Sco-Openserver操作系統(tǒng)安裝配置規(guī)范(2011年1月修訂)

操作系統(tǒng)、數(shù)據(jù)庫安裝配置規(guī)范系列第4頁共35頁ScoOpenserver操作系統(tǒng)安裝配置規(guī)范文檔信息項目名稱：興業(yè)銀行操作系統(tǒng)、數(shù)據(jù)庫安裝和配置規(guī)范文檔版本號：1.0文檔作者：環(huán)境保障處生成日期：2010年8月文檔審核者：環(huán)境保障處審核日期：文檔維護記錄版本號維護日期作者/維護人描述1.02010-08-30環(huán)境保障處形成正式文檔1.12010-1環(huán)境保障處根據(jù)征求意見進行補充完善2010年12月信息科技部

版權(quán)申明本安裝配置規(guī)范版權(quán)為興業(yè)銀行所有，屬于興業(yè)銀行的內(nèi)部資料，除了興業(yè)銀行書面同意及授權(quán)外，任何單位和個人不得復(fù)制、修改、引用、出版或傳播本配置規(guī)范的全部或部分內(nèi)容。本文檔根據(jù)部門發(fā)布的《關(guān)于印發(fā)本行信息科技若干主流操作系統(tǒng)安全技術(shù)標準（2010年1月修訂）的通知》（興銀科【2010】1號文）中的SCO操作系統(tǒng)安全技術(shù)標準行修訂。適用范圍本安裝配置規(guī)范適用于PC服務(wù)器上安裝ScoV5.05、V5.06版和V5.07版本，本安裝過程以V5.07為例。除條文中特別規(guī)定適用范圍的，本安裝配置規(guī)范條文適用于總分行的生產(chǎn)、研發(fā)和測試等環(huán)境。

目錄ScoOpenserver操作系統(tǒng)安裝配置規(guī)范 1版權(quán)申明 2適用范圍 2一、PC服務(wù)器的硬件配置要求(生產(chǎn)環(huán)境必須滿足，研發(fā)測試環(huán)境供參考) 4二、操作系統(tǒng)安裝過程 41、安裝前的準備 42、安裝過程 53、安裝過程注意事項 14三、操作系統(tǒng)配置步驟 141、安裝網(wǎng)卡驅(qū)動： 142、配置用戶license 163、建立文件系統(tǒng) 174、掛載文件系統(tǒng) 195、創(chuàng)建用戶和組 216、修改內(nèi)核參數(shù) 227、安裝中文包 248、部署NTP(生產(chǎn)環(huán)境必須設(shè)置，研發(fā)測試環(huán)境供參考) 24四、操作系統(tǒng)的安全設(shè)置步驟 241、關(guān)閉不必要的服務(wù)端口或服務(wù)進程 252、限制可以su的帳戶 273、使用SSH替代TELNET進行維護連接 274、FTP服務(wù)安全設(shè)置 285、合理設(shè)置帳號用戶 296、設(shè)置密碼策略(生產(chǎn)環(huán)境必須設(shè)置，研發(fā)測試環(huán)境供參考) 297、系統(tǒng)其它安全方面的設(shè)置步驟 30五、部署監(jiān)控 311、部署生產(chǎn)系統(tǒng)主備比對腳本(生產(chǎn)環(huán)境必須設(shè)置，研發(fā)測試環(huán)境供參考) 312、部署Tivoli(生產(chǎn)環(huán)境必須設(shè)置，研發(fā)測試環(huán)境供參考) 32一、PC服務(wù)器的硬件配置要求(生產(chǎn)環(huán)境必須滿足，研發(fā)測試環(huán)境供參考)生產(chǎn)前置服務(wù)器硬件中CPU主頻，個數(shù)和內(nèi)存容量，根據(jù)具體應(yīng)用的實際需要進行配置，不要讓系統(tǒng)負擔(dān)過重以至于影響到前端的應(yīng)用。使用sar或vmstat命令監(jiān)控，CPU的壓力不應(yīng)長時間高于60％，如長時間高于60％，建議升級更換前置機。硬盤故障是危害最大，也是服務(wù)器中比較常見的故障之一，為保障前置系統(tǒng)硬盤數(shù)據(jù)安全，生產(chǎn)前置服務(wù)器應(yīng)配置陣列卡，并且采用Raid1，1+0，5，5+0或更高級的RAID方式配置陣列，優(yōu)先考慮使用Raid1+0,5+0的陣列模式，并且建議配置熱備援盤（hotspare）,以保障硬盤數(shù)據(jù)的安全。對于每臺生產(chǎn)前置服務(wù)器上的網(wǎng)卡或其他板卡，應(yīng)該配置備用網(wǎng)卡或板卡。