Archive of the categories: UNIX

Tru64常用指令[转]

1.什么是Alpha计算机的Firmware,它与主机硬件及操作系统有什么关系? 答:ALPHA计算机的FIRMWARE储存在主机的可擦写存储芯片中, 它包含ALPHA系统硬件初始化和控制代码,操作系统通过FIRMWARE来实现对ALPHA机底层硬件的操作和管理. 2.如何查 Alpha 计算机的硬件资源, 如该机有几个CPU, 内存是多少等. 答:分两种情况来分析这个问题 . 1)在系统加电后未进入UNIX,即在SRM环境( 出现” >>> “提示符), 键入 >>>show cpu >>> show mem >>> show config 等命令获得CPU和内存等的系统主要硬件信息,如型号,数量,容量等. 2)UNIX,如果要了解CPU的简单情况: #uerf -R -r 300 |grep AlphaServer ; 用该命令得到主机型号,cpu的型号等. #psrinfo ; 用该命令得到在线运行的CPU数量等信息如果要了解内存的情况,运行: #uerf -R -r 300 | grep phisical ; 得到在线运行的内存容量(M为单位). 3.如何查Alpha计算机的Firmware的版本? 答:1). UNIX系统里 #consvar -g version version = V5.8-16 Jul 24 2000 09:43:28 2). ALPHA主机CONSOLE >>>show version version V5.8-16 Jul 24 2000 09:43:28 4.如何更改UNIX系统的hostname? 答:(适用于无CLUSTER/LSM/NIS/YP配置的系统) 假设原系统主机名为oldname, 新主机名为newname 1).使用root帐户登录 #rcmgr set HOSTNAME 2). 编辑/etc/hosts文件,做如下改变: ……… 127.0.0.1 localhost 16.72.0.156 oldname ……… 改为: ……… 127.0.0.1 localhost 16.72.0.156 newname ……… 3). # cd /sys/conf # cp OLDNAME NEWNAME # vi NEWNAME …. ident “OLDNAME” …. 改为: ……… ident “NEWNAME” …….. 4). 编辑/etc/rc.config, HOSTNAMEOLDNAME改为NEWNAME 5). # cd /sys/conf # cp OLDNAME.list NEWNAME.list # cd /sys # mv OLDNAME NEWNAME 6) # doconfig –c NEWNAME # cp /vmunix /vmunix.bck # cp /sys/NEWNAME/vmunix /vmunix # shutdown –r now 5.如何进入单用户状态? 答:在控制台方式下(>>>)键入BOOT -FL S [BOOTDISK] 在多用户方式下(#)有两条命令: (1)#shutdown now (2) #init s 6.超级用户忘了密码怎么办? 答:进入单用户状态键入命令passwd例:#passwd Changing password for root. New password: Retype new password: # 7.如何查出已经安装的UNIX操作系统是哪个版本及已经安装的系统PATCH的版本? 答:a. UNIX操作系统的版本 #sizer -v b. 系统PATCH的版本 #more /var/adm/patch/log/event.log | grep -E ‘KITNAME’ or #dupatch –track –type kit 8.作为系统管理员,应该经常检查系统的哪些工作状态及文件? 答:#vmstat ; 检查系统CPU,内存等工作状况 #iostat ; 检查系统输入输出设备工作状况. #netstat ; 检查系统网络设备工作状况. 认真查阅: messages, syslog.dated ; 等系统日志文件. # uerf …..; 用系统分析工具分析系统错误日志文件: /var/adm/binary/.errlog #ps –ef ; 查看,管理系统工作进程. #df –k ; 查看,管理磁盘空间. 9.安装Tru64 UNIX操作系统必需要安装系统PATCH? 为什么? 答:通常来说,我们都建议用户安装系统补丁. 所有的软件都是有BUG,Tru64UNIX也不例外, 所以开发人员总是在不断的完善它,完善的结果就是以补丁形式出现.打了补丁之后,可以使你的系统更稳定,更可靠,保证你的业务更好的运行. 10.什么原因导致磁盘柜Cache变成Invalid_cache状态?答:常见的原因是关电时,没有做Shutdown操作,当维持Cache数据的电池将电耗尽后,无论Cache有无数据,再次加电时,Controller认为丢失数据,将CACHE状态置成INVALID_CACHE。其次就是更换Controller Cache,使Cache变成Invalid_cache状态。 11.怎么清除磁盘柜CacheInvalid_cache状态? 答:用下列命令清除: CLEAR_ERRORS OTHER_CONTROLLER INVALID_CACHE DESTROY_UNFLUSHED_DATA CLEAR_ERRORS THIS_CONTROLLER INVALID_CACHE NODESTROY_UNFLUSHED_DATA 12.什么原因导致主机能看见磁盘柜的磁盘但不能读写?怎样解决?答:磁盘在CONTROLLER下的名称叫UNIT,一般这种情况都是由于UNIT处于LOST_DATA状态引起的。此时UNIT的容量也无法显示,UNIT也就是主机看见的磁盘不能被操作。解决办法,用下列命令清除UNITLOST_DATA状态 CLEAR_ERRORS unit-number LOST_DATA 例如,清除D103LOST_DATA状态 CLEAR_ERRORS D103 LOST_DATA 13.怎么更换磁盘柜中有故障的磁盘?答:一般可通过以下几步。1 FAILEDSET里删除故障盘。2 ACS命令下,删除故障盘。3 从磁盘柜里拿下故障盘,更换一个好盘。4 ACS命令下,加一个磁盘。5 加此盘到SPARESET。如果以前SPARESET有盘,RAID MIRROR已重新建完或在重新建中,若没有,新加的盘就会替代故障盘开始重建。以下是DISK20200作为故障盘的实例。1 DELETE FAILEDSET DISK202002 DELETE DISK202003 换盘4 ADD DISK DISK20200 2 2 0 or RUN CONFIG)5 ADD SPARESET DISK20200如果FAILEDSET属性已设成AUTOSPARE,可直接拿下故障盘,换一个好盘。盘就自动被放到SPARESET。这个盘不能是磁盘柜里用过的盘,若是,必须先把盘的属性设成TRANSPORTABLE 14.怎样添加、删除逻辑卷? 答:所谓逻辑卷实际上是 Tru64 Unix LSM(逻辑存储管理)里面的概念. LSM是相对于操作系统独立的一个强大的磁盘管理软件. 使用它能够增强系统磁盘使用的灵活性. 但并不是所有功能都能自由使用,

