AIX维护大全(12)

awaterhit

第 46 楼：关于AIX系统文件安全性方面的几点考虑
这篇文章主要讨论在AIX系统上如何检查文件、目录和可执行程序的安全性，以防止可能的安全方面的隐患。
1. 删除垃圾文件
很多程序运行完毕后，会在/tmp目录下留下很多的垃圾文件。AIX系统提供一个命令skulker，它可以删除/tmp目录下的a.out文件、core文件和ed.hup文件。具体的命令执行方式为：
      # skulker -p
2. 删除无所有者的文件
在AIX系统上如果一个用户被删掉后，原来属于这个用户的文件将变成无所有者的文件。可以用下面命令来找出这些文件：
      # find / -nouser -ls
如果找出得文件还有用，可将它们指定到已存在的某些用户下。否则就删除这些文件。
3. 管理未授权的远程访问
某些程序使用.rhosts文件访问远程系统。但有时这种做法会被未授权的用户使用。为避免这种情况，可删除.rhosts文件。
在HACMP环境下，.rhosts文件是需要的。这时需要将.rhosts文件的访问权限设为600，并且是所有者是root.system。
可用下面命令查找.rhosts文件：
      # find / -name .rhosts -ls
4. 监视可执行文件的属性
在监视某些可执行文件之前，需要了解这些文件是如何被使用的。尤其是要监视那些所有者是root，文件方式字中有SUID和SGID设置的文件。
通过以下命令可以找出满足上面条件的所有文件：
      # find / -perm -4000 -user 0 -ls
      # find / -perm -2000 -user 0 -ls
保存上面命令的输出结果。定时运行这两条命令，并与保存的结果相比较，看是否有未知的文件出现，以杜绝可能的安全隐患。
5. 管理cron和at运行的后台作业
必须做如下内容：
- 确认只有root用户在cron.allow和at.allow文件里。
- 从目录var/adm/cron中删除cron.deny和at.deny文件。
- 确保cron和at作业的所有者是root并且只能由root可写。
上面所谈的内容对AIX系统在文件方面的安全性有指导意义。在具体考虑使用AIX系统的安全性时，还应该考虑更多方面的内容。
这篇文章主要讨论关于X11和CDE（Common Desktop Environment）方面的安全问题。
1. 删除/etc/rc.dt文件
虽然运行CDE图形环境方便了用户使用AIX，但同时也带来了安全隐患。所以，对于那些要求较高安全性的系统来讲，就不应该运行CDE。
最好的方法是不安装CDE（dt）软件包。如果已经安装了这些软件包，应考虑删除它们，尤其是启动CDE的脚本文件/etc/rd.dt。
2. 屏蔽X服务器的远程监视功能
一个很重要的安全问题是X11服务器的远程监视机制。xwd和xwud常被用于监视X服务器的活动状况，它能够捕捉到键盘的敲击结果，因此可能泄露密码或其它敏感信息。
为防止这种情况的出现，可以删除这些可执行程序或者将其执行权限定为root可以执行。
xwd和xwud可以在文件包X11.apps.clients中找到。
如果需要使用xwd和xwud命令，可以考虑使用OpenSSH或MIT Magic Cookies。这些第三方厂家的软件可以有效的防止使用xwd和xwud命令时带来的风险。
3. 禁止用户使用xhost命令
确保只有指定的用户可以使用xhost命令，或指定只能超级用户才能使用，方法是运行chmod命令修改/usr/bin/X11/xhost的属性：
# chmod 744 /usr/bin/X11/xhost
确认在运行xhost命令时，指定hostname，否则将允许所有的远程主机访问本机，这将带来潜在的危险性。
第 47 楼：使用lastcomm命令查看用户命令历史
使用lastcomm需要启用记账(Accounting)功能。
需要安装bos.acct文件集
执行如下命令为文件和目录设置所需的权限：
●cd /var/adm
●/usr/sbin/acct/nulladm wtmp pacct
启停记账功能：
●启动记账功能：执行/usr/bin/su - adm -c /usr/sbin/acct/startup
●停止记账功能：执行/usr/bin/su - adm -c /usr/sbin/acct/shutacct
如果要在系统启动时自动启动记账功能：
●修改/etc/rc文件，加入：/usr/bin/su - adm -c /usr/sbin/acct/startup
●使用lastcomm命令，其用法为：lastcomm [ Command ] [ Name ] [ Terminal ]，Command为要过滤出来的执行命令，Name为发起命令的用户名，Terminal为用户执行命令时使用的终端设备名
