AIXV71操作系统安装配置规范.docx

1、AIXV71操作系统安装配置规范AIX7.1操作系统安装配置规范文档信息项目名称：AIX7.1操作系统安装配置规范文档版本号：1.0文档作者：环境保障二处生成日期：2015年7月文档审核者：环境保障二处审核日期：文档维护记录版本号维护日期作者/维护人描述1.02015-7-7环境保障二处根据中心内部相关处室讨论意见及部门会商意见修订，形成正式文档2015年7月信息科技部适用范围本安装配置规范适用于AIX V7.1版。除条文中特别规定适用范围的，本安装配置规范条文适用于总分行的生产、研发和测试等环境。鉴于AIX7.1操作系统小版本在不断变化中，且还分为express、standard、enter

2、prise三个版本，本文档根据standard版安装过程截取步骤及截图，若安装其他版本操作系统，文档中所涉及的步骤或截图可能与实际环境有所差异，请注意结合实际情况做出判断。一、硬件配置要求(生产环境必须满足，研发测试环境供参考)AIX操作系统适用于IBM 小型机和刀片式基于Power系列芯片开发的机型，相应的硬件要求建议如下：双电源模块冗余配置（拷机过程中需进行电源冗余测试工作）。生产系统小型机原则上应至少配置四块内置硬盘，其中两块建立rootvg用于安装操作系统，另外两块建立datavg用于存储应用程序和数据。生产系统小型机原则上应配置两张SCSI卡冗余配置（每个VG至少由位于不同SCSI卡

3、两块硬盘进行镜像）。一个生产用IP地址需要配备两块网卡互相冗余，以实现双网卡的负载均衡、热备份或者冷备份；生产IP地址优先使用PCI插槽网卡，将主板上网卡作为备用网卡。二、操作系统安装过程(一)准备工作(二)1.检查终端、键盘是否与主机正确连接。2.3.打开外设及主机电源开关（先外设后主机）。4.5.把安装介质（操作系统光盘第一张）放入驱动器。6.(三)安装过程(四)1.主机加电后，当系统发出两次蜂鸣声时，屏幕上将不断显示硬件启动代码信息，几分钟后出现画面，需要用户选择“1=SMS Menu”进入SMS菜单进行相关设置，使得系统从光盘引导。2.根据机型不同，有的机型会出现选择语言和修改密码的菜

4、单，可选择修改admin密码为admin3.4.设置小型机启动参数。5.选择“5.Select Boot Options”。选择“1.Select Install/Boot Device”选择“7.List all Devices” 选择“1.IDE CD-ROM”根据机型不同该菜单有所不同，可翻页选择CD-ROM，新机型选择SATA CD-ROM6.选择“2.Normal Mode Boot”正常模式引导，而后选择“YES”退出SMS菜单（图略）。7.稍等几分钟。8.9.显示器（终端）显示：要求用户选择控制台。键入“1”并回车（注意：键入的“1”不回显）定义当前设备为主控台。10.11.要求

5、用户选择安装语言环境，键入“1”后回车，选择语言环境为English.12.13.此后屏幕出现系统安装和维护的主菜单，需要改变一些设置选项再进行BOS(基本操作系统)的安装.14.15.改变安装设置：16.在上面菜单中，键入“2”并回车，屏幕出现“Install and Setting”画面：这是系统安装的默认设置，用户应该根据需要进行修改。选择：完全覆盖安装（New and Complete Overwrite），键入“1”：（进入菜单更改安装方式）17.安装方式的更改：如图所示：键入“1”将安装方式改为New and Complete Overwrite.18.选择安装操作系统的目的硬盘：

6、此处为选择安装系统到哪一块（或几块）硬盘。键入“1”，安装到hdisk0.此时会在hdisk0前出现来表明系统将安装至该硬盘。选好后选择：“0”继续。19.选择完毕后应显示如下：20.键入5 将Select Edition从express更改为standard。一般机器购置时配套的AIX7.1光盘均为standard版，所以这里选择更改为standard。如果机器购置时配套的AIX7.1光盘为enterprise版，则选择enterprise。关于AIX7.1上述三个edition的说明,请参考IBM官网如下链接说明。21.设置完毕选择0，会出现“Overwrite Installation

7、Summary”，列出当前覆盖安装设置的小结，选择1。22.开始安装BOS，屏幕将不断显示安装的进度。当BOS安装完毕，系统将自动重启。23.系统重启后进入如下界面，选择终端类型为vt10024.25.接受软件许可协议选择Accept License Agreements，回车，运行OK后，Esc + 0退出，进入如下界面。26.软件维护协议选择Accept Software Maintenance Terms and Conditions，回车，运行ok后，按Esc + 0 退出，进入到Installation Assistant界面。27.安装助手界面选择Tasks Completed -