HP Compad DS15安装攻略[转]

一。DS15安装攻略

1。如果系统预装操作系统,可根据提示启动后,用:hwmgr -v dev 查找当前硬盘,然后用disklabel -z /dev/disk/dsk0

2。跳过第一步可以直接在系统自检后,testing network…..,按ctrl+C进入>>>模式。

3。在>>>模式下,show b*,可以看到 boot_dev dka0.0.0.8.0 boot_osflags a (正常启动) bootdef_dev dka0.0.0.8.0 还可以通过 show cpu , show dev, show config, show mem 等查看系统信息。 如果想启动时自动进入>>>模式, set auto_action halt

4。用show config | more,可以看到 vga0 vgb0 都是显卡信息,此处为Radeon 7500 PCI显卡。 dva0为软盘, eia0, eib0为网卡。dka0为硬盘,dqa0为光驱。

5。安装True64 5.1B . 准备: a.安装盘(hp Tru64 operating system volume1 Disk 1 of 1 November 2002) b.补丁盘(new hardware delivery-7 , NHD-7 Version 5.1A/5.1B)) c.显卡盘(ATI RADEON 7500 graphics support v1.2 for Tru64 Unix Disk 1 of 1 RADEON_V12) setld -l RAD542 d.附件盘 associated products volume1 (Worldwide_Language_Support, Multimedia_Service)

6。>>> b -fl fa -fi “GENERIC” 设备名: dqa0 (光驱设备名) 包的位置: /540/usr/sys/hardware/base.kit 分区情况: a 1G root b 4G/8G swap g 10G /usr /var (var在usr中,默认) e 16G /usr/local f 剩余空间 /应用 分区时图标显示: a, b, g, e, f 注意,此过程比较繁琐,需连续换系统盘和NHD-7盘,等系统安装完一遍后,可能重启后,还需要第二次换盘过程。 第二次,可以把NHD-7盘,一直放在光驱里,系统盘不用放,提示放盘时,一路回车。(没有验证,如果不行,到第三次后再这样做)。 换完盘后,启动,可能不成功,进入到单用户模式(由于原来有预装操作系统) 需要执行: dn_setup -init dsfmgr -K (大写K) init 3 (启动到多用户模式)

7。安装成功。

8。uerf -R 300 ,查看显卡等安装情况。(randeon0, randeon1等看看有没有不支持的。)

9。安装显卡。 mount /dev/disk/cdrom0c /mnt cd /mnt setld -l RAD542

10。安装 Worldwide_Language_Support, Multimedia_Service 等。

11。改分辨率:view /var/X11/Xserver.conf -pn -screen 1280×1024 -vsync 75 -depteh 24

12。修改系统参数: view /etc/sysconfigtab generic: rt-preempt = 1 #启动内核抢占能力,增加应用程序的性能。 proc: max-proc-per-user = 512 #如果为web服务器, 可以设为1024 maxusers = 1024 #如果物理内存为1G,则设为512,Web服务器为2048) per-proc-stack-size = 12097152 max-per-proc-stack-size = 67108864 per-proc-data-size = 286435456 ipc: shm-max = 286435456 vm: vm-mapentries = 10000000

 

二。DS15克隆攻略

1。把需要克隆的盘,放入硬盘架。

2。hwmgr -scan scsi 检测新放入硬盘。

3。hwmgr -v dev 查看新插入硬盘的标志。(例如:/dev/disk/dsk1c)

4。disklabel -z dsk1c 清除新加入盘的内容。

5。disklabel -r dsk0c >/var/tmp/disk0.label

6。disklabel -rR -t advfs dsk1c /var/tmp/disk0.label

7。mkfdmn /dev/disk/dsk1a backup_root

8。mkfdmn /dev/disk/dsk1g backup_usr

9。mkfset backup_root root

10。mkfset backup_usr usr

11。mkfset backup_usr var

12。mount -t advfs backup_root#root /mnt

13。vdump -0vf – /|(cd /mnt; vrestore -x -f -);

14。umount /mnt

15。mount -t advfs backup_usr#usr /mnt

16。vdump -0vf – /usr|(cd /mnt; vrestore -x -f -);

17。umount /mnt

18。mount -t advfs backup_usr#var /mnt

19。vdump -0vf – /var|(cd /mnt; vrestore -x -f -);

20。umount /mnt

21。把克隆好的盘,放入新机器。

22。启动如果不正常, 执行: /sbin/dsfmgr -e dsk1 dsk0 bcheckrc init 3 如果有问题,请进入/dev/disk/查看,看看具体盘号。 反复执行 /sbin/dsfmgr -e dsk1 dsk0 bcheckrc 直到出现,一大堆东西,才可以。如果只是单纯dsk1c<=>dsk0c,不行。 init 3 克隆成功。