第 48 楼：RS/6000小型机故障的基本定位方法
一 故障的定义
.弄清楚系统发生了什么问题
.系统现在能做什么？不能做什么？
.故障什么时候发生的？
.有没有做平时不同的*作？
.故障有没有规律？定时还是不定时？发生的频率有多高？
.是一台机器出现故障还是多台机器故障？故障现象是否相同？
.最近有没有做改动？如安装了新的硬件、软件，改变了系统的一些设置。
二 故障信息的收集
1)收集故障信息对于判断、诊断故障原因，修复系统非常重要。
2)系统故障记录(errorlog)
errdemon 进程在系统启动时自动运行
记录包括硬件、软件及其他*作信息
故障记录文件为/var/adm/ras/errlog，可备份下来或拷贝到别的机器上分析
errpt 命令的使用(普通用户权限也可使用)
#errpt |more 列出简短出错信息
ERROR_ID TIMESTAMP T C RESOURCE_NAME ERROR_DEs criptION
192AC071 0723100300 T 0 errdemon Error logging turned off
0E017ED1 0720131000 P H mem2 Memory failure
9DBCFDEE 0701000000 T 0 errdemon Error logging turned on
038F2580 0624131000 U H scdisk0 UNDETERMINED ERROR
AA8AB241 0405130900 T O OPERATOR OPERATOR NOTIFICATION
TIMESTAMP: MMDDHHMMYY (月日时分年）
T（类型）: P 永久; T 临时; U 未知 （永久性的错误应引起重视）
C（分类）: H 硬件; S 软件; O 用户; U未知
#errpt -d H 列出所有硬件出错信息
#errpt -d S 列出所有软件出错信息
#errpt -aj ERROR_ID 列出详细出错信息
# errpt -aj 0502f666  选高级诊断（Advance Diagnostic)
> 选问题诊断（Problem Determination) 或
选系统检查（System Verification)
(选PD 会对系统错误记录进行分析)
diag运行后会给出SRN 代码，故障设备名称及百分比，地址代码等。
对于PCI机型应在系统报错7天之内运行diag程序对出错记录里的sense数据进行分析。
7)其他用于收集系统信息的命令
lsdev -C 系统设备信息
#lsdev -Cc disk
hdisk0 Available 00-06-00-2,0 4.5 GB 16 Bit SCSI Disk Drive
hdisk1 Available 00-06-00-1,0 4.5 GB 16 Bit SCSI Disk Drive
hdisk2 Defined 00-06-00-4,0 16 Bit SCSI Disk Drive
lspv 查看物理卷信息
#lspv
hdisk0 0007821160af3d76 rootvg
hdisk1 000782117f571294 rootvg
hdisk2 0000000045c45bde datavg
lsvg 查看卷组信息
#lsvg datavg
VOLUME GROUP: datavg VG IDENTIFIER: 0000000055e2458b
VG STATE: active PP SIZE: 4 megabyte(s)
VG PERMISSION: read/write TOTAL PPs: 2169 (8676 megabyt
MAX LVs: 256 FREE PPs: 1 (4 megabytes)
LVs: 3 USED PPs: 2168 (8672 megabyt
OPEN LVs: 2 QUORUM: 2
TOTAL PVs: 1 VG DEs criptORS: 2
STALE PVs: 0 STALE PPs: 0
ACTIVE PVs: 1 AUTO ON: yes
MAX PPs per PV: 2032 MAX PVs: 16
#lsvg -l rootvg
rootvg:
LV NAME TYPE LPs PPs PVs LV STATE MOUNT POINT
hd5 boot 1 1 1 closed/syncd N/A
...
lv00 jfs 51 102 1 closed/stale /ibmcxx
lv01 jfs 1 1 1 open/syncd /cics_regions
lv02 jfs 4 4 1 open/syncd /var/mqm
lslpp 查看文件组信息
# lslpp -L |grep 23100020
....