生產(chǎn)IP地址優(yōu)先使用PCI插槽網(wǎng)卡，將主板網(wǎng)卡作為備用網(wǎng)卡。生產(chǎn)用PC服務(wù)器應(yīng)該配置雙電源模塊。二、操作系統(tǒng)安裝過程本篇安裝文檔以HPDL380G5為例，其他型號服務(wù)器在加載驅(qū)動的步驟上可能會有所不同，但其他安裝過程基本相同。1、安裝前的準備在HP的官方網(wǎng)站搜索HPDL380的raid卡驅(qū)動和網(wǎng)卡驅(qū)動，下載DL380G5的驅(qū)動放在電腦目錄里面，raid驅(qū)動為01_BTLD,網(wǎng)卡驅(qū)動為VOL.000.000。制作網(wǎng)卡驅(qū)動盤：確認Rawrite程序和01_BTLD在同一個目錄下，將01_BTLD改名為1.img,執(zhí)行Rawrite，按照以下圖示填寫內(nèi)容做好raid卡的驅(qū)動軟盤后將其插入PC服務(wù)器專用軟驅(qū)上。2、安裝過程放入sco5.07光盤，以cd-rom優(yōu)先引導(dǎo)順序模式開機啟動系統(tǒng)，在boot畫面輸入defbootstrlink=HPsas，并按下enter鍵（此命令為加載HPraid卡驅(qū)動）回車顯示版權(quán)說明，點擊“繼續(xù)”選擇Accept選擇光盤位置，按照默認的選擇選擇鍵盤語言，用默認的USEnglish填寫操作系統(tǒng)軟件license選擇Fresh安裝輸入系統(tǒng)名稱，Timezone選擇ChinaStandardTimeSecurityprofile選擇Tradition如果本系統(tǒng)是數(shù)據(jù)庫應(yīng)用，則要選擇Databaseservices為Yes；同時除非應(yīng)用程序有特殊要求，則應(yīng)該選擇不安裝圖形界面，這樣即可以減少不必要的系統(tǒng)開銷，同時也意味者更可能少的安全隱患；選擇Harddisksetup調(diào)整硬盤空間，選擇Optionalsoftware選擇安裝的軟件選擇customizeTotalavailablespaceondisk是硬盤總大小，SizeofUNIXpartition是根分區(qū)的空間大小，建議設(shè)置成5－15G左右（應(yīng)用目錄和數(shù)據(jù)目錄需要單獨建立文件系統(tǒng)空間，不能直接放置在根文件系統(tǒng)空間下），SizeofOTHERpartition是未分配空間大小。(SelectingoptionalSoftware：Operatingsystemservices全選；VolutionManager全選；Connectivity這項選擇：NetworkAdapterDrivers,opensecureshell,TCP/IPRuntimesystem；Internetservices全不選Documentation選擇UnixEnglishDocumentationMail,MailReaderEnglishDocumentation,NetworkAdapterDriverEnglishDocumentationLanguageSupport全不選選擇Acceptabovechoices，繼續(xù)往下輸入系統(tǒng)密碼在之后的安裝過程中還會有一個選項，一般情況下我們選擇第二項fd1（外置軟驅(qū)）操作系統(tǒng)安裝完后，需安裝必要的補丁。生產(chǎn)前置系統(tǒng)操作系統(tǒng)安裝5.05版本的，必須安裝補丁RS505A或更新補丁。安裝5.06版本的，必須安裝補丁RS506A，同時安裝OSS648C，OSS651B或更新補丁。安裝5.07版本的，必須安裝補丁osr507mp5(MaintenancePack5)或更新補丁?？梢杂?hw–v–rcpu查看操作系統(tǒng)識別到的CPU的類型和主頻。對于以上補丁在Sco的官方網(wǎng)站或者ftp到綜合管理服務(wù)器的/work/sco/patches可以下載。3、安裝過程注意事項（1）即除非應(yīng)用程序有特殊要求，則應(yīng)該選擇不安裝圖形界面，這樣即可以減少不必要的系統(tǒng)開支，同時也意味者更可能少的安全隱患；同時要選擇支持數(shù)據(jù)庫。（2）選擇安裝必要的組件和軟件包，刪除不用的組件和軟件包，不允許在生產(chǎn)環(huán)境上安裝編譯開發(fā)環(huán)境。