如何安装和恢复 AIX 缺省安全模式
2009-07-11 08:32:25 来源:WEB开发网 闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌熼梻瀵割槮缁炬儳缍婇弻鐔兼⒒鐎靛壊妲紒鐐劤缂嶅﹪寮婚悢鍏尖拻閻庨潧澹婂Σ顔剧磼閻愵剙鍔ょ紓宥咃躬瀵鎮㈤崗灏栨嫽闁诲酣娼ф竟濠偽i鍓х<闁诡垎鍐f寖闂佺娅曢幑鍥灳閺冨牆绀冩い蹇庣娴滈箖鏌ㄥ┑鍡欏嚬缂併劎绮妵鍕箳鐎n亞浠鹃梺闈涙搐鐎氫即鐛崶顒夋晬婵絾瀵ч幑鍥蓟閻斿摜鐟归柛顭戝枛椤牆顪冮妶搴′簼缂侇喗鎸搁悾鐑藉础閻愬秵妫冮崺鈧い鎺戝瀹撲礁鈹戦悩鎻掝伀缁惧彞绮欓弻娑氫沪閹规劕顥濋梺閫炲苯澧伴柟铏崌閿濈偛鈹戠€n€晠鏌嶆潪鎷屽厡闁汇倕鎳愮槐鎾存媴閸撴彃鍓卞銈嗗灦閻熲晛鐣烽妷褉鍋撻敐搴℃灍闁绘挻娲橀妵鍕箛闂堟稐绨肩紓浣藉煐濮樸劎妲愰幘璇茬闁冲搫鍊婚ˇ鏉库攽椤旂》宸ユい顓炲槻閻g兘骞掗幋鏃€鐎婚梺瑙勬儗閸樺€熲叺婵犵數濮烽弫鍛婃叏椤撱垹纾婚柟鍓х帛閳锋垶銇勯幒鍡椾壕缂備礁顦遍弫濠氱嵁閸℃稒鍊烽柛婵嗗椤旀劕鈹戦悜鍥╃У闁告挻鐟︽穱濠囨嚃閳哄啰锛滈梺褰掑亰閸欏骸鈻撳⿰鍫熺厸閻忕偟纭堕崑鎾诲箛娴e憡鍊梺纭呭亹鐞涖儵鍩€椤掑啫鐨洪柡浣圭墪閳规垿鎮欓弶鎴犱桓闂佸湱枪閹芥粎鍒掗弮鍫熷仺缂佸顕抽敃鍌涚厱闁哄洢鍔岄悘鐘绘煕閹般劌浜惧┑锛勫亼閸婃牠宕濋敃鈧…鍧楀焵椤掍胶绠剧€光偓婵犱線鍋楀┑顔硷龚濞咃絿妲愰幒鎳崇喓鎷犻懠鑸垫毐闂傚倷鑳舵灙婵炲鍏樺顐ゆ嫚瀹割喖娈ㄦ繝鐢靛У绾板秹寮查幓鎺濈唵閻犺櫣灏ㄥ銉р偓瑙勬尭濡繂顫忛搹鍦<婵☆垰鎼~宥囩磽娴i鍔嶉柟绋垮暱閻g兘骞嬮敃鈧粻濠氭偣閸パ冪骇鐎规挸绉撮—鍐Χ閸℃ê闉嶇紓浣割儐閸ㄥ墎绮嬪澶嬪€锋い鎺嶇瀵灝鈹戦埥鍡楃仯闁告鍕洸濡わ絽鍟崐鍨叏濡厧浜鹃悗姘炬嫹
闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌熼梻瀵割槮缁炬儳缍婇弻鐔兼⒒鐎靛壊妲紒鐐劤缂嶅﹪寮婚悢鍏尖拻閻庨潧澹婂Σ顔剧磼閻愵剙鍔ょ紓宥咃躬瀵鎮㈤崗灏栨嫽闁诲酣娼ф竟濠偽i鍓х<闁诡垎鍐f寖闂佺娅曢幑鍥灳閺冨牆绀冩い蹇庣娴滈箖鏌ㄥ┑鍡欏嚬缂併劌銈搁弻鐔兼儌閸濄儳袦闂佸搫鐭夌紞渚€銆佸鈧幃娆撳箹椤撶噥妫ч梻鍌欑窔濞佳兾涘▎鎴炴殰闁圭儤顨愮紞鏍ㄧ節闂堟侗鍎愰柡鍛叀閺屾稑鈽夐崡鐐差潻濡炪們鍎查懝楣冨煘閹寸偛绠犻梺绋匡攻椤ㄥ棝骞堥妸鈺傚€婚柦妯侯槺閿涙稑鈹戦悙鏉戠亶闁瑰磭鍋ゅ畷鍫曨敆娴i晲缂撶紓鍌欑椤戝棛鈧瑳鍥ㄥ€垫い鎺戝閳锋垿鏌i悢鍛婄凡闁抽攱姊荤槐鎺楊敋閸涱厾浠搁悗瑙勬礃閸ㄥ潡鐛崶顒佸亱闁割偁鍨归獮宥囩磽閸屾艾鈧兘鎮為敃鍌涙櫔缂傚倷鐒﹂妵鍡涘炊閵娧冨笚闁荤喐绮嶇划鎾崇暦濠婂牊鏅濋柛灞炬皑閻撴垿姊洪崨濠傚Е闁绘挸鐗嗗玻鍧楀冀椤撶喓鍘卞┑鐘绘涧濡鎮甸弮鍌涘枑闁哄倽娉曢弳锕傛煙椤栫偛浜版俊鑼亾缁绘稓鈧數枪瀛濋梺闈涚墢鏋い顐㈢箻閹煎湱鎲撮崟顐ゅ酱闂備浇鍋愰埛鍫ュ礈濞戙埄鏁婂鑸靛姈閳锋垿鏌i幘铏崳缂佸娅g槐鎺楁偐瀹曞洤鈷屽Δ鐘靛仜閸燁垶濡堕敐澶婄闁宠桨璁查崑鎾寸節濮橆厾鍙冨┑鈽嗗灟鐠€锕€危婵傚憡鐓欓柤鎭掑劜缁€瀣叏婵犲啯銇濇俊顐㈠暙閳藉娼忛…鎴斿亾閸℃ḿ绡€缁剧増菤閸嬫捇鎼归銏$亷闁诲氦顫夊ú蹇涘垂娴犲绠栧ù鐘差儏瀹告繂鈹戦悙闈涗壕閻庢艾銈稿娲嚒閵堝懏鐎鹃梺鑽ゅ枂閸庢娊鍩€椤掍焦鐨戦柛蹇斆悾鐑筋敍濠靛牏鏉稿┑鐐村灦閻熝囧储闁秵鈷戠紓浣光棨椤忓棗顥氭い鎾跺枑濞呯娀鏌i姀鐘冲暈闁绘挸绻橀弻娑㈠焺閸愮偓鐣堕梺閫炲苯澧繝鈧潏鈺冪=闁规儳顕々鐑芥倵閿濆簼绨荤紒鎰⊕缁绘繈鎮介棃娴躲垽鎮楀鐓庡⒋闁绘侗鍣e畷濂稿Ψ閿旇瀚肩紓浣鸿檸閸樺ジ骞婃惔銊嬪顓兼径瀣幍濠电偠灏濠勮姳閼恒儰绻嗛柛娆忣槸婵秶鈧鍠楅幐鎶藉箖閵忋倕浼犻柛鏇樺妼瑜板繘姊婚崒姘偓鎼佸磹閹间礁纾瑰瀣椤愯姤鎱ㄥ鍡楀幊缂傚倹姘ㄩ幉绋款吋閸パ冪柧闂傚倷绶氬ḿ褔鎮ч崱妞曟椽鎮╃拠鑼紱闂佸湱鍋撻崜姘缚閳哄倶浜滈柟鎵虫櫅閻忊晝绱掓笟鍥ф珝婵﹨娅g槐鎺懳熼崷顓犵畳闂備線娼荤紞鍥╃礊娓氣偓閹即顢氶埀顒勭嵁閹烘绠犻柧蹇e亝椤ュ牓鏌涢埞鎯т壕婵$偑鍊栫敮鎺楀磹缂佹ḿ鈻旂€广儱顦伴悡銉︾節闂堟稒顥炴い銉уХ缁辨帡鍩﹂埀顒勫磻閹剧粯鈷掗柛灞捐壘閳ь剚鎮傞幃褎绻濋崟顓犵厯闂佺鎻粻鎴澬ч崣澶岀闁糕剝顨堢拹鈺呮煟閻旂ǹ顥愰柛顐邯閺屾盯顢曢悩鑼紕闂佸搫妫崑濠傤潖濞差亜浼犻柛鏇ㄥ幘閸斿湱绱撻崒姘毙¢柣鎺炵畵楠炲牓濡搁埡浣哄姦濡炪倖甯掔€氼參鎮¢崘顔界厵妞ゆ牗绮岄。鑲╃棯椤撶姴浜剧紒缁樼箞閸┾偓妞ゆ帊鐒︾紞鍥煏婵炑冩噹妤犲嫰姊绘担鍛婃儓婵炲眰鍔戝畷浼村箻鐠哄搫袣闂侀€炲苯澧柍瑙勫灴椤㈡瑩寮妶鍕繑闂備礁鎲¢敃銏㈢不閺嵮呮殾闁靛繈鍊栭崑銊╂煕濞戞☉鍫ュ箯閾忓湱纾介柛灞剧懅閸斿秹鏌ㄥ顑芥斀妞ゆ洖妫涢悾鐢告煛鐏炲墽娲存鐐达耿瀵爼骞嬪┑鍥ㄥ殘闂傚倷娴囬鏍窗濡ゅ嫭鎳屾繝鐢靛仧閸樠呮崲濡绻嗛柟闂寸鍥撮梺鎼炲劗閺呮繈寮虫导瀛樷拻闁稿本鐟чˇ锔界節閳ь剚娼忛埡浣哥亰濡炪倖鐗楃划宥夊汲濠婂牊鐓熼柟閭﹀墰閹界姵绻涢崨顖毿g紒缁樼洴楠炲鎮欑€靛憡顓荤紓浣哄亾瀹曟﹢宕戦幇顔筋潟闁规儳鐡ㄦ刊鎾偣閹伴潧鐏g紒杈ㄦ緲閳规垿鎮欓弶鎴犵シ濡炪倖娲﹂崣鍐春閳ь剚銇勯幒鎴濇灓婵炲吋鍔栫换娑㈠矗婢跺苯鈪归梺浼欑悼閸忔﹢銆佸Δ鍛妞ゅ繐鍟伴懗娲⒒閸屾艾鈧绮堟笟鈧獮