devices.pci.23100020.rte 4.3.2.7 C IBM PCI 10/100 Ethernet Adapt
看某个文件组是否已安装，如以太网卡驱动。也用于查询补丁程序的版本。
lsattr 查看设备参数设置
# lsattr -El ent2
busio 0x7fffc00 Bus I/O address False
busintr 9 Bus interrupt level False
intr_priority 3 Interrupt priority False
tx_que_size 512 TRANSMIT queue size True
rx_que_size 256 RECEIVE queue size True
rxbuf_pool_size 384 RECEIVE buffer pool size True
media_speed 10_Half_Duplex Media Speed True
use_alt_addr no Enable ALTERNATE ETHERNET address True
alt_addr 0x000000000000 ALTERNATE ETHERNET address True
ip_gap 96 Inter-Packet Gap True
lscfg 查看VPD信息（Virtual Product Data)
# lscfg -vl ssa1
DEVICE LOCATION DEs criptION
ssa1 30-68 IBM SSA Enhanced RAID Adapter
(14104500)
Part Number.................097H0645
FRU Number..................097H0645  "Access a Root Volume Group"
> "Access this volume group and start a shell
before mounting the file systems"
格式化文件系统日志(jfslog)
# /usr/sbin/logform /dev/hd8
检查修复文件系统
# fsck -y /dev/hd1 （/home 文件系统）
# fsck -y /dev/hd2 （/usr 文件系统）
# fsck -y /dev/hd3 （/tmp 文件系统）
# fsck -y /dev/hd4 （/ 文件系统）
# fsck -y /dev/hd9var （/var 文件系统）
... ...
用 exit 命令退出，文件系统会自动 mount 起来。
重建bootimage
# lslv -m hd5 找出bootimage所在的硬盘，如hdisk0
# bosboot -ad /dev/hdisk0
# bootlist -m normal /dev/hdisk0 重建启动顺序表。
重启动系统
# shutdown -Fr
如上述步骤不奏效
用系统备份带恢复系统。
如备份带不能恢复，用诊断光盘（Diagnostic CDROM）检查是否坏硬盘。
.CDE图形界面挂死
CDE 运行时不要更改网络参数（如：主机名和IP 地址）
更改网卡设置，请先退出CDE图形环境，选择命令行方式登录，在字符界面下更改。
如CDE 已经挂死
远程 telnet 登录
找出所有dt有关的进程用kill命令杀掉
# ps -ef |grep dt
... ...
# kill PID
检查当前主机名
# hostname
tscf50
查看主机名是否对应有效的IP地址
# netstat -i |grep tscf50
tr0* 1500 9.185.40 tscf50 506049 0 28247 0 0
更改主机名或IP地址，使主机名与当前有效的IP地址存在对应关系。
# smitty tcpip
重新启动CDE界面
# /etc/rc.dt
HACMP环境下可把主机名alias到127.0.0.1上
# cat /etc/hosts
127.0.0.1 loopback localhost tscf50 # loopback (lo0) name/addressbvg
.系统dump
发生在系统崩溃时，AIX会做dump(系统内存的快照)。
此时机器会显示闪动的888 102 xxx 0cx 代码：
0c9 系统dump 进行中。0c9状态可能会维持超过2分钟，
不要关电和按reset, 等待dump做完。
0c0 dump 成功完成，这时可以断电重起。
0c2 手动启动dump 功能
0c4 dump 设备空间不足，只有部分信息保存下来
0c5 不明原因导致dump 失败
一般dump是由于软件出错引起(888-102-207 除外)，机器通常可以重启。重启时可能提示用户插入磁带拷贝dump文件，不要选择退出，这样会丢失重要的故障信息。
dump的有关设置
估算系统dump的大小，在系统最繁忙时（内存使用最多）
# sysdumpdev -e
0453-041 Estimated dump size in bytes: 53477376
# lsps -a
Page Space Physical Volume Volume Group Size %Used Active
paging00 hdisk0 rootvg 480MB 1 yes
hd6 hdisk1 rootvg 544MB 1 yes
当前的设置
#sysdumpdev -l
primary /dev/hd6


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/25711/showart_258966.html