Sco操作系統(tǒng)帶有很多組件和軟件包，在進行系統(tǒng)規(guī)劃和配置時總的原則應(yīng)該是只安裝必要的組件和軟件包，刪除（不安裝）不需要的組件或軟件包。同時規(guī)定不準在生產(chǎn)系統(tǒng)上安裝編譯開發(fā)環(huán)境。三、操作系統(tǒng)配置步驟1、安裝網(wǎng)卡驅(qū)動：進入系統(tǒng)后執(zhí)行以下命令（確認網(wǎng)卡驅(qū)動盤已經(jīng)插入外置軟驅(qū)里）：#mount/dev/fd1135ds18/mnt(將外置軟盤mount到mnt上面)#cp/mnt/VOL.000.000/tmp（如果網(wǎng)卡驅(qū)動原來的名字不是VOL.000.000，請改名）#chmod750/tmp/VOL.000.000（更改VOL.000.000的權(quán)限）#scoadmin，選擇SoftwareManager-software-InstallNew選擇：from主機名-continue再選擇MediaImages，輸入“/tmp”,–continue便自動開始安裝網(wǎng)卡配置：執(zhí)行：scoadmin-networks-NetworkConfigurationManager-Hardware-AddnewLANadapter選擇剛裝好的網(wǎng)卡接下來配置網(wǎng)卡的IP地址：選擇新網(wǎng)卡的SCOTCP/IP用Protocol的Modifyprotocolconfiguration打開安裝完退出scoadmin后會有提示，回車選擇Y。重啟操作系統(tǒng)，使IP地址生效。#shutdown–y–g0–i62、配置用戶license進入系統(tǒng)后執(zhí)行scoadmin，選擇LicenseManager-LicenseAdditionalUsers…輸入LicenseNumber,LicenseCode,LicenseData，詳見license文件.3、建立文件系統(tǒng)Fdisk說明以及相關(guān)指令一覽：1.Displaycurrentdiskparameters（顯示參數(shù)）2.UseEntireDiskforUNIX（把所有硬盤空間分配給UNIX）3.UseRestofDiskforUNIX（將剩余的硬盤空間分配給UNIX）4.CreateUNIXPartition（創(chuàng)建UNIX分區(qū)）5.ActivatePartition（激活分區(qū)）6.DeletePartition（刪除分區(qū)）7.CreatePartition（創(chuàng)建分區(qū)）注意：在增加分區(qū)的過程中請選擇4，勿選7，第7項會將系統(tǒng)分區(qū)刪除導(dǎo)致系統(tǒng)癱瘓）運行fdisk,選擇1查看文件系統(tǒng)狀況Partition1的大小在安裝過程中已經(jīng)設(shè)置過了，F(xiàn)disk-(選擇4)-因為partition1和partition2為兩個連續(xù)塊，第2塊的開始字節(jié)為第1塊末尾字節(jié)+1Enterpartitionnumberor'q'toreturn:2（建立Partition2）Enterstartingtracknumber,or'q'toreturn:640001（因為Partition1的End為162539）Enterpartitionsizeintracks,or'q'toreturn:1500000（輸入所要建立Partition2的大?。┙⑼關(guān)artition后，輸入divvy–m/dev/hd02對剛創(chuàng)建的文件系統(tǒng)進行初始化（輸入7，最多可建立7個塊），以后劃分Partition2只需要用divvy/dev/hd02就可以了（/dev/hd00和/dev/hd01為系統(tǒng)的根分區(qū)，不要修改）舉例我們要劃分xtjk，logfs,fhjk三個文件系統(tǒng)運行divvy/dev/hd02選擇n，給0，1，2區(qū)命名：xtjklogfsfhjk選擇t，給0，1，2區(qū)選擇HTFS格式的文件系統(tǒng)，如果是裸設(shè)備，比如數(shù)據(jù)庫的chunk空間就選擇NONFS格式。選擇s,e設(shè)置開始和結(jié)束的block給0，1，2區(qū)劃分空間大小，同fdisk使用方法。劃分完按q退出，選擇i執(zhí)行操作。