8、 Exit to Login，回车，进入登录操作系统界面。(五)其他软件包的安装(六)选择安装如下软件包，这些软件包用于系统性能监控和分析：bos.adt,bos.cifs_fs,bos.clvm,pat,bos.content_list,bos.cpr, bos.dlc,bos.dosutil,bos.installers,bos.lrn,bos.mls,bos.perf.gtools,bos.svpkg,bos.sysmgt,bos.data，安装完毕后，使用如下命令检查软件包的一致性#lppchk -v #lppchk -l 三、操作系统的配置步骤(一)修改时区(二)#smit -Sys

9、tem Environments-Change / Show Date and Time-Change Time Zone Using System Defined Values选择Asia/Shanghai，时区修改后需重启系统使修改生效。最终结果如下图。(三)修正操作系统时间(四)#smit date (五)修改root用户的密码(六)以root登录，直接输入passwd手动输入新密码。(七)修改机器名(八)#smit hostname在HOSTNAME输入对应的主机名。(九)修改操作系统属性参数(十)#smit chgsys单用户最大进程数：Maximum number of PROCE

10、SSES allowed per user：128 8192；启用磁盘IO历史记录：Continuously maintian DISK I/O history: falsetrue； 打开full core dump 设置:Enable full CORE dump: false -true；(十一)设置系统dump(十二)#smit dumpAlways ALLOW System Dump:false - true； 执行Show Estimaged Dump Size，根据估算的dump大小调整主dump设备大小，保证主dump设备大小要高于估算的dump大小，AIX 7.1中主dump

11、设备为/dev/lg_dumplv。(十三)VG创建及配置(十四)VG创建以创建datavg为例，一般情况下，卷组类型选择为Scalable VG（三种卷组类型参数比较附后），datavg选择创建在两张不同SCSI卡上的硬盘上（hdisk1、hdisk3），卷组上的PP大小设置为512M。三种卷组类型比较卷组类型MAX PPs per VGMAX PPs per PVMAX PVsOriginal Volume Group32512101632Big Volume Group1300481016128Scalable Volume Group327681024注：只有Scalable Volu

12、me Group 可以更改MAX PPs per VG#smit mkvg- 选择Add a Scalable Volume Group-Volume GROUP namedatavg- Physical partition SIZE in megabytes512- PHYSICAL VOLUME nameshdisk1 hdisk3，截图如下所示。关闭datavg的QUORUM#smit chvg-选择datavg-A QUORUM of disks required to keep the volume group online选择norootvg配置镜像一般情况下，rootvg选择位于

13、另一张不同SCSI卡上的hdisk2给hdisk0做镜像，先把hdisk2加入rootvg，再执行镜像操作#extendvg -f rootvg hdisk2#smit mirrorvg如下图所示：rootvg镜像做完后，刷新引导映像#bosboot -ad /dev/hdisk2#bootlist -m normal hdisk0 hdisk2另外，此时lg_dumplv不会自动镜像，需要通过smit mklvcopy菜单来为这个lg_dumplv来做镜像，copy数指定为2，并指定synchronize the data为yes,如下图所示：做完后可以看到PP的数量已为LP的两倍，即cop

14、y数为2datavg配置镜像注意确保该VG中jfs2log所在lv需做镜像。通常datavg的镜像是由创建lv时选择copy数为2来指定，而第一次创建文件系统时自动产生的jfs2log（通常名为loglv0X）是不带镜像的，故需要通过smit mklvcopy菜单来为这个loglv00来做镜像，copy数指定为2，并指定synchronize the data为yes，如下图所示:做完后可以看到PP的数量已为LP的两倍，即copy数为2(十五)修改系统交换空间(十六)查看系统内存：#lsattr -El mem0，查看系统原有的交换空间：#lsps -a虚拟内存设置大小设置规则建议如下，具体可

15、以根据应用程序运行情况来进一步调整优化。2G以下内存，交换空间配置为2G或2G以上；2G-8G内存，交换空间配置为内存的一半或与内存一样大；8G以上内存，交换空间配置内存的一半到内存同样大小；#smit pgsp(十七)激活串口(十八)#smit tty修改机器上的各串口tty(vty)*都设置成Available 和Enable LOGIN：(十九)修改IP地址和路由设置(二十)#smit inet设置IP地址、掩码，更改状态为UP。#smit route(二十一)建立逻辑卷worklv(二十二)在rootvg上创建worklv，用于创建/work文件系统，用来存放安装介质。#lsvg ro