澶愭晸閻樿尙顦梺鍝勬储閸ㄥ綊鎮块鈧弻锝呂熷▎鎯ф缂備讲鍋撻柛顐ゅ枔缁♀偓闂傚倸鐗婄粙鎾存櫠濞戞埃鍋撶憴鍕鐎殿喖澧庨幑銏犫槈閵忕姷顓洪梺缁樺姂閸斿海妲愭导瀛樷拺闁告繂瀚ˉ婊勪繆椤愶綆娈滈柛鈺冨仱楠炲鏁傞挊澶夋睏闂佸搫顦悧婊堝磻閸曨垰鍌ㄩ柨鐔哄У閳锋垿寮堕悙鏉戭棆闁告柨绉归弻锝呂旀担铏圭厒濠碘€冲级閸旀瑩鐛Ο灏栧亾濞戞顏堫敁閹惧绠鹃悗鐢登瑰瓭濡炪倖鍨甸幊姗€鐛Δ鍛仺闁告稑艌閹锋椽姊洪棃鈺佺槣闁告ü绮欏畷鐢稿焵椤掆偓閳规垿鎮欓懠顒佸嬀闂佺ǹ锕ョ换鍫ョ嵁閸愨斂鍋呴柛鎰ㄦ櫅閳ь剙顭烽弻锕€螣娓氼垱楔濡炪倖鏌ㄩ敃顏勵潖閾忚鍠嗛柛鏇ㄥ墮閸撳綊姊洪崨濞掕偐鍒掑▎蹇曟殾闁瑰墽绮崑銊╂煕濞戞☉鍫ュ箯濞差亝鈷戦柤濮愬€曢弸鎴炵節閵忊槄鑰挎鐐插暞缁楃喖鍩€椤掑嫬钃熼柨婵嗩槸缁犳娊鏌i幇顔芥毄闁哄棎鍊濆铏规嫚閳ヨ櫕鐏嶅銈冨妼閿曨亪鎮伴鈧浠嬪Ω閿曗偓椤庢捇姊虹粙璺ㄧ妞わ附澹嗛埀顒佷亢濡嫰鍩為幋锔藉€烽柤鎼佹涧濞懷呯磽娴g懓绲绘繛灏栤偓宕囨殾闁哄洢鍨瑰洿婵犮垼娉涢敃銈夊箚閻愮儤鈷戦梺顐ゅ仜閼活垱鏅剁€涙ɑ鍙忓┑鐘插暞閵囨繃顨ラ悙瀵稿⒌闁诡喗鐟ラ湁閻庯綆浜欐竟鏇㈡⒑閸濆嫮鈻夐柛妯圭矙瀹曟垹鈧綆鍠楅悡鐔镐繆椤栨氨浠㈤柛姘贡閳ь剝顫夐幐椋庢濮樿埖鍋傛い鎰剁畱閻愬﹪鏌曟繛褉鍋撳┑顔兼喘濮婃椽宕崟顒€娅ら梺璇″枛閸婂灝顕f繝姘╅柍鍝勫€告禍鐐烘⒑缁嬫寧婀扮紒瀣灴椤㈡棃鏁撻敓锟�
濠电姷鏁告慨鐑藉极閸涘﹥鍙忛柣鎴f閺嬩線鏌涘☉姗堟敾闁告瑥绻橀弻锝夊箣閿濆棭妫勯梺鍝勵儎缁舵岸寮诲☉妯锋婵鐗婇弫楣冩⒑閸涘﹦鎳冪紒缁橈耿瀵鏁愭径濠勵吅闂佹寧绻傚Λ顓炍涢崟顖涒拺闁告繂瀚烽崕搴g磼閼搁潧鍝虹€殿喛顕ч埥澶娢熼柨瀣垫綌婵犳鍠楅〃鍛存偋婵犲洤鏋佸Δ锝呭暞閳锋垿鏌涘☉姗堝姛闁瑰啿鍟扮槐鎺旂磼濡櫣浼屾繝纰夌磿閺佽鐣烽悢纰辨晬婵﹢纭搁崯瀣⒒娴e憡鍟炴い銊ョ墦瀹曟垿鎮㈤崫銉祫闂佸吋绁撮弲婵堝閽樺褰掓晲閸涱喗鍎撳銈呴閻倿寮诲☉銏犖╅柕澹啰鍘介柣搴㈩問閸犳盯顢氳閸┿儲寰勯幇顒夋綂闂佺粯岣块弫鎼佸级閹间焦鈷掗柛灞捐壘閳ь剚鎮傞幃褎绻濋崟顓犵厯闂佸湱鍎ら〃鍡涘磹閸洘鐓曟い鎰Т閸旀粓鏌涙繝鍕毈闁哄矉缍侀幃銏ゅ传閸曞灚姣夐梻浣告憸閸犳捇宕戦悢鐑橆潟闁圭儤姊圭€氭岸鏌熺紒妯虹瑲婵炲牏绮换婵堝枈婢跺瞼锛熼梺杞版祰椤曆囨偩閻戣姤鍋勭痪鎷岄哺閺咁剙鈹戦鏂よ€跨痪顓熸倐瀹曨垳鈧綆鍠楅埛鎴︽偣閸ャ劎鍙€闁告瑥瀚换娑欐媴閸愬弶鎼愮紒鐘靛劋缁绘繃绻濋崒婊冾杸闂佺ǹ顑傞弲娑㈠煘閹达箑纾兼慨姗嗗幖閺嗗牓姊洪幎鑺ユ暠闁搞劌缍婇幆鈧い蹇撶墱閺佸洭鏌i幇顓熺稇妞ゅ孩绋戦埞鎴︽倷閹绘帗鍊梺鍛婃⒐閻楁粓骞戦姀鐘闁靛繆鈧櫕顓绘俊鐐€栧濠氬磻閹剧粯鐓涢悗锝庝簻椤掋垽鏌曢崶褍顏い銏℃礋婵偓闁靛繈鍩勯崬铏圭磽閸屾瑦绁板鏉戞憸閺侇噣骞掗弴鐘辫埅闂傚倷绀侀崥瀣矈閹绢喖鐤炬繝濠傜墕閸氬湱鈧厜鍋撻柛鏇ㄥ厴閹风粯绻涢幘鏉戠劰闁稿鎹囬弻宥堫檨闁告挻鐩畷鎴濃槈閵忊€虫濡炪倖鐗楃粙鎺戔枍閻樼偨浜滈柡鍐ㄦ搐娴滃綊鏌¢崱妤侇棦闁哄被鍔岄埞鎴﹀幢濞嗗浚鏆梻浣告啞閺屻劑鎮樺璺何﹂柛鏇ㄥ灡閺呮粓鏌i敐鍛板鐎殿喓鍔戝铏规嫚閳ヨ櫕鐝紓浣虹帛缁诲啯绌辨繝鍥ㄥ殝闂傚牊绋撶粣鐐烘煟鎼搭垳绉甸柛鎾寸懅閺侇喗銈i崘鈹炬嫽婵炶揪绲挎灙妞ゃ儱绻橀弻娑氣偓锝庝簼閸d粙鏌熼獮鍨伈鐎规洘锕㈤、娆撴嚃閳哄骞㈠┑锛勫亼閸婃洜鎹㈤幇鏉跨疇闁归偊鍠氭稉宥夋煕閹炬せ鍋撻柛瀣崌閹兘寮跺▎鐐棏闂備礁鎽滄慨闈浢哄⿰鍫熷殟閺夊牄鍔庣弧鈧┑顔斤供閸撴盯鎮炬ィ鍐┾拺缂備焦蓱閻撱儵鏌涘顒夊剶闁糕晜鐩獮瀣晜閽樺鍋撻悽鍛婄厱闁挎棁顕ч獮鏍冀閿熺姵鈷戦梻鍫熺⊕椤ユ粓鏌涢悢鍛婂唉鐎殿喖顭锋俊鑸靛緞婵犲嫷妲伴梻浣藉亹閳峰牓宕滃▎鎾村亗闁绘柨鍚嬮崐鐢告偡濞嗗繐顏紒鈧崘顏嗙<閻犲洩灏欐晶锔锯偓娈垮櫘閸嬪﹤鐣峰鈧、娆撴嚃閳轰礁袝濠碉紕鍋戦崐鏍暜閹烘柡鍋撳鈧崶褏鍔﹀銈嗗笂閻掞箓藟閸懇鍋撶憴鍕闁挎洏鍨介妴浣糕枎閹惧啿绨ユ繝銏n嚃閸ㄦ澘煤閿曞倹鍋傞柡鍥ュ灪閻撳啴鏌嶆潪鎵槮闁哄鍊栫换娑㈠醇閻曞倽鈧潡鏌″畝瀣М闁诡喓鍨荤划娆撳垂椤曞懏缍掑┑鐘愁問閸犳牠鏁冮妷銉富濞寸姴顑呯粻鏍煃閳轰礁鏆為柛搴e枛閺屽秹鍩℃担鍛婃闂佷紮璁g紞浣割潖缂佹ɑ濯撮柧蹇曟嚀缁楋繝姊虹紒姗嗘畷婵炶尙鍠愭穱濠囧礈娴h櫣鐓撻柣鐘充航閸斿秴鈻撴ィ鍐┾拺缂備焦锚閻忥箑鐣濋敐鍫熺《鐎殿啫鍥х劦妞ゆ帒瀚埛鎴︽煙閼测晛浠滈柛鏂哄亾闂備礁鎲¢崝鎴﹀礉鎼淬劌围妞ゆ洍鍋撴慨濠傤煼瀹曟帒鈻庨幋鐘靛床婵犵數鍋橀崠鐘诲礋閸偒鍟嶉梻濠庡亜濞诧箑煤濮椻偓閿濈偤寮撮姀锛勫幐闂佹悶鍎崕閬嶆倶閳哄懏鐓曢悘鐐额嚙婵′粙鏌曢崶褍顏紒鐘崇洴楠炴ḿ鎹勬笟顖涙緫闂傚倷鐒︽繛濠囧绩闁秴鍨傞柛褎顨呴拑鐔兼煟閺傚灝鎮戦柛銈呭暣閺屽秵娼悧鍫▊缂備緡鍠栭悥鐓庮潖濞差亜宸濆┑鐘插暊閹风懓顪冮妶鍐ㄥ闁挎洦浜滈锝嗙節濮橆厽娅㈤梺缁樕戣ぐ鍐玻濞戞﹩娓婚柕鍫濇椤ュ牓鏌℃笟鍥ф灍闁逛究鍔戝畷鍫曞煛閸愵亷绱冲┑鐐舵彧缁叉寧鐏欓梺閫炲苯澧繝鈧柆宥呮瀬妞ゆ洍鍋撻柟顔哄灪娣囧﹪骞橀搹顐㈢獩闂侀€炲苯澧存繛浣冲洤绠烘繝濠傛噹椤ユ艾鈹戦崒婧撳湱鐥閺屾盯顢曢敐鍥f婵犲痉銈呬汗缂佽鲸甯掕灃濞达絼璀﹂弳锛勭磽娴h櫣甯涢柣鈺婂灦楠炲啴鍩勯崘鈺佸妳闂佹寧绻傚ù鍌炲疮鐎n喗鈷掑ù锝堟閵嗗﹪鏌¢崒娆戠獢鐎规洘绮岄埞鎴犫偓锝庝簽椤斿棝姊洪崨濠勨槈闁宦板姂閹繝濡烽埡鍌氣偓鐢告煥濠靛棙鍣藉ù鐘崇〒缁辨挸顓奸崱鈺傜杹濠殿喖锕ら…宄扮暦閹烘埈娼╂い鎴f娴滃墽鈧懓瀚崳纾嬨亹閹烘垹鍊為悷婊勭矊闇夐柡宥庡幗閻撳繐鈹戦悙闈涗壕婵炲懎妫濋弻娑欑節閸屾稑浠撮梺鍝勮閸旀垵顕i幘顔藉€锋繛鏉戭儏娴滈箖鏌涘┑鍕姢濞戞挸绉归弻锛勪沪鐠囨彃濮曢梺缁樻尰濞茬喖寮婚弴鐔风窞婵☆垳鍎ら悘鍫熺節閳封偓鐏炶姤鐝濋梺鍝勭焿缁辨洟鍩€椤掑﹦宀涢柡鍛箘缁綁寮崼鐔哄幐閻庡厜鍋撻柍褜鍓熷畷浼村冀瑜忛弳锔界節婵犲倹锛嶆俊鏌ョ畺閺岋綁濮€閳轰胶浠梺鐑╂櫓閸ㄨ泛顕f繝姘櫢闁绘ɑ褰冪粣娑橆渻閵堝棙顥嗘俊顐㈠閸┾偓妞ゆ帊绀佹慨宥夋煛瀹€瀣?