4、掛載文件系統(tǒng)執(zhí)行scoadmin->Filesystems->FilesystemManager以下為假設(shè)的掛載位置在A機執(zhí)行scoadmin-Filesystems-FilesystemManager-AddMountConfiguration-Local...按照如下填寫（假設(shè)mount的目錄是/usr/xtjk）：應(yīng)用文件系統(tǒng)應(yīng)只能建一級文件系統(tǒng)，以避免因掛載文件系統(tǒng)的先后順序?qū)е挛募到y(tǒng)內(nèi)容的覆蓋。5、創(chuàng)建用戶和組運行scoadmin-AccountManager，在view下可分別查看用戶（user）和組（group）。記錄用戶和組的名字和ID號，以及對應(yīng)的文件系統(tǒng)的掛載地址假設(shè)為以下配置：（50之前的組是系統(tǒng)自帶的，79之前的用戶是系統(tǒng)自帶的）新建立的用戶組是：informix100新建立的用戶是：informix100執(zhí)行scoadmin,選擇AccountManager-，AddNewGroup,按照配置填入，添加informix組。執(zhí)行scoadmin,選擇AccountManager-AddNewUser,按照配置填入，添加informix用戶。6、修改內(nèi)核參數(shù)NOFILES：單個進程在任何時刻可同時打開文件的數(shù)量，默認值112修改為1024或以上MAXUP：同一個用戶允許并發(fā)的最大進程數(shù)，默認值為100修改為1024或以上執(zhí)行scoadmin,選擇Hardware/KernelManager-Kernel，TuneParameters...,選擇7，7、安裝中文包在必要情況下，可選擇安裝中文包，以SCO507為例從ftp至綜合管理服務(wù)器/work/sco/取得CCEV.PKG安裝命令是pkgadd–d/tmp/CCEV.PKG(絕對路徑)輸入1，再輸入序列號和密碼需要在/etc/profile里面加兩條并執(zhí)行后才能正常顯示中文：LANG=en_US.ISO8859-1exportLANG8、部署NTP(生產(chǎn)環(huán)境必須設(shè)置，研發(fā)測試環(huán)境供參考)（1）ftp至該網(wǎng)段的綜合管理服務(wù)器,在/home/xtjk/ntp目錄下獲取配置文件/etc/rc2.d/S58ntpd，/etc/ntp.conf，ntp_aix.sh的tar包ntp_sco_12client.tar,并在服務(wù)器上解tar（2）ps-ef|grep-vroot確認無應(yīng)用和數(shù)據(jù)庫后，使用ntp_aix.sh進行NTP部署（3）啟動服務(wù)后可以用以下命令查看同步狀態(tài)：ntpq-cpe，看IP地址前是否有*，有這個標記后表示已經(jīng)鎖定時間源。ntpq-crv，看stratum是否為2，為2代表已經(jīng)鎖定時間服務(wù)器，看rootdispersion是否慢慢收斂，小于10（ms）就收斂的很好了，同步一天后可能會收斂到1（ms）以下，不過收斂的程度和網(wǎng)絡(luò)狀況相關(guān)。四、操作系統(tǒng)的安全設(shè)置步驟ScoOpenserver自身內(nèi)建了豐富的網(wǎng)絡(luò)功能，具有較好的穩(wěn)定性和安全性，但是，如果沒有對系統(tǒng)進行正確的設(shè)置，就會給入侵者以可乘之機。因此，在對系統(tǒng)進行配置的同時，必須把安全性問題放在重要的位置。在操作系統(tǒng)的層面上進行合理規(guī)劃、配置，避免因管理上的漏洞而給應(yīng)用系統(tǒng)造成風(fēng)險。1、關(guān)閉不必要的服務(wù)端口或服務(wù)進程Sco系統(tǒng)安裝完默認啟動很多網(wǎng)絡(luò)服務(wù)，對很多網(wǎng)絡(luò)端口連接進行監(jiān)聽，而對這些服務(wù)進程和端口必須進行關(guān)閉，以杜絕不必要的安全隱患。其中ftp、telnet、rcmd、rlogin和finger等子進程都由inetd來啟動對應(yīng)的服務(wù)進程。因此，從系統(tǒng)安全角度出發(fā)，要合理地設(shè)置/etc/inetd.conf文件，將一切不必要的服務(wù)關(guān)閉。