16、otvg(查询1PP的大小),这里1PP=256MB在这里我们分配给worklv 1GB空间，也就是4PP。实际工作中可以根据需要来创建更大的逻辑卷。#smit mklv(二十三)创建文件系统(二十四)创建文件系统原则：当一级文件系统未设置为自动挂载时，只能创建并使用一级文件系统，不允许在该一级文件系统下创建二级文件系统，以避免因挂载文件系统的先后顺序导致文件系统内容被覆盖。创建文件系统步骤：#smit jfs2建立文件系统（worklv逻辑卷已预建）挂载文件系统#mount /work扩大操作系统类文件系统/，/var，/tmp，/home文件系统空间严格规定应用数据或应用日志不能写到这四个

17、文件系统空间内，尤其是/tmp文件系统空间。 /，/var，/tmp和/home文件系统空间至少扩大到2G以上（含2G）。(二十五)系统内核参数调优(二十六)#smit tuning-Tuning Network Option Parameters- Change / Show Current Parameters-somaxconn: 1024调整为4096clean_partial_conns: 0调整为1使用下列命令查看并确认已经修改：#no -a |grep somaxconn#no -a clean_partial_conns#smit tuning-Tuning Network O

18、ption Parameters-Save Current Parameters for Next Boot内存参数调整：除文件服务器外，建议将文件系统（JFS/JFS2）使用内存比例都限制在50%以下。参数缺省值目标值更改参数命令行参数说明maxperm%90%50%vmo -p -o maxperm%=50限制JFS文件系统使用内存比例maxclient%90%50%vmo -p -o maxclient%=50限制JFS2文件系统使用内存比例 注意执行上面表格中vmo命令时先改maxclient%，再改maxperm%。(二十七)系统资源参数调整(二十八)#vi /etc/securit

19、y/limitsfsize = 2097151-1 data = 262144-2097152rss = 65536-1048576stack = 65536-1048576nofiles = 2000-80000(二十九)配置安全连接软件ssh(三十)1.安装OpenSSH软件，要求版本 6.0.0.6200或以上，Openssl版本为1.0.1.512或以上，有的AIX7.1补丁级别光盘可能会在安装系统时默认安装OpenSSH。系统自带的版本不满足需求，需手动另行安装，可到ftp:/168.1.6.23/software/system/aix/tools/openssh/AIX71/下载该

20、版本的openssh和openssl，按照先装Openssl再装Openssh的顺序进行安装。软件包装完后用lslpp -l查看类似如下：2.3.sshd服务的启动和关闭4.#lssrc -s sshd 查看sshd服务进程的状态#startsrc -s sshd 启动sshd服务进程#stopsrc -s sshd 关闭sshd服务进程5.配置只能使用安全性更高的ssh v2来连接6.修改系统/etc/ssh/sshd_config protocal权限设置为2，重启sshd服务 #stopsrc -s sshd#startsrc -s sshd 7.安装完成后，就可使用ssh和sftp命令

21、了，命令格式为8.ssh options host command其中，options 可使用 -l username 参数以及-p port 参数，username为远程主机用户名，port为端口。#sftp usernamehost，其中username为远程主机用户名，host为远程主机IP地址。(三十一)部署NTP服务(生产环境必须设置，研发测试环境供参考)(三十二)1.ftp至该网段的综合管理服务器,在/home/xtjk/ntp目录下获取配置文件/etc/rc.d/rc2.d/Sntpd，/etc/ntp.conf，ntp_aix.sh的tar包 (不同机构，sh文件内SERVER

22、_IP时间服务器地址可能不同) ，例如至12网段综合管理服务器上取得ntp_aix_ 12client.tar,并在本机上解tar。2.3.ps -ef|grep -v root确认无应用和数据库后，使用ntp_aix.sh进行NTP部署4.5.启动服务后可以用以下命令查看同步状态：6.ntpq -c pe，查看IP地址前是否有*，有这个标记后表示已经锁定时间源。ntpq -c rv，查看stratum是否为2，为2代表已经锁定时间服务器， 查看rootdispersion是否慢慢收敛，小于10（ms）就收敛的很好了，同步一天后可能会收敛到1（ms）以下，不过收敛的程度和网络状况相关。(三十三