濞寸媴濡囬幏鐘诲箵閹烘繃缍嗛梻鍌欐祰椤曟牠宕伴幘璇茬9婵犻潧妫涢弳锕傛煙閻戞ê鐏嶆俊鎻掔墛閹便劌螖閳ь剙螞閺冨倹顫曢柨鐕傛嫹闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌熼梻瀵割槮缁炬儳缍婇弻鐔兼⒒鐎靛壊妲紒鐐劤缂嶅﹪寮婚悢鍏尖拻閻庨潧澹婂Σ顔剧磼閻愵剙鍔ょ紓宥咃躬瀵鎮㈤崗灏栨嫽闁诲酣娼ф竟濠偽i鍓х<闁诡垎鍐f寖闂佺娅曢幑鍥灳閺冨牆绀冩い蹇庣娴滈箖鏌ㄥ┑鍡欏嚬缂併劎绮妵鍕箳鐎n亞浠鹃梺闈涙搐鐎氫即鐛崶顒夋晬婵絾瀵ч幑鍥蓟閻斿摜鐟归柛顭戝枛椤牆顪冮妶搴′簼缂侇喗鎸搁悾鐑藉础閻愬秵妫冮崺鈧い鎺戝瀹撲礁鈹戦悩鎻掝伀缁惧彞绮欓弻娑氫沪閹规劕顥濋梺閫炲苯澧伴柟铏崌閿濈偛鈹戠€n€晠鏌嶆潪鎷屽厡闁汇倕鎳愮槐鎾存媴閸撴彃鍓卞銈嗗灦閻熲晛鐣烽妷褉鍋撻敐搴℃灍闁绘挻娲橀妵鍕箛闂堟稐绨肩紓浣藉煐濮樸劎妲愰幘璇茬闁冲搫鍊婚ˇ鏉库攽椤旂》宸ユい顓炲槻閻g兘骞掗幋鏃€鐎婚梺瑙勬儗閸樺€熲叺婵犵數濮烽弫鍛婃叏椤撱垹纾婚柟鍓х帛閳锋垶銇勯幒鍡椾壕缂備礁顦遍弫濠氱嵁閸℃稒鍊烽柛婵嗗椤旀劕鈹戦悜鍥╃У闁告挻鐟︽穱濠囨嚃閳哄啰锛滈梺褰掑亰閸欏骸鈻撳⿰鍫熺厸閻忕偟纭堕崑鎾诲箛娴e憡鍊梺纭呭亹鐞涖儵鍩€椤掑啫鐨洪柡浣圭墪閳规垿鎮欓弶鎴犱桓闂佸湱枪閹芥粎鍒掗弮鍫熷仺缂佸顕抽敃鍌涚厱闁哄洢鍔岄悘鐘绘煕閹般劌浜惧┑锛勫亼閸婃牠宕濋敃鈧…鍧楀焵椤掍胶绠剧€光偓婵犱線鍋楀┑顔硷龚濞咃絿妲愰幒鎳崇喓鎷犻懠鑸垫毐闂傚倷鑳舵灙婵炲鍏樺顐ゆ嫚瀹割喖娈ㄦ繝鐢靛У绾板秹寮查幓鎺濈唵閻犺櫣灏ㄥ銉р偓瑙勬尭濡繂顫忛搹鍦<婵☆垰鎼~宥囩磽娴i鍔嶉柟绋垮暱閻g兘骞嬮敃鈧粻濠氭偣閸パ冪骇鐎规挸绉撮—鍐Χ閸℃ê闉嶇紓浣割儐閸ㄥ墎绮嬪澶嬪€锋い鎺嶇瀵灝鈹戦埥鍡楃仯闁告鍕洸濡わ絽鍟崐鍨叏濡厧浜鹃悗姘炬嫹 闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌熼梻瀵割槮缁炬儳缍婇弻鐔兼⒒鐎靛壊妲紒鐐劤缂嶅﹪寮婚悢鍏尖拻閻庨潧澹婂Σ顔剧磼閻愵剙鍔ょ紓宥咃躬瀵鎮㈤崗灏栨嫽闁诲酣娼ф竟濠偽i鍓х<闁绘劦鍓欓崝銈囩磽瀹ュ拑韬€殿喖顭烽弫鎰緞婵犲嫷鍚呴梻浣瑰缁诲倿骞夊☉銏犵缂備焦岣块崢閬嶆⒑闂堟稓澧曢柟鍐查叄椤㈡棃顢橀姀锛勫幐闁诲繒鍋犻褔鍩€椤掍胶绠撻柣锝囧厴椤㈡洟鏁冮埀顒€鏁梻浣瑰濡焦鎱ㄩ妶澶嬪剨閹肩补妾ч弨浠嬫煟閹邦剚鈻曢柛銈囧枎閳规垿顢氶埀顒€岣胯閿濈偛鈹戠€n€晝鎲告惔顭掔稏闁哄洢鍨洪悡娆撴煙鐟欏嫬濮﹂柛銈嗙懅閻ヮ亪骞嗚閹垹绱掔紒妯兼创鐎规洖宕灒闁惧繐婀遍幊鍡涙⒒娴e憡鍟為柨鏇ㄥ亞濡叉劙寮撮悩鎰佹綗闂佽鍎抽顓㈡偡瑜版帗鐓曢柕澶嬪灥鐎氼喛銇愰鐐粹拻濞达綀顫夐崑鐘绘煕閺傝法鐒搁柟顔哄劦瀹曟姊荤€靛摜鐣鹃梻浣告贡閾忓酣宕伴弽顐ょ焼闁告劏鏂傛禍婊堟煛閸愩劌鈧摜鏁崜浣虹<闁归偊鍘惧ú瀛樻叏婵犲啯銇濈€规洦鍋婂畷鐔煎垂椤愬诞鍥ㄢ拺闁硅偐鍋涙俊鑲╃磽瀹ュ拑宸ラ柣锝囧厴婵偓闁绘ê妫欏浠嬨€侀弮鍫濆窛妞ゆ挻绋戞禍楣冩煕椤垵浜芥繛鍫滅矙閺岋綁骞囬姘辨婵炲濮伴崹浠嬪蓟濞戙垹绫嶉柍褜鍓涢崰濠傤吋婢跺á锕傛煕閺囥劌鐏¢柡鍛矒閹綊宕堕鍕婵炲濮甸幃鍌炲箖濡ゅ啯鍠嗛柛鏇ㄥ墰閳规稓绱撴担铏瑰笡缂佽鐗撻幃浼搭敊閼恒儱鍔呴梺闈涒康缁犳垵鈻撻悢鍏尖拺闂傚牊鍐荤槐锟犳煕閹扳晛濡兼い鈺婂墴濮婂宕掑顑藉亾閹间降鍋戦柟缁㈠枛绾惧鏌涢弴銊モ偓瀣洪鍛珖闂侀€炲苯澧伴柛娆忔嚇濮婃椽宕崟顓夌娀鏌涢弬鍨劉闁哄懎鐖奸弫鎾绘偐閺傘儲瀚介梻浣呵归張顒勬偡閿斿墽鐭堥柣妤€鐗勬禍婊堟煛閸パ勵棞闁瑰啿顦靛畷鎴﹀箻鐠囨彃鐎銈嗗姂閸ㄨ櫣鎷犻悙鐑樺€甸悷娆忓缁€鍐磼椤旇姤宕屾鐐插暣婵偓闁挎稑瀚板顔界節閵忥絾纭炬い鎴濇川缁瑦绗熼埀顒€顫忕紒妯诲闁荤喐婢樻慨銏㈢磽娴h櫣甯涢柛鏃€娲熼弫鍐閳╁啰绉堕梺瀹犳〃缁垛€澄涘⿰鍫熲拺缂佸娉曠粻缁樹繆椤愩儲纭堕柟骞垮灲瀹曞崬螣闂€鎰泿闂備礁鎼粔鏌ュ礉鎼淬劊鈧倿寮婚妷锔惧幍濡炪倖鐗楀銊︽櫠濞戙垺鐓忛柛銉戝喚浼冨銈冨灪濞茬喐鎱ㄩ埀顒勬煏韫囧鐏╁┑顔块哺缁绘繂鈻撻崹顔界亪闂佹寧娲忛崕閬嶁€旈崘顔藉癄濠㈣泛鏈▓楣冩⒑缂佹ê鐏╅柣鈩冩瀵偊宕堕妸褏顔曢梺鐟邦嚟閸嬬喖骞婇崘顔界厽婵犻潧顑勯幉鐐叏婵犲嫮甯涢柟宄版嚇瀹曘劑妫冨☉姘毙ㄥ銈冨灪閻楃姴鐣烽妸鈺婃晣闁搞儯鍔庨埥澶愭煃鐟欏嫬鐏╅柍褜鍓ㄧ紞鍡樼閻愮儤鍋╁Δ锝呭暞閳锋垿姊洪銈呬粶闁兼椿鍨遍弲鍫曨敍閻愬鍘梺鎼炲劀閸愬彞绱撶紓鍌欒兌婵敻鎯勯鐐靛祦婵☆垰鐨烽崑鎾诲垂椤愶絽浠╅梺绋款儐閸旀牜鎹㈠┑鍫濇瀳婵☆垱妞垮ḿ鎴︽⒑閹肩偛濡藉鐟版閸┾偓妞ゆ帊鑳堕。