關(guān)閉的方法是在文件相應(yīng)行首插入“#”字符，并執(zhí)行命令kill–HUP<Inetd進程號>使配置后的命令立即生效，其他網(wǎng)絡(luò)服務(wù)進程和端口關(guān)閉見下表：Sco操作系統(tǒng)端口和服務(wù)進程對于表及如何關(guān)閉服務(wù)端口(以ScoV5.07為例)啟動文件進程端口解決辦法（永久關(guān)閉端口）超級服務(wù)子進程類：/etc/inetdtcpmux1/etc/inetd.conf注釋相關(guān)行，并刷新inetd進程/etc/inetdecho7/etc/inetd.conf注釋相關(guān)行，并刷新inetd進程/etc/inetddiscard9/etc/inetd.conf注釋相關(guān)行，并刷新inetd進程/etc/inetdchargen13/etc/inetd.conf注釋相關(guān)行，并刷新inetd進程/etc/inetddaytime19/etc/inetd.conf注釋相關(guān)行，并刷新inetd進程/etc/inetdftp21/etc/inetd.conf注釋相關(guān)行，并刷新inetd進程/etc/inetdtelnet23/etc/inetd.conf注釋相關(guān)行，并刷新inetd進程/etc/inetdtime37/etc/inetd.conf注釋相關(guān)行，并刷新inetd進程/etc/inetdfinger79/etc/inetd.conf注釋相關(guān)行，并刷新inetd進程/etc/inetdpop3110/etc/inetd.conf注釋相關(guān)行，并刷新inetd進程/etc/inetdimap143/etc/inetd.conf注釋相關(guān)行，并刷新inetd進程/etc/inetdexec512/etc/inetd.conf注釋相關(guān)行，并刷新inetd進程/etc/inetdlogin513/etc/inetd.conf注釋相關(guān)行，并刷新inetd進程/etc/inetdshell514/etc/inetd.conf注釋相關(guān)行，并刷新inetd進程其他服務(wù)進程類：/etc/rc2.d/P86sendmailsendmail25#mvP86sendmailsendmailP86/etc/rc2.d/P93scohttpdscohttpd457#mvP93scohttpdscohttpdP93/etc/rc2.d/P90apche/usr/lib/apache/bin/httpd80#mvP90apacheapacheP90，并殺掉相應(yīng)進程/etc/rc2.d/S84rpcinitPortmap(rwalld，rusersd)111#mvS84rpcinitrcpinitS84，并殺掉相應(yīng)進程/etc/rc2.d/S85tcp里面注釋：/etc/snmpdsnmpd199S85tcp文件里注釋/etc/snmpd一行，并殺掉相應(yīng)進程/etc/rc2.d/S89nfsstatd1024#mvS89nfsnfsS89，并殺掉相應(yīng)進程/etc/rc2.d/S85nisypxfrd778#mvS85nisnisS85，并殺掉相應(yīng)進程/etc/rc2.d/S95docview/usr/lib/apache/bin/httpd-d/usr/lib/docview-f/usr/lib/docview/conf/httpd.co8457#mvS95docviewdovviewS95，并殺掉相應(yīng)進程其中：殺死進程：kill-9PID號刷新進程：kill–HUPPID號可以使用lsof命令來查看開放端口和進程的對應(yīng)。關(guān)閉后系統(tǒng)開放tcp端口情況：2、限制可以su的帳戶AccountManager——選擇帳戶——Users——Authorizations——從Authorized框中移除su權(quán)限（默認所有用戶都有su權(quán)限）。3、使用SSH替代TELNET進行維護連接采用SSH方式取代telnet進行遠程登錄時，傳輸?shù)臄?shù)據(jù)都經(jīng)過加密，比telnet有較高的安全性（SCO507自帶SSH，無需安裝）。ScoOpenserver的SSH安裝包在綜合管理服務(wù)器/work/sco/ScoSSH，目錄中有ScoOpenserver中安裝SSH服務(wù)所需的三個軟件包。下載后用tar分別解開各軟件包，并用CustomMedia依次嚴格按以下順序安裝各軟件包。