23。启动后,修改IP地址和主机名。 hostname maint view /etc/hosts ,修改IP地址和主机名。 view /etc/rc.config ,修改相应的IP地址和主机名。

24。mkfdmn /dev/disk/dsk0f 应用_domain mkfdmn /dev/disk/dsk0e local_domain mkfset 应用_domain 应用 mkfset local_domain local mkdir /应用 mount 应用_domain#应用 /应用 mount local_domain#local /usr/local view /etc/fstab 应用_domain#应用 /应用 advfs rw 0 2 local_domain#local /usr/local advfs rw 0 2

三。配置网卡阵列(UNIX) 下例把ee0,ee1组成网卡阵列 #rcmgr set NIFFD YES #rcmgr set NRDEV_0 nr1 #rcmgr set NRCONFIG_0 ee0,ee1 #rcmgr set NR_DEVICES 2 #rcmgr set NETDEV_0 nr1 #rcmgr set IFCONFIG_0 192.168.108.12 netmask 255.255.255.0 #rcmgr set NUM_NETCONFIG 1 以下设置为了减小网卡切换的延迟,view /etc/sysconfigtab netrain: nr_maxdev = 64 nr_timeout_t = 2 nr_timeout_o = 5 nr_timeout_dead_interface = 3 注意: a.不能在一个已经创建成功的NetRain上添加接口。 b.所有接口必须在同一个网段那。 c.所有接口设备类型必须保持一致。 d.配置接口前不能设置IP地址。 e.标志up必须停下。

四。网络设备硬件开机检查。 Catalyst 2950 通过连控制口:

en ( enable)

show env all

show version

show process cpu

show process memory

2811 user: cisco password: cisco

sh env all sh ver sh diag dir sh flash sh process cpu sh process mem sh run

HP compaq DS10密码破解

近日新购二手一台HP compaq DS10用于测试。

遇到如下问题:

1、没有光盘,无法安装系统;–这个到时可以去借,重点2、3、就是破解2个密码。

2、原已有tru64系统,但不知道root密码。

3、开机进入console ,通过>>>boot -fl s无法进入单用户,提示console is secure.please login.

解决办法:

1)先破解console密码,方法很简单:在>>>后输入login 提示please input password,先按halt button(这个键就除电源键别外一个,我一直以为是电源键),放开后再按再回车,此时密码已经清空。

2)破解root密码,在console ,通过>>>boot -fl s无法进入单用户,然后#mount -a挂载硬盘,再#passwd 输入你的密码,完工。

以上是在小机到机第三天搞定的,在中文上没有相关的资料,在英文网上看到http://labs.hoffmanlabs.com/node/902,但不明白 the halt button是那个键,结果在hp官网上http://h18002.www1.hp.com/alphaserver/download/ds10cr-d.pdf有介绍。

AIX下CDE的安装步骤

CDE的安装步骤
安装CDE所需要的文件集可以在AIX操作系统的基本安装介质的卷1(通常情况下,CD1)中找到。
要安装CDE,请以root用户登录,并在命令行中输入:
smitty install_all
然后在SMIT菜单中选择:
1、选定安装设备。如果您的安装介质是CD,请选择/dev/cd0。
2、将光标移动到Software to install上,并按F4。
3、逐个选择要安装的文件集并按F7选中。
4、按回车键开始安装步骤。
5、再按一次回车键确认这些文件集的安装。

以下是运行CDE所必须的文件集(您可以用lslpp -l X11.Dt*来列出您的系统上已经安装的CDE文件集):

X11.Dt.ToolTalk —  AIX CDE ToolTalk 支持
这个文件集中包含为 AIX CDE 提供ToolTalk支持所需要的库文件和可执行文件。
X11.Dt.bitmaps  —  AIX CDE 位图
这个文件集中包含 AIX  CDE 所需要的图标和背景等图案。
X11.Dt.compat   —  AIX CDE 兼容性包
这个文件集中包含有图标,操作定义和可执行文件等文件。这些文件已经从当前的AIX CDE软件包中删除,并且不会在未来的CDE发行版
本中出现。提供它们的目的是为了便于从旧版本的CDE迁移到当前的版本。
X11.Dt.helpinfo —  AIX CDE 帮助文件
这个文件集中包含有完整的AIX CDE帮助文件。
X11.Dt.helpmin  —  AIX CDE 最小帮助文件
这个文件集中包含有最小化的AIX CDE帮助文件。
X11.Dt.helprun  —  AIX CDE 运行时帮助
这个文件集中包含有桌面帮助系统所需要的可执行文件,资源文件和配置文件。
X11.Dt.lib      —  AIX CDE 运行时连接库
这个文件集中包含有支持桌面应用程序的运行时连接库,包括所有桌面服务,桌面小程序和桌面帮助所要使用的所有连接库。
X11.Dt.rte      —  AIX 通用桌面环境
这个文件集中包含有在X Windows上运行CDE所需要的可执行文件,库文件和资源文件。

CDE的初始设定
1、首先请考虑您正在使用的系统控制台。如果您使用的系统安装有图形卡和图形显示器,那么CDE可以直接在这个图形控制台上运行而不需要额外的配置。如果您使用的是ASCII字符控制台,那么CDE不能在这个控制台上运行。以下的步骤可以防止系统试图在这个控制台上启动CDE:
# cp /usr/dt/config/Xservers /etc/dt/config/Xservers
编辑 /etc/dt/config/Xservers ,注释启动Xserver的一行。比如:
# :0 Local local@console /usr/lpp/X11/defaults/xserverrc -T -force :0

2、如何启动CDE
a、在AIX启动时自动启动CDE。使用root用户登录,并在命令行中执行:
# /usr/dt/bin/dtconfig -e

b、在命令行中启动CDE:
# /etc/rc.dt;exit

c、确认CDE已经启动:
# ps -ef |grep dtlogin
# ps -ef |grep dtlogin
root 176222 192638   0 06:11:06      – &

AIXv如何解压zip问题

一、jar -xvf xxx.zip
二、unzip?

