IBM AIX
AIX (Advanced Interactive eXecutive) ist die proprietäre Version des UNIX-Betriebssystems der Firma IBM. Die erste Version von AIX erschien im Jahre 1986. AIX wurde früher unter anderem für den IBM PC (PS/2-Systeme), IBM RS/6000 Workstations sowie Apple Network Server mit PowerPC-Prozessoren angeboten. Aktuelle AIX-Versionen unterstützen nur obendrein PowerPC-basierte Hardware von IBM (PSeries).
Seit der Version 4.3 wird ebenso die Ausführung von Linux-Programmen wie GIMP, KDE, GNOME und GCC unterstützt. Mit der aktuellen Version AIX5L wird die Unterstützung ebenso durch das L im Namen deutlich gemacht. AIX5L bietet keine Binärkompatibilität zu Linux (auch nicht zum PPC-Linux), sondern eine Quelltextkompatibilität. Durch native Unterstützung der Linux-Bibliotheken und Programmierschnittstellen können Linux-Programme nach einmaligen Rekompilieren als native AIX-Programme ausgeführt werden. IBM selber bietet die populärsten GNU-/Linux-Programme als vorkompilierte RPMs für AIX in der “AIX Toolbox for Linux Applications” an.
Links
Very useful AIX commands Mapping von AIX Befehlen in anderen *nix Systemen (1) (2)
AIX IPL progress codes
Features
AIX beinhaltet einen leistungsfähigen Logical Volume Manager, JFS- und JFS2-Dateisysteme, einen integrierten Workload Manager und viele andere Eigenschaften, die in anderen kommerziellen Unix-Systemen eher als kostenpflichtige Erweiterungen angeboten werden.
AIX (ab Version 5.2L) unterstützt das dynamische Repartionieren, d. h. LPAR-fähige Hardware vorausgesetzt, können im AIX beim laufenden Betrieb Prozessoren, Speicher und I/O-Adapter hinzugefügt oder entzogen werden. Ein Neustart ist nicht notwendig.
Installation AIX
Auf einer Power-Maschine gestaltet sich die Installation recht einfach:
- Anschließen einer seriellen Konsole 9600 8/N/1
- Einlegen der AIX CD #1 (z.B. AIX 5.2L)
- Einschalten
- Sobald das System 2x piepst und “keyboard” im Display erscheint, der
maintenance modeeingeschaltet werden, um eine Installation zu ermöglichen. - Tastenkombinationen:
- key position (25Ts und andere)
- “5” oder “F5” (for 43P-120 (7248) systems)
- “1” (p615) or “F1” (alle anderen)
- Auf laufenden Systemen ohne Tastatur oder einem einfachen ASCII Terminal funktioniert
bootlist -m normal cd0 bootlist -m normal -o shutdown -Fr
- Die Installation von CD wird gestartet
- EN_US sollte als default für die Installation gewählt werden.
- Optionen:
- komplette Neuinstallation
- Migration einer bestehenden Installation
Netzwerkeinstellungen
- 10 Mbps Netzwerk
smitty - Devices - Communication - Ethernet Adapter - Adapter - Change / Show Characteristics of an Ethernet Adapter
HARDWARE TRANSMIT queue size [64] +# HARDWARE RECEIVE queue size [32] +# RECEIVE buffer poof size [384] +# Media Speed 10_Half_Duplex +
- 100 Mbps Netzwerk
smitty - Devices - Communication - Ethernet Adapter - Adapter - Change / Show Characteristics of an Ethernet Adapter
TRANSMIT queue size [8192] +# HARDWARE RECEIVE queue size [256] +# RECEIVE buffer pool size [384] +# Media Speed Auto_Negotiation + Inter-Packet Gap [96] +# Enable ALTERNATE ETHERNET address no + ALTERNATE ETHERNET address [0x000000000000] + Enable Link Polling no + Time interval for Link Polling [500] +#
- IP Adressen und Namensauflösung
smit - Communications Applications and Services - TCP/IP - Minimum Configuration & Startup
Select your adapter and insert your internet address, e.g.:
* HOSTNAME [tirixxxx]
* Internet ADDRESS (dotted decimal) [192.168.0.zzz]
Network MASK (dotted decimal) [255.255.255.0]
* Network INTERFACE en0
NAMESERVER
Internet ADDRESS (dotted decimal) [192.168.0.1]
DOMAIN Name [tiri.li]
Default GATEWAY Address [192.168.0.1]
(dotted decimal or symbolic name)
Your CABLE Type N/A +
START Now yes +
- Einstellen mehrerer Nameserver in
/etc/resolv.conf
domain tiri.li nameserver 194.25.2.129 nameserver 194.25.0.29
Zeitserver
Die Datei /etc/ntp.conf muss folgende Einträge enthalten:
server 192.53.103.103 server 192.53.103.104 # # Drift file. Diese Datei muss in einem durch den Daemon beschreibbaren # Verzeichnis sein. Symbolische Links sind nicht erlaubt, da der Daemon # zunaechst einen temporaeren File erzeugt und diesen dann umbenennt. # driftfile /var/etc/ntp.drift
Anschließend
mkdir /var/etc startsrc -s xntpd
Die Zeile mit ntp in /etc/rc.tcpip aktivieren
Die Datei /etc/environment definiert die korrekte Zeitzone.
