【www.myl5520.com--读书名言】
主机加固操作手册(AIX)
篇一:aix主机修改密码
AIX加固操作手册
第1页 共7页
第2页 共7页
第3页 共7页
第4页 共7页aix主机修改密码。
第5页 共7页
AIX数据库服务器主机安全方案
篇二:aix主机修改密码
数据库服务器主机安全方案
主机环境
服务器类型:IBM P740(8205-E6B),2台 操作系统:AIX 6.1
本机磁盘:2路镜像磁盘组,每个磁盘容量300GB(实际可用280G) 内存:32GB
外接存储:IBM 2076 FC Disk,1TB 数据库软件:Oracle 11g R2 RAC
方案描述
### 安全性原则 ###
用户被赋予唯一的用户名、用户ID(UID)和口令。用户登陆后,对文件访问的合法性取决于UID。
文件创建时,UID自动成为文件属主。只有文件属主和root才能修改文件的访问许可权。 需要共享一组文件的用户可以归入同一个组中。每个用户可属于多个组。每个组被赋予唯一的组名和组ID(GID),GID也被赋予新创建的文件。
### root特权的控制 ###
严格限制具有root特权的人数。如需获得root特权,需向主管方进行申请,说明缘由和要进行的操作以及使用时间。
root口令应由系统管理员以不公开的周期进行更改。 不同的机器采用不同的root口令。
系统管理员应以未公开的用户登录,然后用su命令切换到root用户 root的PATH环境变量不要随意更改。
注意:为防止配置错误对系统造成影响,安全方案实施之前,请先对/etc目录的内容进行备份。
数据库服务器主机安全方案包括身份鉴别、访问控制、安全审计、剩余信息保护、资源控制等5个方面的内容。
1.1 身份鉴别
身份鉴别部分的内容涉及密码复杂度、密码有效期、身份验证失败处理、限制远程连接用户、鉴别信息加密等方面。
1.1.1 a) 是否对登录操作系统和数据库系统的用户进行身份标识和鉴别登录操作系统和数据库系统,均需要通过用户名和密码进行验证
检查/etc/passwd文件,第二列值为!的用户已经设置密码,为*的未设置密码. 用passwd命令为所有未设置密码的用户设置密码 # passwd [username]
1.1.2 b) 操作系统和数据库系统管理用户身份标识是否具有不易被冒用的特点,口令是否有复杂度要求并定期更换
以下以wsj用户为例,设置密码的复杂度和有效期。
### 创建账户 ### mkuser wsj
paswwd wsj
wsj用户第一次登录时,要求修改密码
### 口令复杂度 ###
口令必须具备采用3种以上字符、长度不少于8位并定期更换;
记录帐户原来属性: lsuser wsj
密码长度不小于8 chuser minlen=8 wsj
至少包含1个字母 chuser minalpha=1 wsj
至少包含1个非字母数字 chuser minother=1 wsj
### 口令有效期 ###
口令最长有效期为12周
chuser maxage=12 wsj
### 设置口令与前面5个口令不能重复 ### chuser histsize=5 wsj
1.1.3 c) 是否启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出 等措施
以下以wsj用户为例,设置用户登录失败锁定。
### 登录失败处理 ###
设置6次登陆失败后锁定帐户 chuser loginretries=6 wsj
解除锁定的方法:将/etc/security/lastlog文件中wsj用户的unsuccessful_login_count值修改为0
1.1.4 d) 当对服务器进行远程管理时,是否采取必要措施,防止鉴别信息在网络传输过程中被窃听
### 远程管理时应启用SSH等管理方式,加密管理数据,防止被网络窃听。### 查看sshd服务是否开启:
1.1.5 e) 是否为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性
1.2 访问控制
1.2.1 a) 是否启用访问控制功能,依据安全策略控制用户对资源的访问 制定严格的访问控制安全策略,根据策略控制用户对应用系统的访问,特别是文件操作、
操作系统的管理员用户为root
Oracle数据库系统的用户为oracle,cluster用户为grid
数据库访问等,控制粒度主体为用户级、客体为文件级。
1.2.2
b)是否根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限
操作系统的管理员用户为root(组为root),Oracle数据库系统的用户为oracle(组为oinstall等),cluster用户为grid
设置umask,系统缺省值为022。
查看用户的umask:
# umask
如需修改,在/etc/profile或用户home目录下的.profile中加入如下一行内容(以027为例):
umask 027
检查和系统安全相关的几个配置文件的访问权限。
1.2.3 c) 是否实现操作系统和数据库系统特权用户的权限分离 区分root和oracle,grid用户权限。
1.2.4 d) 是否限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令 为每一个系统默认帐户重设口令。方法详见1.1.2节。
1.2.5 e) 是否及时删除多余的、过期的帐户,避免共享帐户的存在 检查系统账户之外多余和过期的帐户并删除。以test用户为例:
# rmuser test
1.3 安全审计
1.3.1 a) 审计范围是否覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户 操作系统用户的审计由主机的审计服务进行管理,数据库用户的审计由Oracle数据库系统来管理。 1.3.2
b) 审计内容是否包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件aix主机修改密码。
用# audit query命令查看系统的audit服务是否开启,以及审计哪些事件和对象
aix主机参数配置方法
篇三:aix主机修改密码
1.主机文件系统设置大小如下: /usr/dt/bin/dtconfig -e
2、数据库服务器操作系统patch: -操作系统打到最高补丁
3、主机的系统参数和其他配置要求:
3.1 操作系统参数要求:aix主机修改密码。
3.1 考虑BSS平台每卷组中的裸设备数量较多,在创建VG时,为避免lv个数限制,建议大家建成Scalable类型的VG,同时Scalable可直接避免oracle读取数据文件头错误;
lv需做stripe,stripe unitsize为32K,stripe width 8,具体此项配置和数据库服务器配置要求应由庄斌撰写负责。
3.2 rootvg要做mirror镜像
修改方法:
vmo -p -o lru_file_repage=0 vmo -p -o maxperm%=90 vmo -p -o minperm%=3 chdev -l sys0 -a maxpout=320 chdev -l sys0 -a minpout=240 chdev -l sys0 -a ncargs=16 vmo -p -o maxclient%=90
maxuproc的调整
# smit chgsys
选择Maximum number of PROCESSES allowed per user 项配置为:4096
aio状态调整
smit dev
选择Asynchronous I/O 后,出现
Posix Asynchronous I/O
Asynchronous I/O (Legacy)
两选项都需要做修改,结果如下:
FLOATING licensing修改 smit system
选择Change / Show Number of Licensed Users ,修改结果如下:
3.4 双机Hacmp同步时钟修改为10 默认60
4. 主机上安装的应用软件版本要求如下:
tuxedo 10
ORACLE 10g 服务端(10.2.0.4) ORACLE 10g 客户端(10.2.0.4) weblogic 10.3