AIX 下解压cpio.gz的疑问【待解决】

一、-bash-3.2# gunzip 10gr2_aix5l64_databas*.gz

gunzip: 10gr2_aix5l64_database.cpio.gz: unexpected end of file

以上情况是文件没有上传完毕,文件不完整。

二、# gunzip 10gr2_aix5l64_client.cpio.gz

gunzip: 10gr2_aix5l64_client.cpio: File too large

以上情况是当前用户的data size 和file size 大小 修改为“-1”其中文件file size 是限制文件上传大小。

可以使用ulimit -a 来查看系统配置参数。

以上应确保解压缩用户为安装oracle 10g 的用户 oracle 用户。如果以root用户权限安装也是报第一个错

三、cpio -idmv < 10gr2_aix5l64_client.cpio

—-

以上都试了(1、2没有成功),3、没有反应!
非常郁闷!待解决

AIX查看某个端口被哪个进程占用

在系统管理过程中经常遇到的情况就是在启动某个进程时,会提示端口被占用。如启动WebSphere管理控制台时经常碰到9090端口被占用。用 netstat -an | grep 9090 可以看到该端口正被监听,但却不知道是哪个进程占用了该端口,当然也可以改变端口但比较麻烦。如果能找到是哪个进程占用了该端口,把这个进程kill掉就可以了。

问题解决:

1. netstat -Aan|grep <portnumber>
找到该端口连接对应的 PCB/ADDR 和连接的协议类型。

注:PCB —-Protocol Control Block

2. 如果是 tcp 连接,则 rmsock <PCB/ADDR> tcpcb
如果是 udp 连接,则 rmsock <PCB/ADDR> inpcb
下面我们以 telnet 服务所使用的 23 号端口为例,说明该方法:
#netstat -Aan|grep 23
f1000200019ce398 tcp 0 0 *.23 *.* LISTEN
可以看到 PCB/ADDR 为 f1000200019ce398 ,且协议类型为 tcp 。
#rmsock f1000200019ce398 tcpcb
The socket 0x19ce008 is being held by proccess 185006 (inetd).
命令报告该端口正在被 inetd 进程使用, PID 为 185006 。
注意: rmsock 命令需要 root 权限执行。

AIX中与安全相关的服务 转

AIX中与安全相关的服务
===========================================================

介绍AIX中与安全相关的服务

AIX中与安全相关的服务简介

内容提要: 本文介绍了AIX中与安全相关的服务,内容包括了一些我们平常容易忽略或者比较不常用的服务。对于系统管理员增强系统安全性有一定的参考作用。

说明:
服务 守护程序 如下启动 功能 注释
inetd/bootps inetd /etc/inetd.conf 用于无盘客户机的 bootp 服务 •对于“网络安装管理”(NIM)和系统远程引导是必需的
•与 tftp 一起工作
•在大多数情况下禁用

inetd/chargen inetd /etc/inetd.conf 字符发生器(仅测试) •可用作 TCP 与 UDP 服务
•为“拒绝服务”攻击提供机会
•除非正在测试网络,否则禁用

inetd/cmsd inetd /etc/inetd.conf 日历服务(CDE 使用) •以 root 用户身份运行,因此涉及安全性
•除非用 CDE 申请该服务,否则禁用
•在库房数据库服务器上禁用

inetd/comsat inetd /etc/inetd.conf 通知接收的电子邮件 •以 root 用户身份运行,因此涉及安全性
•很少需要的
•禁用

inetd/daytime inetd /etc/inetd.conf 废弃时间服务(仅测试) •以 root 用户身份运行
•可用作 TCP 与 UDP 服务
•为“拒绝服务 PING”攻击提供机会
•废弃服务并仅对测试使用
•禁用

inetd/discard inetd /etc/inetd.conf /dev/null service(仅测试) •可用作 TCP 与 UDP 服务
•在“拒绝服务攻击”中使用
•废弃服务并仅对测试使用
•禁用

inetd/dtspc inetd /etc/inetd.conf CDE 子过程控制 •此服务由 inetd 守护程序自动启动以响应 CDE 客户机,该客户机请求在守护程序的主机上启动进程。这使它易受攻击
•在没有 CDE 的库房数据库服务器上禁用
•没有该服务 CDE 可能会起作用
•除非绝对需要,否则禁用

inetd/echo inetd etc/inetd.conf 回传服务(只测试) •可用作 TCP 与 UDP 服务
•可用于“拒绝服务或 Smurf”攻击
•用于回送信号给其他人从而穿过防火墙或启动数据传输
•禁用

inetd/exec inetd /etc/inetd.conf 远程执行服务 •以 root 用户身份运行
•要求输入无保护传递的用户标识和密码
•该服务是非常容易遭到监听的
•禁用

inetd/finger inetd /etc/inetd.conf 在用户处进行取数 •以 root 用户身份运行
•给出有关您的系统与用户的信息
•禁用

inetd/ftp inetd /etc/inetd.conf 文件传输协议 •以 root 用户身份运行
•用户标识与口令未加保护地传送,因此易受监听
•禁用此服务并使用公共安全 shell 套件

