info FileName其中FileName是日志文件的名字， 它会跟踪FTP的活动，包括匿名和其他用户ID。FileName文件必须在做下一步骤前创建。（2）运行kill HUP syslogd-pid命令刷新syslogd 后台程序。（3）修改/etc/inetd.conf文件，修改下面的数据行：ftp stream tcp nowait root /usr/sbin/ft