鍙夌節閵忊槄鑰块柨婵堝仩缁犳盯骞樻担瑙勩仢妞ゃ垺妫冨畷鐔碱敂閸℃瑥鈧偤姊婚崒娆戭槮闁规祴鈧秮娲晝閸屾氨顦┑顔角瑰▔娑氱不椤栫偞鐓曟俊銈呭暙娴滃綊鏌¢埀顒佺鐎n偆鍘介梺褰掑亰閸樿偐寰婇懡銈囩<闁绘瑦鐟ラ崯浼村汲閸℃稒鐓ユ繝闈涙閸f椽鏌涚€c劌鍔滄い銊e劦閹瑩寮堕幋鐘辩礉濠电姵顔栭崰鎺楀磻閹剧粯鈷戠紓浣癸公娓氭盯鏌涚€n亝鍤囩€殿噮鍓熼崺鈧い鎺嗗亾闁宠鍨块幃鈺呭垂椤愶絾鐦庡┑鐘愁問閸犳牠顢氶銏犵劦妞ゆ帊绀侀崵顒勬煕閿濆繒鍒版い鏇秮瀹曞ジ寮撮悙娈垮晣濠电偠鎻徊浠嬪储濠婂牆绠繛宸簼閳锋垿鏌涘☉姗堝姛缂佺姵鎹囬幃妤€顫濋悡搴$濡炪倖鏌ㄧ换鎰板煘閹达箑骞㈤煫鍥ㄦ⒐閺夊憡淇婇悙顏勨偓鏍ь潖瑜版帒纾块柟鎯版閸屻劑鏌熺紒銏犳灍闁绘挻鐟﹂妵鍕籍閸ヨ泛娈悗瑙勬尭濡鍩為幋锔芥櫖闁告洦鍋勯獮瀣⒑缁洘娅旂紒缁樼箓閻g兘骞掗幊铏⒐閹峰懘宕滈煫顓犲簥濠电姷鏁告慨鐑藉极閹间礁纾婚柣妯款嚙缁犲灚銇勮箛鎾搭棞缂佽翰鍊曢湁闁绘ê妯婇崕蹇曠磼閻樹警娼愰柕鍥у楠炲洭鍩℃担鎻掍壕闁哄稁鍘煎Ч鍙夌節婵犲倻澧涢柛瀣剁秮瀵爼鎮欓弶鎴偓婊勩亜閹烘柨鏋涢柡宀嬬秮瀵剟骞愭惔顔斤紗闂備礁鎼惌澶岀礊娓氣偓楠炲啴濮€閻樺灚娈濋梺瑙勵問閸犳艾鈻旈崸妤佲拻濞达絽顫曢埀顑藉亾闂佺ǹ顑嗛幑鍥蓟閵堝棙鍙忛柟閭﹀厴閸嬫挸螖閸愵煈妫滄繝闈涘€搁幉锟犳偂閺囥垺鍊堕柣鎰版涧娴滈箖鏌i妸锕€鐏╅柍褜鍓氱粙鎺旀崲閸屾繄浜欐繝寰锋澘鈧洟鏁冮敐鍥С闁绘垼濮ら悡鏇熶繆閵堝倸浜鹃梺鍝ュ枎濞硷繝骞冩ィ鍐╁€婚柤鎭掑劚娴滄鏌熼崗鍏煎剹闁哥姵顨婂畷鎾绘偨閸涘ň鎷洪梺鍦瑰ù椋庣不閹剧粯鐓欓柛鎰皺鏍$紓浣规⒒閸犳牕顕i幘顔碱潊闁抽敮鍋撻柟閿嬫そ濮婃椽宕ㄦ繝鍕暤闁诲孩鍑归崜鐔奉嚕閸愭祴鏋庨柟鎯ь嚟閸樿棄鈹戞幊閸婃劙宕戦幘缈犵箚妞ゆ劧绲块妴鎺楁煕閹烘挸娴€规洖銈告俊鐑藉Ψ瑜滃Σ浼存⒒娴e摜锛嶉柟铏崌婵¢潧螣閼规澘小婵犵數濮电喊宥壦夋繝鍐︿簻闁规壋鏅涢悘顏堟煙閸忕厧濮堢紒缁樼〒閳ь剛鏁告灙闁告ɑ鎸抽幐濠傗攽鐎n偆鍙嗛梺鍝勬处椤ㄥ懏绂嶆ィ鍐┾拻闁搞儜灞拘х紓浣虹帛缁诲啰鎹㈠┑瀣<婵犲﹤鍟犻崣锟犳⒒娴i涓茬紒鍙夊劤椤啯绂掔€n亣鎽曢梺鎸庣☉鐎氼亜鈻介鍫熷仯闁搞儯鍔岀徊缁樸亜椤掆偓閻楁挸顫忛搹鍏夊亾閸︻厼顎屾繛鍏煎姍閺屾盯濡搁妷褌铏庨梺浼欑悼閸忔ê鐣烽敓鐘冲€烽柍鍝勫亞濞兼棃姊绘担鐑樺殌闁告埃鍋撶紓浣插亾濞达絽婀遍々鏌ユ煟閹伴潧鍘哥紒璇叉閺屾洟宕煎┑鍡忓亾閸涘﹦顩查柟顖嗗本瀵岄梺闈涚墕妤犵ǹ顕i妸鈺傜厱閹肩补妲呴悡鑲╁姬閹剧偨鈧帒顫濋敐鍛闂備礁鎼張顒勬儎椤栫偛绠栭柍杞拌兌閺嗭箓鏌涢妷鎴斿亾闁归澧楃换婵嬫偨闂堟刀娑㈡煕鐎n偅灏柕鍡樺笒椤繈鏁愰崨顒€顥氬┑鐘愁問閸犳牠鏁冮妸銉㈡瀺闁挎繂娲﹂~鏇㈡煙閻戞ê娈鹃柣鏃傚帶閸楁娊鏌i弮鍫濞寸厧鐭傚铏规嫚閳ヨ櫕鐏撻梺绋跨箲钃卞ǎ鍥э躬閹潡顢涢敐鍠般儵姊绘担鍛靛綊顢栭崱娑樼闁归棿绶ょ紞鏍ㄧ節闂堟侗鍎愰柛瀣€块獮鏍庨鈧悘顔济瑰⿰鍐ㄢ挃缂佽鲸鎹囧畷鎺戔枎閹达絿鐛ラ梻浣告憸婵潧顫濋妸鈺佺闁圭儤顨忛弫宥夋煟閹邦剙妫樼憸鏃堝蓟閵娿儮鏀介柛鈾€鏅滅瑧缂傚倷璁查崑鎾绘煕閹伴潧鏋熼柣鎾冲暣閺屾稑鈹戦崱妤婁患闂佸搫妫欓悷锕傘€冮妷鈺傚€烽柤纰卞墮椤も偓濠电儑绲藉ú銈夋晝椤忓牆绠栨繛鍡樻惄閺佸倿鏌涢弴妯哄濞存粓绠栭弻鈥愁吋鎼粹€崇缂備讲鍋撳鑸靛姈閻撴瑩寮堕崼婵嗏挃闁伙綀浜惀顏堝箚瑜忕粔娲煛瀹€瀣瘈鐎规洖鐖兼俊鐑藉Ψ瑜岄幃锝夋⒒娴e憡鍟為柛銊潐缁绘盯鍩€椤掍緡娈介柣鎰嚟婢ь亪鎳i幇顓滀簻闁瑰搫妫楁禍鐐節绾版ǚ鍋撻懠顒傜厯闂佸搫鐭夌紞渚€鐛Ο鍏煎磯闁绘垶岣挎禍顏堟⒒娴h櫣甯涢柟灏栨櫊瀹曟垶绻濋崒婊勬闂佽鍨堕崑濠傤瀶閵娾晜鈷戠紒瀣健椤庢绱掔紒姗堣€跨€殿喛顕ч埥澶愬閻樼數娼夐梻渚€鈧偛鑻晶浼存煕閹烘挸娴鐐瘁缚閹风娀鎳犻懜鍨暫闂傚倷绀侀幖顐⒚洪姀銈呭瀭鐟滅増甯楅崐宄扳攽閻樻彃顏柛鐘冲姉閳ь剙绠嶉崕閬嵥囨禒瀣瀬闁稿本绋忔禍婊堟煙閹规劖纭剧悮銉╂⒑缁嬫鍎愰柟鍛婃倐閸┿垽骞樼拠鎻掔€銈嗘⒒閺咁偅绂嶉懜鐢电瘈闁汇垽娼ф禒婊堟煕濮橆剦鍎旈柟顔惧厴婵℃悂鍩¢崒姘e亾閸洘鐓欓柣鎴烇供濞堟洟鏌嶉柨瀣伌闁哄本绋戦埥澶婎潨閸繂顫犵紓鍌欒兌婵敻骞戦崶顒€绠栨俊銈傚亾妞ゎ偅绻堥幃鈩冩償閳锯偓閹枫倖淇婇悙顏勨偓鎴﹀磹閺囥垹纾归柛锔诲幗瀹曞弶绻濋棃娑氬闁哄鐗嗛…璺ㄦ崉閾忓湱浼囬梺鎸庣〒閸犳牕顫忛搹鍦煓婵炲棙鍎抽崜閬嶆⒑閹肩偛濡奸柣蹇旂箞閹箖鎮滈挊澶岀杸闂佸搫顦冲▔鏇㈩敇濞差亝鈷戦柟绋垮绾剧敻鏌涚€n偅宕岄柡灞剧洴婵℃悂濡烽妷銏犱壕闁革富鍘藉畷鍙夌箾閹寸儑渚涢柛鐔锋噺閵囧嫰寮崶褍鎯為梺鍛婂灥缂嶅﹤顫忛搹鍦煓婵炲棙鍎抽崝鈧紓鍌欒兌缁垳鎹㈤崼婵愬殨閻犲洤妯婇崥瀣熆鐠虹尨姊楃紒鍗炵埣濮婃椽宕ㄦ繝鍐槱闂佸憡鎸婚悷銉╁煝瀹ュ鏅查柛銉㈡櫇閿涙繃绻涙潏鍓у埌闁圭⒈鍋呴悧搴ㄦ⒒娴h櫣甯涙い銊ョ墛缁绘盯鍩€椤掑倵鍋撳▓鍨灕妞ゆ泦鍥舵晣闁稿繒鍘х欢鐐测攽閻樻彃顏╂鐐村姇閳规垿鎮欓懜闈涙锭缂備浇寮撶划娆撶嵁婢舵劕鐏抽柡鍌樺劜閻忎線姊洪崫鍕潶闁稿孩鐓¢崺娑㈠箣閻樼數锛滈柣搴秵閸嬪嫰顢氬⿰鍫熺厵闁谎冩憸缁夘噣鏌$仦鍓ф创闁诡喒鏅涢悾鐑藉炊瑜夐幏浼存煟鎼淬埄鍟忛柛鐘崇墵閳ワ箑鐣¢柇锕€娈ㄩ梺鍦檸閸犳牠锝為崨瀛樼厽婵せ鍋撴繛浣冲洤鐒垫い鎺戝€告禒閬嶆煙椤旂厧妲绘顏冨嵆瀹曟﹢顢撻妯衡偓婵嬪蓟閵堝棎鍋婇柛褎顨呴幗鐢电磽娴h櫣甯涚紒璇插€块敐鐐测攽鐎e灚鏅i梺缁樕戣ぐ鍐不閵夆晜鈷掗柛灞剧懅椤︼箓鏌熺拠褏绡€鐎规洖缍婇、娑㈡倷閼碱剨绱梻浣告惈缁嬩線宕戦埀顒勬煕鐎n偅灏い顐g箞閹瑩顢楅埀顒勵敂閿燂拷