inetd/imap2 inetd /etc/inetd.conf 因特网邮件访问协议 •确保您正使用该服务器的最新版本
•只当您运行邮件服务器时才必需。否则,禁用
•用户标识与密码未加保护地传递

inetd/klogin inetd /etc/inetd.conf Kerberos 登录 •如果您的站点使用 Kerberos 认证则启用

inetd/kshell inetd /etc/inetd.conf Kerberos shell •如果您的站点使用 Kerberos 认证则启用

inetd/login inetd /etc/inetd.conf rlogin 服务 •易于遭受 IP 欺骗与 DNS 欺骗
•数据(包括用户标识与密码)未加保护地传递
•以 root 用户身份运行
•使用安全 shell 代替该服务

inetd/netstat inetd /etc/inetd.conf 当前网络状态报告 •如在您的系统上运行,可能潜在地把网络信息给黑客
•禁用

inetd/ntalk inetd /etc/inetd.conf 允许用户相互交谈 •以 root 用户身份运行
•不需要产品或库房服务器
•除非绝对需要,否则禁用

inetd/pcnfsd inetd /etc/inetd.conf PC NFS 文件服务 •如果不是当前在使用则禁用服务
•如果需要与此类似的服务,考虑 Samba,pcnfsd 守护程序早于 Microsoft 的 SMB 规范的发行版

inetd/pop3 inetd /etc/linetd.conf 邮局协议 •用户标识与密码未加保护地发送
•如果您的系统是邮件服务器并且拥有使用仅支持 POP3 的应用程序的客户机时才需要
•如果您的客户机使用 IMAP,则用其作为替代,或使用 POP3 服务。该服务有安全套接字层(SSL)报文封装
•如果您不在运行邮件服务器或有需要 POP 服务的客户机,则禁用

inetd/rexd inetd /etc/inetd.conf 远程执行 •以 root 用户身份运行
•用 on 命令监视
•禁用的服务
•使用 rsh 与 rshd 作为替代

inetd/quotad inetd /etc/inetd.conf 文件限额的报告(对于 NFS 客户机) •如果您正在运行 NFS 文件服务才需要
•除非需要对 quota 命令提供应答,否则禁用该服务
•如果需要使用该服务,保持该服务的所有的补丁和修正包为最新的

inetd/rstatd inetd /etc/inetd.conf 内核统计信息服务器 •如果需要监视系统,使用 SNMP 并禁用该服务
•需要使用 rup 命令

inetd/rusersd inetd /etc/inetd.conf 关于用户登录的信息 •这不是基本的服务。禁用
•以 root 用户身份运行
•给出系统上当前用户的列表并用 rusers 监视

inetd/rwalld inetd /etc/inetd.conf 写给所有用户 •以 root 用户身份运行
•如果系统有交互式用户,可能需要保持该服务
•如果系统为产品或数据库服务器,这就不需要
•禁用

inetd/shell inetd /etc/inetd.conf rsh 服务 •如可能则禁用该服务。使用“安全 shell”作为替代
•如果必须使用该服务,则使用 TCP 护封来停止电子欺骗与限制暴露
•需要 Xhier 软件分布程序

inetd/sprayd inetd /etc/inetd.conf RPC 喷射测试 •以 root 用户身份运行
•可能不需要 NFS 网络问题的诊断
•如果不在运行 NFS 则禁用

inetd/systat inetd /etc/inted.conf “ps -ef”状态报告 •允许远程站点察看系统上的进程状态
•该服务缺省情况下禁用。必须周期性地检查来确保未启用该服务

inetd/talk inetd /etc/inetd.conf 在网上两个用户间建立分区屏幕 •不是必需服务
•与 talk 命令一起使用
•在端口 517 提供 UDP 服务
•除非对于 UNIX 用户您需要多个交互式交谈会话,否则禁用

inetd/ntalk inetd /etc/inetd.conf “new talk”在网上两个用户间建立分区屏幕 •不是必需服务
•与 talk 命令一起使用
•在端口 517 提供 UDP 服务
•除非对于 UNIX 用户您需要多个交互式交谈会话,否则禁用

inetd/telnet inetd /etc/inetd.conf telnet 服务 •支持远程登录会话,但未加保护地传递密码和标识
•如果可能,禁用该服务并使用远程访问“安全 shell”作为替代

inetd/tftp inetd /etc/inetd.conf 琐碎文件传送 •在端口 69 提供 UDP 服务
•以 root 用户身份运行并且可能危及安全
•由 NIM 使用
•除非您正使用 NIM 或必须引导无盘工作站,否则禁用

inetd/time inetd /etc/inetd.conf 废弃时间服务 •由 rdate 命令使用的 inetd 的内部功能。
•可用作 TCP 与 UDP 服务
•有时在引导时用于同步时钟
•该服务是过时的。使用 ntpdate 作为替代
•只有在您禁用该服务来测试系统而未发现问
题之后,才能禁用该服务

inetd/ttdbserver inetd /etc/inetd.conf 工具 - 交谈数据库服务器(用于 CDE) •rpc.ttdbserverd 以 root 用户身份运行,且可能危及安全
•为 CDE 规定作为需要的服务,但 CDE 没有它也能工作
•不应该在库房服务器或涉及安全性的任何系统上运行

inetd/uucp inetd /etc/inetd.conf UUCP 网络 •除非有使用 UUCP 的应用程序,否则禁用

inittab/dt init /etc/rc.dt script in the /etc/inittab 桌面登录到 CDE 环境 •在控制台启动 X11 服务器
•支持“X11 显示管理员控制协议”(xdcmp),这样其它 X11 站能登录到同一机器
•应该只在个人工作站使用服务。避免把它用于库房系统