TZ=CET-1CED-2,M3.5.0,M10.5.0
öffentliche Zeitserver
mlutime.uni-halle.de 141.48.3.15 ntp0.fau.de (ntp0-rz.rrze.uni-erlangen.de) 131.188.3.220 ntp1.fau.de (ntp1-rz.rrze.uni-erlangen.de) 131.188.3.221 ntp2.fau.de (ntp2-rz.rrze.uni-erlangen.de) 131.188.3.222 ntp3.fau.de (ntp3-rz.rrze.uni-erlangen.de) 131.188.3.223 ntps1-0.cs.tu-berlin.de 130.149.17.21 ntps1-1.cs.tu-berlin.de 130.149.17.8 ptbtime1.ptb.de 192.53.103.103 ptbtime2.ptb.de 192.53.103.104 rustime01.rus.uni-stuttgart.de 129.69.1.153 ntp.hexago.com (hiphop.hexago.com) 2001:5c0:0:2::25 ntp.rhrk.uni-kl.de (minnehaha.rhrk.uni-kl.de) 2001:638:208:9::116 ntp6.remco.org 2001:888:1031::2 chime3.ipv6.surfnet.nl 2001:610:508:110:192:87:110:2
Sicherheitsanpassungen
chmod o-x /usr/bin/ypcat/etc/inetd.conf- Ausschalten aller Dienste (bes. ttdbserver) außer ftp, telnet, shell und login,
Einschalten von ftp-logging, ändern der default ftp umask
ftp stream tcp6 nowait root /local/bin/tcpd6 ftpd -l -u077 telnet stream tcp6 nowait root /local/bin/tcpd6 telnetd -a shell stream tcp6 nowait root /local/bin/tcpd6 rshd login stream tcp6 nowait root /local/bin/tcpd6 rlogind
/etc/inittab- Verschiedene Dienste gelten als unsicher und sollten ausgeschaltet werden
(einen Doppelpunkt (’:’) am Anfang der Zeile einfügen):
:writesrv :imnss :imqss :l2 :l3 :l4 :l5 :l6 :l7 :l8 :l9
httpdlite wird zum Anzeigen der Dokumentation benötigt, ansonsten sollte auch dieser ausgeschaltet werden.