zlib-1.1.4unencumberedlosslessdata-compressionlibrary(ver1.1.4)prngd-0.9.25PseudoRandomNumberGeneratorDaemon(ver0.9.23)Openssh-3.4plSecureShellremoteaccessutilities(ver3.4p1)安裝完成后，即可發(fā)現(xiàn)系統(tǒng)啟動了SSHD進程。安裝完ssh后編輯/etc/init.d/prngd文件,用＃注釋以下幾行：if[-f"$lock_file"]thenecho"Alreadyrunning,accordingtolockfile:$lock_file"exit0fi這樣，每次系統(tǒng)重啟后ssh就會自動啟動，而無需人工去啟動ssh服務(wù)。#ps–ef|grepsshroot3971008:22:44?00:00:00/usr/local/sbin/sshd然后在用戶的根目錄的.profile文件的PATH的：后加入/usr/local/bin這個路徑，如PATH=/bin:/etc:/usr/bin:/tcb/bin:/usr/local/bin安裝完成后，就可使用ssh命令了，命令格式為ssh[options]host[command]其中，options可使用-luser參數(shù)，user為遠程主機用戶名。配置為只能使用安全性更高的sshv2來接vi/etc/ssh/sshd_config,將#Protocol2,1修改為Protocol2，重啟sshd服務(wù)。Kill–HUPsshpid4、FTP服務(wù)安全設(shè)置如果需啟用ftp服務(wù)，需禁止系統(tǒng)默認帳號使用ftp服務(wù)。編輯/etc/ftpusers文件,使之內(nèi)容包括系統(tǒng)的默認帳號和不使用ftp服務(wù)的帳戶。chmod644/etc/ftpusers同時啟用FTP日志（1）修改/etc/syslog.conf文件，并加入一行：FileName其中FileName是日志文件的名字，它會跟蹤FTP的活動，包括匿名和其他用戶ID。FileName文件必須在做下一步驟前創(chuàng)建。（2）運行"kill–HUPsyslogd-pid"命令刷新syslogd后臺程序。（3）修改/etc/inetd.conf文件，修改下面的數(shù)據(jù)行：ftpstreamtcpnowaitroot/usr/sbin/ftpdftpd–l-a運行“kill–HUPinetd-pid”命令刷新inetd后臺程序。5、合理設(shè)置帳號用戶嚴格禁止使用系統(tǒng)開立的默認帳戶（除root用戶外）登錄。編輯/etc/shadow，把系統(tǒng)開立的默認帳戶daemon、bin、sys、adm、nouser、uucp、nuucp、lp等用戶的登錄密碼改為“*”。每個系統(tǒng)的系統(tǒng)管理用戶(如root,Informix用戶)、應(yīng)用特權(quán)用戶（如cib）和查詢用戶（如xtjk、cxwh）應(yīng)嚴格分開，禁止直接使用超級用戶進行應(yīng)用維護操作。系統(tǒng)管理用戶root和informix由系統(tǒng)管理人員掌握和使用，分別用于操作系統(tǒng)層和數(shù)據(jù)庫系統(tǒng)層面的維護使用，但必須設(shè)置成雙重口令。informix帳戶應(yīng)禁止登錄，要使用informix帳戶時采用root登錄,su到informix用戶。應(yīng)用特權(quán)用戶（如cib）用于應(yīng)用程序的維護更新，并且是賦有數(shù)據(jù)庫dba權(quán)限，可以刪除和修改數(shù)據(jù)，必須設(shè)置為雙重口令。查詢用戶（xtjk和cxwh）用于運維人員日常的查詢維護，可以經(jīng)過授權(quán)連接到數(shù)據(jù)庫，但只能查看數(shù)據(jù)庫運行狀態(tài)，不能修改任何數(shù)據(jù)。同時用于查看系統(tǒng)運行或應(yīng)用運行等相關(guān)日志,用戶屬組為group。