inittab/dt_nogb init /etc/inittab 桌面登录到 CDE 环境(无图形引导) •直到系统充分地启动后才有图形显示
•与 inittab/dt 涉及内容相同

inittab/httpdlite init /etc/inittab 用于 docsearch 命令的 Web 服务器 •文档搜索引擎的缺省 Web 服务器
•除非您的机器是文档服务器,否则禁用

inittab/i4ls init /etc/inittab 许可证管理员服务器 •针对开发机器启用
•针对生产机器禁用
•针对有许可证需要的库房数据库机器启用
•为编译器、数据库软件或任何其它得到许可的产品提供支持

inittab/imnss init /etc/inittab docsearch 命令的搜索引擎 •用于文档搜索引擎的缺省 Web 服务器的一部分
•除非您的机器是文档服务器,否则禁用

inittab/imqss init /etc/inittab 用于“文档搜索”的搜索引擎 •用于文档搜索引擎的缺省 Web 服务器的一部分
•除非您的机器是文档服务器,否则禁用

inittab/lpd init /etc/inittab BSD 行式打印机界面 •从其它的系统接受打印作业
•可以禁用该服务但仍然发送作业到打印服务器
•在确认打印不受影响后,禁用该服务

inittab/nfs init /etc/inittab 网络文件系统/网络信息服务 •基于建立在 UDP/RPC 上的 NFS 与 NIS 服务
•认证是最小的
•对库房机器禁用此项

inittab/piobe init /etc/inittab 打印机 I/O 后端(用于打印) •处理由 qdaemon 提交的作业的调度、假脱机与打印
•如果因为您正发送打印作业到服务器而不从您的系统打印,则禁用

inittab/qdaemon init /etc/inittab 将守护程序排入队列(用于打印) •提交打印作业到 piobe 守护程序
•如果不从系统打印则禁用

inittab/uprintfd init /etc/inittab 内核消息 •通常不是必需的
•禁用

inittab/writesrv init /etc/inittab 写注释到 ttys •只由交互式的 UNIX 工作站用户使用
•对服务器、库房数据库与开发机器禁用该服务
•对工作站启用该服务

inittab/xdm init /etc/inittab 传统的“X11 显示管理” •请不要在库房生产或数据库服务器上运行
•请不要在开发系统上运行,除非 X11 显示管理是需要的
•如果需要图形,则可以在工作站上运行

rc.nfs/automountd /etc/rc.nfs 自动文件系统 •如果使用 NFS,为工作站启用该服务
•不要把自动安装器用于开发或库房服务器

rc.nfs/biod /etc/rc.nfs 阻拦 IO 守护程序(NFS 服务器所必需的) •只为 NFS 服务器启用
•如果不是 NFS 服务器,连同 nfsd 与 rpc.mountd 禁用该服务

rc.nfs/keyserv /etc/rc.nfs 安全 RPC 密钥服务器 •管理安全 RPC 所需要的密钥
•对 NIS+ 来说很重要
•如果您 不 在使用 NFS、NIS 与 NIS+,则禁用此服务

rc.nfs/nfsd /etc/rc.nfs NFS 服务(NFS 服务器所所必需的) •认证为弱
•能提供其本身堆栈帧崩溃
•如果在 NFS 文件服务器上则启用
•如果禁用该服务,那么一起禁用 biod 、 nfsd 与 rpc.mountd

rc.nfs/rpc.lockd /etc/rc.nfs NFS 文件锁定 •如果不在使用 NFS, 禁用此服务
•如果不通过网络使用文件锁定则禁用此服务
•在“SANS 十种最大安全性威胁”中提到 lockd 守护程序

rc.nfs/rpc.mountd /etc/rc.nfs NFS 文件安装(NFS 服务器所必需的) •认证为弱
•能提供其本身堆栈帧崩溃
•应该仅在 NFS 文件服务器上启用
•如果禁用该服务,那么一起禁用 biod 与 nfsd

rc.nfs/rpc.statd /etc/rc.nfs NFS 文件锁定(来恢复它们) •通过 NFS 实现文件锁定
•除非在使用 NFS 否则禁用该服务

rc.nfs/rpc.yppasswdd /etc/rc.nfs NIS 密码守护程序(用于 NIS 主控机) •用来操作本地密码文件
•只有当有问题的机器是 NIS 主控机时才是必需的,在所有其它情况下禁用

rc.nfs/ypupdated /etc/rc.nfs NIS 更新守护程序(用于 NIS 从属机) •接收由 NIS 主控机推进的 NIS 数据库映射
•只有当有问题的机器是主 NIS 服务器的 NIS 从属机时才是必需的

rc.tcpip/autoconf6 /etc/rc.tcpip IPv6 界面 •除非在运行 IPV6,否则禁用

rc.tcpip/dhcpcd /etc/rc.tcpip 动态主机配置协议(客户机) •库房服务器不应该依赖于 DHCP。禁用该服务
•如果主机不在使用 DHCP,则禁用

rc.tcpip/dhcprd /etc/rc.tcpip 动态主机配置协议(中继 •夺取 DHCP 广播并发送它们到另一网络的服务器
•在路由器上查找到的服务的副本
•如果不在使用 DHCP 或依赖于在网络间发送信息,则禁用

rc.tcpip/dhcpsd /etc/rc.tcpip 动态主机配置协议(服务器 •在引导时从客户机应答 DHCP 请求;给予客户机信息,例如 IP 名称、号码、网掩码、路由器与广播地址
•如果不在使用 DHCP ,则禁用该服务
•在生产与库房服务器连同不在使用 DHCP 的主机上禁用