Secure by Default(SbD) 缺省安全功能特性概述
Secure by Default(SbD) 缺省安全是指在安装系统时安装最小一套安全配置方面软件的安全概念,它希望安装最少数量的文件集,并希望严格控制向基础操作系统所添加的内容的用户。在缺省安全的安装中,禁用了网络连接性。也适用于在不受信任的网络中所安装的系统。
这意味着缺省安全中默认配置设置是最安全的设定,但这不一定是最具用户友好的设置。在许多情况下,安全性和用户友好是鱼与熊掌不可得兼。我们要在自身需要的基础上发动的风险分析和可用性测试,从系统稳定安全角度,来讨论什么是最安全的设置。
截止到 AIX5L V5.3,AIX 有两种安全特性,这些特性可以在安装的时候激活 : Trusted Computing Base (TCB) 和 CAPP/EAL4+ (CCEVAL)。从 AIX V6 开始,另外三种新的安全特性被加进来了,可信的 AIX(Trusted AIX), LSPP/EAL4+ 和缺省安全模式 Secure by Default (SbD)。同样,这三种特性在安装的时候就可以被激活。
缺省安全模式 Secure by Default (SbD) 可以使用最少的系统和网络服务来提供最大的安全性。它非常适合与 AIX Security Expert 一起使用,用来严格控制每个系统的安全配置。
缺省安全模式将会安装一个轻量级 TCP 客户端和服务器文件集,这其中不包括容易造成安全性能薄弱的命令和文件。而文件集 bos.net.tcp.client 和 bos.net.tcp.server 就是被缺省安装排除在外的文件,因为他们包括除去通过网络以明文格式传送密码的 telent 和 ftp 等之外的几乎所以命令和文件。并且某些可能被用到的应用比如 rsh,rcp 和 sendmail 也将被缺省安装排除在外。
缺省安全安装也是有自动化过程的,它是利用 AIX Security Expert 高级安全配置设定。用户可以利用 /etc/firstboot 中的 aixpert:/usr/sbin/aixpert -f /etc/security/aixpert/core/SbD.xml -p 2>/etc/security/aixpert/log/firstboot.log。
当然,用户也可以把系统由缺省安全模式改回到正常模式,具体可以通过改变 ODM 的变量值 SbD_STATE(从 sbd_enable 改为 sbd_disable),另外要安装 bos.net.tcp.client 和 bos.net.tcp.server 文件集,并且使用 AIX Security Expert 把系统恢复成原来的默认安全状态。这些我们将会在下面的例子中详细描述。
缺省安全模式的安装方式是不能通过 migration 或者 preservation 的安装方式来实现缺省安装的,它是一个单独的安装方式。实际上,在一个安全配置系统里,也可以不选择缺省安全安装。例如:AIX Security Expert 中 High, Medium, Low, Adcanced 四个级别都可以在正常安装过程来配置的。缺省安装的系统和正常安装的带有 AIX Security Expert High Level 安全配置的区别可以以 telnet 的功能为例来说明。 telnet 在这两种情况下都是被禁用的。不同的是,在缺省安全的安装中,telent binary or application 应用是自始至终没有安装的。缺省安全模式是一种新的安装功能,它能够援引 AIX securety Expert 的一部分功能完成最小量安装。缺省安全模式是一个比带有 AIX Security Expert High Level 安全配置具有更多限制的安全模式。
在系统足够强壮和更多的鲁棒性之前,缺省安全模式更多的通过禁止和限制网络相关程序的方法来保证系统的安全。一个安全的基本准则是没有明确许可的将被拒绝。缺省安全通过最小化限制安装网络程序降低了软件方面有可能出现的网络漏洞。在最初的安装之后,系统管理员只会安装系统里明确需要的软件。
在缺省安全模式中用户将获得如下安全功能:最小数量的文件集和网络功能,并且可扩展的某个将会用到的文件集。缺省安全将会去掉 TCP 客户端功能。
下面我们就举例来说明如何安装 Secure by Default(SbD) 缺省安全功能
我们可以通过如下两种方式来安装缺省安全模式:
光盘直接安装缺省安全
通过 NIM 安装来实现缺省安全模式
目前的安装应用大多为网络安装,下面我们的举例将主要通过 NIM 安装方式来详述缺省安全模式安装步骤:
使用 NIM 来安装缺省安全功能和恢复到正常模式
当缺省安全在安装时选择时,只有最少的一部分文件集被安装(大约 100 个文件集)。这明显少于正常饱满安装时安装的至少 250 文件集。但是缺省安全提供最少的文件集至少能让 AIX 启动。当然在此后我们可以根据需要任意添加需要的文件集。