6、設(shè)置密碼策略(生產(chǎn)環(huán)境必須設(shè)置，研發(fā)測試環(huán)境供參考)（1）設(shè)置用戶口令180天修改一次:passwdExpirationTime=0，需修改為180scoadmin->AccountManager->User菜單選擇passwordRestrictions->選擇Expiration,將參數(shù)：Dayuntilpasswordexpires修改為180（2）限制用戶口令復(fù)雜度:passwdCheckedForObviousness=0，需修改為1scoadmin->AccountManager->User菜單選擇passwordRestrictions->選擇selection->設(shè)置checkforobviousness為YES（3）設(shè)置非root用戶的登錄失敗次數(shù)為20次：maxLoginAttempts=0，需修改為20scoadmin->在AccountManager(賬號管理程序)的界面中選好一個用戶名，然后從Users菜單中選擇LoginControls(登錄控制)。先單擊“defaultof”將其前面的*號去掉，然后將光標移到“Failedloginattemptsallowedbeforeaccountislocked(賬號鎖住以前允許注冊失敗的次數(shù)):”后面的空格上，填上所需設(shè)置的次數(shù)20，OK確認生效（4）設(shè)置不允許存在無密碼帳號：passwdNullAllowed=1，需修改為0scoadmin->AccountManager->User菜單選擇passwordRestrictions->選擇selection->設(shè)置passwordrequired值為YES7、系統(tǒng)其它安全方面的設(shè)置步驟（1）一般情況下umask可采用默認值022，如有特殊要求，可設(shè)置更嚴格的umask值為027。（2）建議關(guān)閉NFS服務(wù)，如果由于應(yīng)用需要啟用NFS服務(wù)，則建議限制客戶請求特權(quán)端口，并在/etc/exports文件中指定遠程客戶端能訪問的目錄以及通過access選項指定輸出目錄的讀/寫權(quán)限。（3）建議關(guān)閉NIS服務(wù)，如果需要啟用NIS服務(wù)，則在NIS服務(wù)器上檢查password和group文件，確保文件內(nèi)的每一行不是以"+"開始。并且，在NIS客戶端，要確保password和group文件內(nèi)的所有行中的密碼域內(nèi)包括一個"+"也包括一個"*"。（4）如果不需要，禁止所有的.rhosts文件，注釋hosts.equiv文件內(nèi)容，同時修改這兩個文件的權(quán)限為400。如果需要開啟R服務(wù)（rlogin、rexec、rsh），則要確認.rhosts和hosts.equiv文件中沒有單行的”+”或”++”,以防止任意用戶和主機不通過口令而直接登錄主機。（5）如果不使用圖形界面服務(wù)，關(guān)閉XDMCP端口和xservers的監(jiān)聽端口6000編輯/usr/lib/X11/scologin/xconfig文件，添加DisplayManager.requestPort值為0編輯/usr/X11R6/bin/startx文件，修改參數(shù)serverargs=“–nolistentcp”。（6）設(shè)置合理的網(wǎng)絡(luò)參數(shù)。如：重定向、源路由問題、ECHO應(yīng)答廣播等。Scoadmin——System——SystemdefaultsManager——Tcp/ipkernelparameterssetatstartup,進行編輯，修改其中的配置行(系統(tǒng)默認已作了安全配置)：ipforwarding=0不進行IP包轉(zhuǎn)發(fā)ipsendredirects=0不發(fā)送IP重定向包ip_dirbroadcast=1只接收與地址設(shè)置匹配的廣播包ipnonlocalsrcroute=0拒絕任何與源路由相關(guān)的包icmp_answermask=0忽略ICMP地址掩碼請求以下兩個參數(shù)如在系統(tǒng)中沒有發(fā)現(xiàn)，可不設(shè)置。icmp_reply_broadcasts=0系統(tǒng)拒絕響應(yīng)ICMP請求（可選）。ip_forward_broadcasts=0不進行廣播包的轉(zhuǎn)發(fā)，避免smurf攻擊。五、部署監(jiān)控1、部署生產(chǎn)系統(tǒng)主備比對腳本(生產(chǎn)環(huán)境必須設(shè)置，研發(fā)測試環(huán)境供參考)（1）xtjk用戶登陸系統(tǒng)，獲取主備比對客戶端腳本建立bin目錄ftp該網(wǎng)段綜合管理服務(wù)器以12網(wǎng)段的服務(wù)器為例ftp168.1.*.*/home/xtjk/bin/>bin>get>getxtjkchk.env>getmain.sh將main.shxtjkchk.env三個文件放到bin目錄