23、)部署生产系统操作系统自动备份脚本(生产环境必须设置，研发测试环境供参考)(三十四)在客户端上部署操作系统自动备份，定期进行操作系统备份，并统一上传至该网段的综合管理服务器，对于该网段没有综合管理服务器的客户端，则要求定期使用磁带或其它方式进行操作系统备份。当客户端的操作系统需使用备份恢复安装时，使用NIMSERVER从该网段的综合管理服务器恢复安装。1.在本地datavg上建立20G的系统备份空间/xtbf2.#lsvg datavg,查看本机datavg剩余空间大小，以及每PP的大小#smit lv- Add a Logical Volume- VOLUME GROUP namedatav

24、g,Logical volume NAMExtbflv；, Number of LOGICAL PARTITIONS160（根据各服务器PP大小而定）, PHYSICAL VOLUME nameshdisk1,hdisk3, Logical volume TYPEjfs2, Number of COPIES of each logical partition 2.#smit fs- Add / Change / Show / Delete File Systems- Enhanced Journaled File Systems- Add an Enhanced Journaled File

25、System on a Previously Defined Logical Volume- LOGICAL VOLUME namextbflv, MOUNT POINT/xtbf, Mount AUTOMATICALLY at system restart?yes#mount /xtbf#chown root:system /xtbf#chmod 755 /xtbf3.从该生产网段综合管理服务器上用xtjk用户到/xtbf/bin目录上传自动备份脚本xtbfcli.sh到本机的/xtbf/bin目录.4.#cd /xtbf#mkdir bin#chown root:system /xtbf/

26、bin#chown root:system xtbfcli.sh#chmod u+x xtbfcli.sh5.用root用户，配置自动备份crontab6.#crontab -e0 1 22 3,6,9,12 * nohup sh /xtbf/bin/xtbfcli.sh &（每季度最后一个月的22号执行自动备份脚本，备份具体时间选择在应用低峰期进行）四、操作系统的安全设置步骤(一)关闭所有不必要的系统服务进程(二)操作系统的安全设置原则是：关闭所有不必要的系统服务进程，仅保留应用上需要并且经过安全认证的服务进程。1.设置inetd超级服务进程配置文件/etc/inetd.conf,停止所以不

27、需要的服务，注释所有的行项，如ftp、telnet、shell、kshell、login、klogin、exec、ntalk、daytime、time、wsmserver、xmquery，dtspcd，cmsd，ttdbserver等服务。如果有安装PowerHA7.1,则caa_cfg服务必须打开。修改inetd.conf文件后，刷新inetd服务进程。#refresh -s inetd#lssrc -ls inetd2.同时编辑/etc/inittab文件，注释掉qdaemon、writesrv、platform_agent、hrd、aso、pconsole、cas_agent（使用：进行

28、注释），系统重启时就不再启动qdaemon、writesrv等服务进程。3.4.除了syslogd, inetd这两个服务进程外，关闭sendmail portmap snmpd dpid2 hostmibd snmpmibd aixmibd等所有服务和tcpip类服务进程，在/etc/rc.tcpip文件中注释掉启动这些服务的行。5.#vi /etc/rc.tcpip注释掉除了syslogd,inetd行以外的所有服务进程。手工关闭snmp服务#stopsrc -s snmpd6.关闭nfs(网络文件服务)类服务进程，并设置为现在和重启后都关闭该服务进程。7.#smit rmnfs stop

29、 nfs STOP NFS now, system restart or both 选择both8.关闭spooler打印服务类进程。9.执行stopsrc -g spooler10.例如ctrmc，clcomd，clconfd等这些服务是较新版本操作系统上的CAA资源子系统的daemon，PowerHA/SSA/虚拟化管理等需要用到这些服务，不建议关闭。用于机器资源管理rsct_rm类进程不建议关闭。11.12.如果有安装PowerHA7.1,确认/etc/inittab文件中的clcomd服务已打开，以及/etc/inetd.conf文件中caa_cfg服务已打开。若未打开，需手动开启。13.#lssrc -g caa查看CAA状态#starsrc -g caa，进行手工启动修改inetd.conf文件后，刷新inetd服务进程#refresh -s inetd#lssrc -ls inetd 查看caa_cfg服务状态14.在启用CDE环境的服务器上必须启动portmap服务，在配置NFS服务时，portmap服务也会自动启动。15.16.以上设置完成后，进行严格检查工作，如发现还有开放的端口，应该查明是否为应用上需要开放的端口，否则一律进行关闭处理。(stopsrc -s writesrv,lpd,sendm