如何使用 NIM 安装缺省安全模式系统(Secure by Default)
我们接下来应该根据如下步骤。
初始化和创建 NIM Master 资源
修改 NIM bosinst_data 资源特性
定义 NIM 客户端
分配 NIM 资源给 NIM 客户端
执行 bos_inst 操作
开始安装
用户需要从安装网卡网络启动 NIM 客户机。
初始化和创建 NIM Master 资源
首先,我们需要初始化 NIM Master 资源,我们可以通过命令行和 smit 两种方式来实现:
命令行方式:
nim_master_setup
Smit 方式:
smit nim -> Configure the NIM Environment -> Configure a Basic NIM Environment (Easy Startup)
完成后我们可以通过 lsnim 来列出所有的 nim 中的资源,包括 lpp_source, spot,
bash-2.05b# lsnim
master machines master
boot resources boot
nim_script resources nim_script
network1 networks ent
lpp_source1 resources lpp_source
Spot1 resources spot
bid_ow resources bosinst_data
61_src_grp groups res_group
testnode machines standalone
osprereboot resources script
命令中重要选项含义:
nim_master_setup: NIM 中用初始化网络安装管理(NIM)主控机文件集,配置 NIM 主控机和创建安装所需的资源。
修改 NIM bosinst_data 资源特性
在 nim 中,我们需要修改 bosinst_data 资源的属性 SECURE_BY_DEFAULT。
首先我们可以通过如下命令 lsnim –l 列出 bosinst_data 资源的详细信息:
bash-2.05b# lsnim -l bid_ow
bid_ow:
class = resources
type = bosinst_data
Rstate = ready for use
prev_state = unavailable for use
location = /export/bosinst_data/bid_ow
alloc_count = 4
server = master
命令中重要选项含义:
alloc_count 本资源被划分给其他 client 的次数
然后,我们需要编辑 /export/bosinst_data/bid_ow 文件,把其中 SECURE_BY_DEFAULT 属性从 no 改为 yes.
….
MKSYSB_MIGRATION_DEVICE =
TRUSTED_AIX = no
TRUSTED_AIX_LSPP = no
TRUSTED_AIX_SYSMGT = yes
SECURE_BY_DEFAULT = yes ------> 设为 yes
该文件中重要选项含义:
TRUSTED_AIX: 可以通过将这个参数设为 yes 来安装可信任的 AIX 系统
SECURE_BY_DEFAULT:缺省安全模式参数,如果被设为 yes,在 bosinst 安装中将会安装缺省安全模式的 AIX 系统。
定义 NIM 客户端
按照如下步骤,NIM 客户机资源 testnode 将被建立
命令行方式:
#/usr/sbin/nim -o define -a netboot_kernel=64 -a platform=chrp
-a net_settings1='auto auto' -a if1='10_1_1_0_net testnode.ibm.com 720AF0C200000 ent'
-a cable_type1=N/A testnode
命令中的重要选项含义:
netboot_kernel:网络启动内核类型
net_settings1:网络速率(100,1000 或者 auto)和半 / 全双工设定(half,full 或者 auto)
cable_type1:缆线类型 ( 可以设为 bnc,dix,tp 或者 N/A)
SMIT 方式:
smit nim -> Perform NIM Administration Tasks -> Manage Machines -> Define a Machine
如下图所示:
首先:选择 ent(ethernet 网络类型)
------------------------------------------------------------------------------
Define a Machine
Type or select a value for the entry field.