檢查xtjk用戶.profile文件根據(jù)每臺服務(wù)器信息更新相關(guān)內(nèi)容egrep"INFORMIXDIR|INFORMIXSERVER|ONCONFIG|ORACLE_HOME|ORACLE_SID|PATH".profileInformix數(shù)據(jù)庫必須配置

"INFORMIXDIR|INFORMIXSERVERONCONFIG|PATH"

環(huán)境變量Oracle數(shù)據(jù)庫必須配置“ORACLE_HOME|ORACLE_SID|PATH”環(huán)境變量chmod700main.shchmod600xtjkchk.envchmod600crontab–e新增SCO0****/usr/xtjk/bin/main.sh（2）建立該網(wǎng)段綜合管理服務(wù)器到本機xtjk用戶的sftp信任機制sftp168.1.*.*cd.sshmgetid_rsa.pub將id_rsa.pub文件拷貝到本地.ssh目錄下catid_rsa.pub>>authorized_keys在168.1.*.*驗證sftp到本機不用輸口令（3）在該網(wǎng)段綜合管理服務(wù)器上添加主備機的ip地址xtjk用戶登錄該網(wǎng)段綜合管理服務(wù)器將主備機ip地址加入/home/xtjk/bin/zblist.txt2、部署Tivoli(生產(chǎn)環(huán)境必須設(shè)置，研發(fā)測試環(huán)境供參考)（1）創(chuàng)建一個專用于存放監(jiān)控程序的文件系統(tǒng)/usr/scomon，大小為128M，同時建立監(jiān)控用戶scomon，組為group，使用ksh,用戶的主目錄為/usr/scomon。如需監(jiān)控informix，則需修改scomon用戶.profile文件，使用戶可以運行informix相關(guān)命令。（參照informix用戶的.profile文件）（2）scomon用戶的.profile,添加變量：MEMSIZE和SWAPSIZE。例如：#memsize66646016#swap-lpathdevswaploblocksfree/dev/swap1,410192512192512在本例中，MEMSIZE的值為66646016/1024=65084，SWAPSIZE=192512在.profile中添加如下幾行：MEMSIZE=65084SWAPSIZE=192512exportMEMSIZESWAPSIZE在.profile中，可添加主機的hostname和IP地址，則Tivoli監(jiān)控服務(wù)器端在收到報警事件時可以更明確的了解報警主機的用途。#linesaddedin/usr/scomon/.profileHOSTNAME=IPADDR=168.*.*.*exportHOSTNAMEIPADDR（3）從Tivoli監(jiān)控服務(wù)器/work目錄上下載sco_mon.tar到/usr/scomon下，并以scomon用戶解壓。（對于分行可采用早先下發(fā)的sco_mon.tar程序包）$tarxvfsco_mon.tar（4）安裝Tivoli事件報警程序所需運行庫(不是每臺都需要安裝，SCO507上無需安裝)在某些版本的SCO上，IBMTivoli所提供的事件報警程序不能正常地工作。原因是缺少相應(yīng)的軟件包。以SCO506為例，需安裝BinaryCompatibilityModule7.1.3forSCOOpenServer(forUDKCompatibility)。軟件包放置于、/work/Tivoli/scomon監(jiān)控程序下，包含兩個文件：OSRcompat-uw713.set，GettingStarted.html（GettingStarted.html是對本補丁包的說明）注：針對SCO5.0.5，可參考本例辦理。對SCO5.0.5所需文件如下：DL27510P000.tar，DL27509P000.htm檢查是否需要安裝二進制兼容補?。?cd/usr/scomon/bin$lddpost