rc.tcpip/dpid2 /etc/rc.tcpip 过期的 SNMP 服务 •除非需要 SNMP,否则禁用

rc.tcpip/gated /etc.rc.tcpip 接口间控制的路由 •仿真路由器功能
•禁用该服务并使用 RIP 或路由器替代

rc.tcpip/inetd /etc/rc.tcpip inetd 服务 •彻底地保护系统则可以禁用该服务,但这通常是不实际的
•禁用该服务会禁用一些邮件与 Web 服务器需要的远程 shell 服务

rc.tcpip/mrouted /etc/rc.tcpip 多播路由 •仿真路由器在网段间发送多点广播信息包的功能
•禁用此服务。使用路由器替代

rc.tcpip/names /etc/rc.tcpip DNS 名称服务器 •只有如果您的机器是 DNS 名称服务器的话,使用此项
•对工作站、开发与生产机器禁用

rc.tcpip/ndp-host /etc/rc.tcpip IPv6 主机 •禁用,除非使用 IPV6

rc.tcpip/ndp-router /etc/rc.tcpip IPv6 路由 •禁用,除非使用 IPV6。考虑使用路由器替代 IPv6

rc.tcpip/portmap /etc/rc.tcpip RPC 服务 •必需的服务
•RPC 服务器用 portmap 守护程序注册。需要定位 RPC 服务的客户机要求 portmap 守护程序告诉它们特定的服务位于何处
•只有当您已成功减少 RPC 服务,从而唯一剩余的是 portmap 时,禁用

rc.tcpip/routed /etc/rc.tcpip 接口间的 RIP 路由 •仿真路由器功能
•禁用如果您有用于网络间的信息包的路由器

rc.tcpip/rwhod /etc/rc.tcpip 远程“who”守护程序 •收集并广播数据来监视同一网络上的服务器
•禁用该服务

rc.tcpip/sendmail /etc/rc.tcpip
邮件服务 •以 root 用户身份运行
•禁用该服务,除非该机器用作邮件服务器
•如果禁用,那么做以下的一项:
•在 crontab 放置一项来清除队列。使用 /usr/lib/sendmail -q 命令
•配置 DNS 服务器,从而传送服务器的邮件到某些其它的系统

rc.tcpip/snmpd /etc/rc.tcpip 简单网络管理协议 •如果您不在通过 SNMP 工具监视该系统,则禁用
•在关键服务器上可能需要 SNMP

rc.tcpip/syslogd /etc/rc.tcpip 事件的系统日志 •不 建议禁用该服务
•倾向于拒绝服务攻击
•任何系统必需

rc.tcpip/timed /etc/rc.tcpip 旧的时间守护程序 •禁用该服务并使用 xntp 代替

rc.tcpip/xntpd /etc/rc.tcpip 新的时间守护程序 •在 sync 中保持系统上的时钟
•禁用该服务。
•配置其它系统为时间服务器并通过使用调用 ntpdate 的 cron 作业让其它系统与其同步

dt login /usr/dt/config/Xaccess 未限制的 CDE •如果不提供 CDE 登录到 X11 站的组,可以限制 dtlogin 到控制台。

匿名 FTP 协议服务 user rmuser -p <username> 匿名 FTP 协议 •匿名 FTP 协议能力使您不能跟踪某个特定用户 FTP 的使用
•如果用户帐户存在,则除去用户 ftp,按如下操作: rmuser -p ftp
•通过将 /etc/ftpusers 文件(带有那些不可以使用 ftp 的用户的列表)植入系统可以获得更高的安全性

匿名 FTP 写入 匿名 ftp 上载 •没有文件属于 ftp。
•FTP 匿名上载允许在系统上安置处理不当代码的潜能。
•把那些您想要禁止的用户的名称放到 /etc/ftpusers 文件
•一些系统创建的用户(您可能想要禁止通过 FTP 匿名上载到系统的用户)的示例是:root、daemon、bin.sys、
admin.uucp、guest、nobody、
lpd、nuucp、ladp、
imnadm
•更改 ftpusers 文件的所有者和组权限,按如下所示: chown root:system /etc/ftpusers
•更改 ftpusers 文件的许可权,使之为更严格的设置,如下所示: chmod 644 /etc/ftpusers

ftp.restrict ftp 到系统帐户 •不应该允许外部用户通过 ftpusers 文件替换 root 文件

root.access /etc/security/user rlogin/telnet 到 root 帐户 •在 etc/security/user 文件设置 rlogin 选项为 false
•以 root 用户身份登录的任何人应该先以自己的名称登录,然后将 su 改为 root;这提供了审计跟踪

snmpd.readWrite /etc/snmpd.conf SNMP 读写团体 •如果 不 在使用 SNMP,则禁用 SNMP 守护程序。
•在 /etc/snmpd.conf 文件中禁用团体 private 与团体 system
•对那些正监视您系统的 IP 地址限制“public”团体

syslog.conf 配置 syslogd •如果还未配置 /etc/syslog.conf ,则禁用该守护程序
•如果正使用 syslog.conf 来记录系统信息,则保持它是启用的

在HP-UNIX和IBM-AIX下锁定/解锁用户

在HP-UNIX下锁定用户:

# passwd -l wzk

测试:

# telnet 127.0.0.1
Trying…
Connected to 127.0.0.1.
Escape character is '^]'.
Local flow control on
Telnet TERMINAL-SPEED option ON

HP-UX hptest B.11.23 U ia64 (te)

login: wzk
Password:
Login incorrect
login:

解锁(实际上就是为该用户设置空口令):

# passwd -d wzk

测试:

# telnet 127.0.0.1
Trying…
Connected to 127.0.0.1.
Escape character is '^]'.
Local flow control on
Telnet TERMINAL-SPEED option ON

HP-UX hptest B.11.23 U ia64 (te)

login: wzk
Please wait…checking for disk quotas
(c)Copyright 1983-2003 Hewlett-Packard Development Company, L.P.
(c)Copyright 1979, 1980, 1983, 1985-1993 The Regents of the Univ. of California
(c)Copyright 1980, 1984, 1986 Novell, Inc.
(c)Copyright 1986-2000 Sun Microsystems, Inc.
(c)Copyright 1985, 1986, 1988 Massachusetts Institute of Technology
(c)Copyright 1989-1993 The Open Software Foundation, Inc.
(c)Copyright 1990 Motorola, Inc.
(c)Copyright 1990, 1991, 1992 Cornell University
(c)Copyright 1989-1991 The University of Maryland
(c)Copyright 1988 Carnegie Mellon University
(c)Copyright 1991-2003 Mentat Inc.
(c)Copyright 1996 Morning Star Technologies, Inc.
(c)Copyright 1996 Progressive Systems, Inc.

RESTRICTED RIGHTS LEGEND
Use, duplication, or disclosure by the U.S. Government is subject to
restrictions as set forth in sub-paragraph (c)(1)(ii) of the Rights in
Technical Data and Computer Software clause in DFARS 252.227-7013.

Hewlett-Packard Company
3000 Hanover Street
Palo Alto, CA 94304 U.S.A.

Rights for non-DOD U.S. Government Departments and Agencies are as set
forth in FAR 52.227-19(c)(1,2).
$

在AIX下锁定用户:

# chuser account_locked=true test88

测试:

# su – test88
$ su – test88
test88's Password:
3004-301 Your account has been locked; please see the system administrator.

3004-501 Cannot su to "test88" : No permission.
$

解锁:

# chuser account_locked=false test88

测试:

# su – test88
$ su – test88
test88's Password:
$

最大的不同之处就是IBM-AIX解锁后不会对用户帐号的原密码进行修改,而HP-UNIX则会把用户帐号密码清空,设置为空口令。从实验中可看出,AIX还是要比HPUX“人性化”!

AIX对用户的登录进行控制

通常黑客能够从AIX缺省的登陆屏幕上得到有价值的信息,如主机名(hostname)、操作系统的版本等。这些信息能够帮助他们选择进攻的策略。出于安全性的考虑,系统管理员应该在系统安装完成后尽快进行一些安全设置。

1.设置/etc/security/login.cfg文件。

参数
是否对pty有效(网络登陆)
是否对tty有效
建议值
说明

Sak_enabled
Y
Y
false
SAK很少使用

Logintimes
N
Y

允许登录的时间

Logindisable
N
Y
4
在logininterval规定的时间内(60秒),当出现logindisable所定义的(4次)连续的登录失败后,禁止在此终端登陆

logininterval
N
Y
60

loginreenable
N
Y
30
被禁止登录的终端,在30分钟后从新被激活

Logindelay
Y
Y
5
登录失败后下次提示符出现前所延迟的时间,此值乘以登陆失败的次数,如 5,10,15,20秒

防止在登录屏幕的欢迎信息里出现有用的信息,需要改变/etc/security/login.cfg文件中的herald参数,可以通过chsec命令或直接编辑此文件进行。

如下所示是使用chsec命令改变缺省的herald参数:
# chsec -f /etc/security/login.cfg -a default -herald
"Unauthorized use of this system is prohibited.nnlogin: "

或直接编辑/etc/security/login.cfg文件
default:
herald ="Unauthorized use of this system is prohibitednnlogin:"
sak_enable = false
logintimes = 0800-2200
logindisable = 5
logininterval = 80
loginreenable = 20
logindelay = 5

2. 改变在CDE环境下的登录屏幕
CDE的登录屏幕缺省会显示主机名和操作系统的版本,系统管理员可以编辑/usr/dt/config/$LANG/Xresources文件,改变系统缺省的欢迎信息,$LANG是指当前系统的语言环境。

假设$LANG为C,则编辑/etc/dt/config/C/Xresources文件,改变包含主机名和操作系统版本的缺省的欢迎信息。

虽然CDE的图形界面对用户十分友好,但它也带来潜在的安全问题。对于安全性要求较高的系统我们建议不要安装CDE的软件包(带有dt的 fileset)。

xwd和xwud命令可以被用来监视X server的活动,它们可以截取用户击键的顺序,从而报漏用户密码或其他有价值的信息。要解决这个问题可以删除这两个文件,或将这两个文件设置成只有root可以运行。

xwd和xwud包含在X11.apps.clients文件集中。

如果你确实需要xwd和xwud提供的功能可以考虑使用OpenSSH或MIT Magic Cookies这些第三方所提供的工具。

xhost + 命令允许远程系统连接你系统的X server,在运行xhost + 命令时一定要在后面跟你所允许的主机名,也就是只给特定的主机访问权限。
#xhost + hostname
另外不允许除root外的其他的用户运行xhost 命令:
chmod 744 /usr/bin/X11/xhost

3.设置自动退出系统(logoff)
另一个潜在的安全漏洞是当用户在登录的状态下离开终端,在这种情况下,其他人可能控制此用户的终端,对系统的安全造成威胁。

为避免这种情况的出现,系统管理员可以设置自动退出系统。编辑/etc/security/.profile文件如下所示:
TMOUT=600; TIMEOUT=600; export readonly TMOUT TIMEOUT
600的单位为秒,相当于10分钟,然而此参数只在shell的状态下有效。