/etc/rc.local
# set network options to improve performance and security echo "Setting network options" # protection against SYN flood attacks /usr/sbin/no -o clean_partial_conns=1 # protection against ICMP redirects /usr/sbin/no -o ipignoreredirects=1 # protection against illegal access via source routing /usr/sbin/no -o ipsendredirects=0 /usr/sbin/no -o ipsrcroutesend=0 /usr/sbin/no -o ipsrcrouteforward=0 /usr/sbin/no -o ip6srcrouteforward=0 /usr/sbin/no -o tcp_pmtu_discover=0 /usr/sbin/no -o udp_pmtu_discover=0
- Loggen aller Logins
- Erstellen von
/etc/security/authlog
#!/usr/bin/ksh
# /etc/security/authlog: syslog all successfull logins
/usr/bin/logger -t tsm -p auth.info "$@ logged in from $(/usr/bin/tty) (${DISPLAY})"
- und nur
rooterlauben
chmod 700 /etc/security/authlog
- In
/etc/security/login.cfg
AUTHLOG:
program = /etc/security/authlog
- In
/etc/security/user- auth2 Attribut ändern
auth2 = AUTHLOG
- Für CDE-Logins
/etc/dt/config/Xsession.d/dtlog
#!/usr/bin/ksh
# /etc/dt/config/Xsession.d/dtlog: log dtlogins
/usr/bin/logger -t dtlogin -p auth.info "${LOGNAME} logged in from (${DISPLAY})"
- In
syslog.conf
auth.debug /var/adm/syslog.auth <7CODE> * Die Log-Datei muss allerdings existieren <code> touch /var/adm/syslog.auth
syslog.authim/local/bin/newsyslog-Skript
Addons
prngd
Initialisierung:
cat /var/adm/syslog /var/adm/syslog.0 /var/adm/syslog.1 > /local/etc/prngd-seed mkssys -s prngd -p /local/sbin/prngd -a '-f -c /local/etc/prngd.conf -s /local/etc/prngd-seed /dev/egd-pool' -u 0 -S -n 15 -f 9 -R -G local
/etc/rc.local
startsrc -s prngd
openssh
ssh-keygen -t rsa1 -f /local/etc/ssh/ssh_host_key -N "" ssh-keygen -t rsa -f /local/etc/ssh/ssh_host_rsa_key -N "" ssh-keygen -t dsa -f /local/etc/ssh/ssh_host_dsa_key -N "" /usr/bin/mkssys -s sshd -p /local/sbin/sshd -a '-D' -u 0 -S -n 15 -f 9 -R -G local startsrc -s sshd
/etc/rc.local
startsrc -s sshd ln -s /usr/bin/rsh /usr/ucb/remsh
openssh, Bull binary
vgl. auch READMEs in /usr/local/lib/openssh-*
- Subsystem erzeugen
/usr/bin/mkssys -s sshd -p /local/sbin/sshd -a '-D -f /local/etc/sshd_config' -u 0 -S -n 15 -f 9 -R -G local
/local/etc/ssh_config
enable ForwardX11
In /local/etc/sshd_configX11Forwardingerlauben und die keys eintragenUsePrivilegeSeparationsolange ausschalten, bis die Schritte unter/usr/local/lib/openssh-*/README.privsepdurchgeführt sind.- Ggf.
PidFile /local/etc/sshd.pideintragen
- ssh-key Schlüssel erzeugen
ssh-keygen -t rsa1 -f /local/etc/ssh/ssh_host_key -N "" ssh-keygen -t rsa -f /local/etc/ssh/ssh_host_rsa_key -N "" ssh-keygen -t dsa -f /local/etc/ssh/ssh_host_dsa_key -N "" startsrc -s sshd
/etc/rc.local
startsrc -s sshd
Ggf. wird /usr/local/libexec/ssh-rand-helper benötigt.
SSH Pitfalls
Ist ein SSH Login des Users nach Neuanlage nicht möglich, so liegt dies daran, dass AIX nach Neuanlage des Users aus Sicherheitsgründen verlangt, dass ein neues Kennwort vergeben wird. Ist dies vollzogen, so ist die SSH-Anmeldung kein Problem mehr.
multipathing/MPIO
Testen von MPIO unter AIX funktioniert mit folgenden Befehlen:
lspath -s available
Enabled hdisk0 scsi0 Enabled hdisk1 scsi0
lspath -l hdisk0 -s available -F"connection:parent:path_status:status"
10,0:scsi0:Available:Enabled
Hier ist nur ein Pfad aktiv und verfügbar. Multipathing ist konfiguriert aber nicht möglich. 1).
Multipathing mit der FastT (DS4xxx) ist nur über DAC möglich:
fget_config -vl dar1
User array name = '02 - LM AIX001+007' dac2 ACTIVE dac3 ACTIVE Disk DAC LUN Logical Drive utm 31 hdisk26 dac2 0 hdisk4 /home hdisk27 dac2 1 hdisk5 /data hdisk28 dac2 2 hdisk8 /oradata hdisk29 dac3 3 hdisk2 /oracle hdisk30 dac2 4 hdisk3 /ora01/data0 hdisk31 dac2 5 hdisk6 /ora01/data4 hdisk32 dac2 7 hdisk17 /dwh hdisk34 dac2 6 hdiskxx /ora01/data5 hdisk36 dac3 11 hdisk12 /ora01