Press Enter AFTER making all desired changes.
[Entry Fields]
* Host Name of Machine [testnode]
(Primary Network Install Interface)
+--------------------------------------------------------------------------+
| Type of Network Attached to Primary Network Install Interface |
| Move cursor to desired item and press Enter. |
| tok = token ring network |
| ent = ethernet network <<<< |
| fddi = FDDI network |
| generic = generic network (no network boot capability) |
| atm = ATM network |
| ent6 = IPv6 ethernet network
其次,在如下图表中,填写相关的 NIM 信息。
Define a Machine
Type or select values in entry fields.
Press Enter AFTER making all desired changes.
[Entry Fields]
* NIM Machine Name [testnode]
* Machine Type [standalone]
* Hardware Platform Type [chrp]
Kernel to use for Network Boot [64]
Communication Protocol used by client []
Primary Network Install Interface
* Cable Type bnc
Network Speed Setting [auto]
Network Duplex Setting [auto]
* NIM Network [ent-Network5]
* Network Type ent
* Ethernet Type Standard
* Subnetmask []
* Default Gateway Used by Machine []
* Default Gateway Used by Master [1.0.0.10]
* Host Name testnode
Network Adapter Hardware Address [0]
Network Adapter Logical Device Name []
IPL ROM Emulation Device []
CPU Id []
Machine Group []
Comments
其中命令中重要参数含义:
NIM Machine Name: NIM 客户机名
Machine Type: NIM 客户机类型
Hardware Platform Type:硬件平台类型
NIM Network: NIM 网络资源名
Cable Type:缆线类型
Network Type:网络类型
Network Speed Setting: NIM 网卡速度设定
Subnetmask:NIM 网络资源的子网掩码
分配 NIM 资源给 NIM 客户端
NIM 客户端在 NIM 中被定义后,我们需要把可以相应要装的 AIX 系统 NIM 资源非配给它,比如说 lppsource 和 spot。
命令行方式:
# nim -o bos_inst -a source=rte -a boot_client=no -a lpp_source= lpp_source1
-a spot=spot1 -a bosinst_data=bid_ow -a accept_licenses=yes testnode
SMIT 方式:
mit nim -> Perform NIM Administration Tasks -> Manage Machines -> Manage Network Install Resource Allocation
或者:smitty nim_mac_res
具体步骤如下:
首先,在 Manage Machine 中选择 Manage Network Install Resource Allocation
Manage Network Install Resource Allocation
Move cursor to desired item and press Enter.
List Allocated Network Install Resources
Allocate Network Install Resources <<<<<<<<<<<<<<<<<<<
Deallocate Network Install Resources
其次,选择要被分配的客户端机器,选择需要分配的 lppsource 和 spot 资源,然后确认。
至此,NIM 客户端所需要的 NIM 资源分配完毕。
执行 bos_inst 操作
在 NIM 客户端定义完毕,并且已经分配了相应的 NIM 资源后,我们可以进行系统的安装了。
命令行方式 :
# nim -o bos_inst -a source=rte -a boot_client=no -a lpp_source= lpp_source1
-a spot=spot1 -a bosinst_data=bid_ow -a accept_licenses=yes testnode
SMIT 方式:
smit nim -> Perform NIM Administration Tasks ->
Manage Machines -> Manage Network Install Resource Allocation
或者 smitty nim_mac_op
然后选择 testnode 作为 NIM 客户端,并且选择 bos_inst = perform a BOS installation
首先,在选择 Manage Machines 中选择你要按转的客户端 testnode,
Change/Show Characteristics of a Machine
Type or select values in entry fields.
Press Enter AFTER making all desired changes.
其次在如下的界面中选择 bos_inst
Manage Machines
+--------------------------------------------------------------------------+
| Operation to Perform |
| |
| Move cursor to desired item and press Enter. Use arrow keys to scroll. |
| |
| [TOP] |
| diag = enable a machine to boot a diagnostic image |
| cust = perform software customization |
| bos_inst = perform a BOS installation |
| maint = perform software maintenance |
| reset = reset an object's NIM state |
| fix_query = perform queries on installed fixes |
| check = check the status of a NIM object |
| reboot = reboot specified machines |
| maint_boot = enable a machine to boot in maintenance mode |
| showlog = display a log in the NIM environment |
[TOP] [Entry Fields]
最后,选择 bos_inst 后,填写如下参数,把 accept license 改为 yes,Initiate Boot Operation on Client 改为 no。
Perform a Network Install
Type or select values in entry fields.
Press Enter AFTER making all desired changes.
[Entry Fields]
Target Name testnode
Source for BOS Runtime Files rte +
installp Flags [-agX]
Fileset Names []
Remain NIM client after install? yes +
Initiate Boot Operation on Client? no +
Set Boot List if Boot not Initiated on Client? no +
Force Unattended Installation Enablement? no +
ACCEPT new license agreements? [yes] +
安装过程
在 NIM 客户端的 SMS 中把 server IP 设为 NIM Master,启动 testnode,系统开始安装。通过 csm rconsole 或者 HMC 上开一个客户端的 console,用户可以看到 NIM 客户端的客户端输出。
这时候,我们会看到安装停在如下的界面,
>>> 1 Type 1 and press Enter to have English during install.
……
88 Help ?
>>> Choice [1]: 1
我们选择 1 继续
我们会看到安装停在如下的 Overwrite Installation Summary
Welcome to Base Operating System
Installation and Maintenance
Type the number of your choice and press Enter. Choice is indicated by >>>.
>>> 1 Start Install Now with Default Settings
2 Change/Show Installation Settings and Install
3 Start Maintenance Mode for System Recovery
4 Configure Network Disks (iSCSI)
5 Select Storage Adapters
BOSINST_DEBUG enabled
88 Help ?
99 Previous Menu
>>> Choice [1]:
在 Installation and Maintenance 对话框中选择 1 Continue with Install 如下所示:
Overwrite Installation Summary
Disks: hdisk0
Cultural Convention: C
Language: C
Keyboard: C
JFS2 File Systems Created: yes
System Management Software for Secure by Default: yes
System Management Client Software: yes
Enable System Backups to install any system: yes
Security: Secure by Default Enabled
>>> 1 Continue with Install
+-----------------------------------------------------
88 Help ? | WARNING: Base Operating System Installation will
99 Previous Menu | destroy or impair recovery of ALL data on the
| destination disk hdisk0.
>>> Choice [1]:
在 Overwrite Installation Summary 对话框中选择 1
此后正常默认安装即可。
通过 ODM 查询 SbD(缺省安全)状态
在整个安装结束后,我们登入客户端可以通过 ODM 查询 SbD 的状态。
缺省安全是存储在 ODM 中的系统状态(就如同 TCB 或者 CCEBVAL)。我们可以在运行的系统上通过运行如下命令查询缺省安全的状态。deflt = "sbd_enabled" 表明系统正处于缺省安全的状态。
# odmget -q attribute=SbD_STATE PdAt
PdAt:
uniquetype = ""
attribute = "SbD_STATE"
deflt = "sbd_enabled"
values = ""
width = ""
type = ""
generic = ""
rep = ""
nls_index = 0
安装后其它相关信息
在安装过程中,是由 TCP 客户端的安装流程来确认安装的状态的。如果检测到 sbd_enabled,大量的二进制文件就会被移除,因为他们看起来是不安全的(也就是说,这些功能仅需要很小的授权即可获得)。
bos.net.tcp.client 文件集中,下面这些文件将会被移除:
/usr/bin/rcp, /usr/bin/rexec, /usr/bin/rsh,/usr/bin/remsh,/usr/bin/tftp,/usr/bin/utftp,/usr/lib/boot/tftp,/usr/bin/traceroute,/usr/sbin/sendmail_nonssl,/usr/sbin/sendmail_ssl,/usr/sbin/sendmail,/usr/sbin/mailq,/usr/sbin/newaliases,/usr/lib/sendmail,/usr/sbin/sendmail_load,/usr/sbin/netcd,/usr/sbin/netcdctrl,/usr/samples/tcpip/netcd.conf,/usr/lib/drivers/if_op
在 bos.net.tcp.server 文件集中,下面这些文件被移除:
/usr/sbin/gated,/usr/sbin/imapd,/usr/sbin/ipreport,/usr/sbin/iptrace,/usr/sbin/named8,/usr/sbin/named8-xfer,/usr/sbin/named9,/usr/sbin/pop3ds,/usr/sbin/routed,/usr/sbin/tcpdump,/usr/sbin/timed
一旦安装结束,系统重启后,aixpert 就会先在 /etc/firstboot,使用预先设定的规则 SbD.xml,即命令 aixpert –f /etc/security/aixpert/core/SbD.xml。
注意:该文件也可以记录在一个缺省安全的系统中的在初始选择时的文件变化。
如下为系统在安装完毕重启时的信息:
Welcome to AIX.
boot image timestamp: 20:42 10/07
The current time and date: 20:43:14 10/07/2008
processor count: 2; memory size: 4224MB; kernel size: 26074804
boot device: /pci@800000020000001/pci@2/pci1069,b166@1/scsi@0/sd@4:2
-------------------------------------------------------------------------------
Saving Base Customize Data to boot disk
Starting the sync daemon
Starting the error daemon
System initialization completed.
TE=OFF
CHKEXEC=OFF
CHKSHLIB=OFF
CHKSCRIPT=OFF
CHKKERNEXT=OFF
STOP_UNTRUSTD=OFF
STOP_ON_CHKFAIL=OFF
LOCK_KERN_POLICIES=OFF
TSD_FILES_LOCK=OFF
TSD_LOCK=OFF
TEP=OFF
TLP=OFF
Successfully updated the Kernel Authorization Table.
Successfully updated the Kernel Role Table.
Successfully updated the Kernel Command Table.
Successfully updated the Kernel Device Table.
OPERATIONAL MODE Security Flags
ROOT : ENABLED
System runtime mode is now OPERATIONAL MODE.
Setting tunable parameters...complete
Starting Multi-user Initialization
Performing auto-varyon of Volume Groups
Activating all paging spaces
swapon: Paging device /dev/hd6 is already active.
The current volume is: /dev/hd1
Primary superblock is valid.
当初始配置结束,如同正常 AIX 安装一样重启,安装辅助应用一些系统的基本设制(接受 license,设定时间和日期,设定 root 和密码等)已经完成。由于缺省安全规则是基于高安全等级的规则,严格密码规则已经包含在内。
用户想要加入文件集的个人定制化的包可以通过以下两个方式:
1. 在一个安全和隔离的网络环境中安装
2. 通过 CD/DVD 安装
我们推荐在初始安装后安装 openssh,因为缺省安装将会删除所有使用明码密码的远程服务(例如,telnet,ftp,rlogin 等)。这样的话用户任何进一步的定制都可以通过远程安全方式完成。
如何从缺省安全状态恢复到正常 AIX
缺省安全下安装的任何系统都可以恢复成正常的系统,比如说,用户需要从 bos.net 包中添加在缺省安全状态下删除的文件集。
如果要恢复成正常的 AIX 系统,我们可以按照以下步骤:
在 ODM 中修改 sdb_state 的属性
运行 odmget -q attribute=SbD_STATE PdAt > sbd_state.
编辑 sbd_state 文件,把 sbd_enabled 改成 sbd_disabled.
PdAt:
uniquetype = ""
attribute = "SbD_STATE"
deflt = "sbd_enabled" ---> 把 sbd_enabled 改成 sbd_disabled
values = ""
width = ""
type = ""
generic = ""
rep = ""
nls_index = 0
运行 odmdelete -o PdAt -q attribute=SbD_STATE .
# odmdelete -o PdAt -q attribute=SbD_STATE
0518-307 odmdelete: 1 objects deleted.
运行 odmadd sbd_state.
bash-2.05b# odmget -q attribute=SbD_STATE PdAt
PdAt:
uniquetype = ""
attribute = "SbD_STATE"
deflt = "sbd_disabled"
values = ""
width = ""
type = ""
generic = ""
rep = ""
nls_index = 0
重新强制安装 bos.net.tcp.client 和 bos.net.tcp.server.
运行安装命令后,可以看到如下输出。
installp -IaXF -d . bos.net.tcp
….
Some configuration files could not be automatically merged into the system
during the installation. The previous versions of these files have been
saved in a configuration directory as listed below. Compare the saved files
and the newly installed files to determine if you need to recover
configuration data. Consult product documentation to determine how to
merge the data.
Configuration files which were saved in /lpp/save.config:
/etc/3270.keys
/etc/3270keys.hft
/etc/aixmibd.conf
/etc/bootptab
/etc/hostmibd.conf
/etc/inetd.conf
/etc/mail/sendmail.cf
/etc/map3270
/etc/mib.defs
/etc/ntp.conf
/etc/rc.bsdnet
/etc/rc.net
/etc/rc.tcpip
/etc/rpc
/etc/services
/etc/slip.hosts
/etc/slp.conf
/etc/snmpd.conf
/etc/snmpd.peers
/etc/snmpmibd.conf
/etc/syslog.conf
/etc/telnet.conf
installp: bosboot verification starting...
installp: bosboot verification completed.
installp: bosboot process starting...
bosboot: Boot image is 39994 512 byte blocks.
0503-292 This update will not fully take effect until after a
system reboot.
* * * A T T E N T I O N * * *
System boot image has been updated. You should reboot the
system as soon as possible to properly integrate the changes
and to avoid disruption of current functionality.
从上面的信息可以看出,真正使安装生效,我们需要在安装结束后,重启机器。
运行 aixpert -l d[efault]
在机器重写启动完成后,我们可以运行:aixpert -l d
此时,系统就由缺省安全状态恢复到正常安装的安全模式下了。
结论
本文详细介绍了使用 NIM 缺省安全模式的安装和恢复方法,作为 AIX6 中的安全新功能,缺省安全模式能安装最少数量的文件集,并严格控制用户向基础操作系统添加的内容。对于大规模集群安装或单个工作站的网络安装,本文提供了通过 NIM 进行缺省安全模式安装的详细步骤。对于由缺省安全切换回正常系统模式的场景,本文也详细叙述了通过 NIM 进行操作的步骤。
附录
当缺省安全下安装完毕,下面的服务将会在安装时就被从系统中移除。随着这些服务的移除,用户将不能再使用这类命令。如果需要如下的命令和程序,或者如果任何脚本、远程程序、依赖于此的文件集需要这些命令和程序,不建议用户使用缺省安装选项。
| Name | Program | Arguments |
| ftp | /usr/sbin/ftpd | ftpd |
| telnet | /usr/sbin/telnetd | telnetd -a |
| shell | /usr/sbin/rshd | rshd |
| login | /usr/sbin/rlogind | rlogind |
| exec | /usr/sbin/rexecd | rexecd |
| comsat | /usr/sbin/comsat | comsat |
| uucp | /usr/sbin/uucpd | uucpd |
| bootps | /usr/sbin/bootpd | bootpd /etc/bootp |
| finger | /usr/sbin/fingerd | fingerd |
| systat | /usr/bin/ps | ps -ef |
| netstat | /usr/bin/netstat | netstat -f inet |
| tftp | /usr/sbin/tftpd | tftpd -n |
| talk | /usr/sbin/talkd | talkd |
| ntalk | /usr/sbin/talkd | talkd |
| rquotad | /usr/sbin/rpc.rquotad | rquotad |
| rexd | /usr/sbin/rpc.rexd | rexd |
| rstatd | /usr/sbin/rpc.rstatd | rstatd |
| rusersd | /usr/lib/netsvc/rusers/rpc.rusersd | rusersd |
| rwalld | /usr/lib/netsvc/rwall/rpc.rwalld | rwalld |
| sprayd | /usr/lib/netsvc/spray/rpc.sprayd | sprayd |
| pcnfsd | /usr/sbin/rpc.pcnfsd | pcnfsd |
| instsrv | /u/netinst/bin/instsrv | instsrv -r /tmp/netinstalllog /u/netinst/scripts |
参考文献:
* NIM from A to Z in AIX 5L: 本红皮书向您详细地介绍了 NIM 的配置和使用,是全面学习 NIM 的很好的资料。
* Advanced POWER Virtualization on IBM P5: 本红皮书向您提供了对于和 POWER 服务器虚拟化技术相关的内容,是一个了解虚拟化技术的很好的资料。
* AIX V6 Advanced Security Features Introduction and Configuration:本红皮书向您详细介绍了 AIX V6 的高级安全功能和配置。
中查找“如何安装和恢复 AIX 缺省安全模式”更多相关内容
中查找“如何安装和恢复 AIX 缺省安全模式”更多相关内容更多精彩
赞助商链接
