-
HP-UNIX
命令大全
一、基本系统管理
1
、常用命令
1. # ioscan -fn
列出各
I/O
卡及设备的所有相关信息:如逻辑单元号,硬件地址及设备文件名等。
2. # ps -ef
列出正在运行的所有进程的各种信息:如进程号及进程名等。
3. # netstat
-rn
列出网卡状态及路由信息等。
4. # lanscan
列出网卡状态及网络配置信息。
5. # bdf
列出已加载的逻辑卷及其大小信息。
百事通
6. # mount
列出已加载的逻辑卷及其加载位置。
7. # uname -a
列出系统
ID
号,
< br>OS
版本及用户权限等信息。
8. # hostname
列出系统网络名称。
9. # pvdisplay -v
/dev/dsk/c*t*d*
显示磁盘各种信息,如磁盘大小,包含的逻辑卷,设备名称等。
10. # vgdisplay
-v /dev/vg00
显示逻辑卷组信息,如包含哪些物理盘及逻辑卷等。
11. # lvdisplay -v
/dev/vg00/lvol1
显示逻辑卷各种信息,如包含哪些盘,是否有镜像等。
2
、网络故障诊断
1.
如需修改网络地址、主机名等,一定要用
set_parms
命令
# set_parms hostname
# set_parms ip_address
2.
查看网卡状态:
lanscan
Hardware Station Crd
Hardware Net-Interface
Path Address In# state nameunit state
8/20/5/1 0xFB 0
up lan0 up
3.
确认网络地址:
# ifconfig lan0
4.
启动网卡:
# ifconfig lan0 up
5.
网络不通的诊断过程:
lanscan
查看网卡是否启动
(up)
ping
自己网卡地址
(ip
地址
)
ping
其它机器地址,如不通,在其机器上用
lanscan
命令得知
station
address
,然后
linkloop
station_address
来确认网线及集成器是否有问题。
linkloop
命令是
HP-UX<
/p>
独有的命令
,
所以在使用的时候对方也一
定要是
HP-UX
主机
该命令是用来测试第二层
(
网卡
MAC
地址
)
的连通性
,
该命令是向远程
HP-UX
主机发送一个
测试包来测试
MAC
地址的连通性
.
linkloop
用法
:
linkloop 0x0060b007c179
#0x
0060b007c179
为远程主机的
MAC
地址
.
该命令要在
root
用户下才能执行
.
-n
设置传输的桢数
-i
指定使用哪个
PPA(physical poit of
attachment ,
指示网卡的唯一标志
)
默认使用它在内部数
据结构中遇到的第一个
PPA(
lan0)
-t
以秒为单位
,
指定等到
(
超时
)
时间
-s
指定数据报的大小
-v
详细信息选项
在同一网中,
subnetmask
应一致。
6.
配置网关
手动加网关:
/usr/sbin/route add default
20.08.28.98 1
把网关自动加入系统中
vi /etc/.d / netconf
:
ROUTE_DESTINA
TION
[0]=default
ROUTE_GATEW
AY
[0]=20.08.28.98
ROUTE_COUNT [0]=1
:
/sbin/init.d/net
将执行:
/usr/sbin/route add default 20.08.28.98
1
命令
netstat -rn
查看路由表
另外也可用
set_parms
addl_netwrk
来设缺省路由。
二、安全安装
HP-UX
1
、
建议在安装配置过程中,不要连接到任何不信任的网络中。
2
、
尽可能选择最小安装
3
、
尽可能不要安装
NFS, X
window, SNMP
等组件(视具体需求而定)
4
、
安装完毕,则使用系统命令查看状态。
# uname ?Ca
(版本信息)
#
bdf
(逻辑卷状态)
#
ps ?Cef
(进程状态)
# netstat -anf
inet
(端口状态)
5
、
安装各种驱动等
6
、
安装最新的补丁。
安装补
丁时要注意
HP
的补丁与硬件类型和系统版本都相关,检查并安
装所有需要的补丁。
确认需要
swlist -l
fileset.
三、系统基本配置
操作系统安装并打上补丁后,需要做一些措施来对系统进行一些配置。
删除保存的补丁(可选)
缺省情况下,补丁安装完会在
/va
r/adm/sw/save/
下备份所有的补丁。可以选择删除这些补丁
文件,但一旦删除就没法使用
swremove
卸载
补丁了。
# swmodify
-x patch_commit=true '*.*'
转换为一个可信系统:
# /usr/lbin/tsconvert
Creating secure password database...
Directories created.
Making default files.
System default
file created...
Terminal
default file created...
Device assignment file created...
Moving passwords...
secure password database
installed.
Converting at
and crontab jobs...
At and
crontab files converted.
改变全局特权
HP-UX
有一个特权组,可以分配给一个组特权
(
参见
privgrp(4)).
缺省情况下,
CHOWN
是
分配给所有组的一个全局特权:
$$ getprivgrp
global privileges: CHOWN
/sbin/init.d/set_prvgrp
在系统启动时执
行
/usr/sbin/setprivgrp
-f
/etc
/privgroup.
可以创建一个
配置文件,删除所有的全局特权
(see setprivgrp(1m)):
# getprivgrp
global privileges: CHOWN
# echo -n >;/etc/privgroup
# chmod 400 /etc/privgroup
# /sbin/init.d/set_prvgrp start
# getprivgrp
global privileges:
设置默认
umask.
转换到可信系统后,默认
umask
已经改
为
07077
限制
root
远程登录,只能由
console
登录
# echo console
>; /etc/securetty
# chmod
400 /etc/securetty
打开
inetd
日志功能
<
/p>
在
/etc/.d/netdaemons
中的
INETD_ARGS
环境
变量中增加-
l
参数
:
export
INETD_ARGS=-l
删除不需要的系统伪帐户
# groupdel lp
#
groupdel nuucp
# groupdel
daemon
# userdel uucp
# userdel lp
# userdel nuucp
# userdel hpdb
#
userdel www
# userdel
daemon
对于一些保留的系统伪帐户如:
bin, sys
,
adm
等
,
应当将需要禁止帐户的
**
用
NP
代替,并
不提供登录
shel
l
Example:
bin:NP:60002:60002:No Access User:/:/sbin/noshell
将
root
主目录从
/
改为
/root.
编辑
/etc/passwd:
root:*:0:3::/root:/sbin/sh
创建目录并修改权限
:
# mkdir /root
# chmod 700 /root
# mv /.profile /root
# pwconv
四、禁止网络服务
1
、禁止
inetd
服务
由<
/p>
internet
服
务
< br>器
过
程
inetd
启
动
的
网
< br>络
服
务
是
由
两
个
配
置
文
件
/etc/inet/servi
ces
和
/etc/inet/
来配置
的。
/etc/inet/services
文件指定每个服务
的端口号和端口类型,该配
置文件的部分示例如下:
…
ftp
21/tcp
telnet
23/tcp
smtp
25/tcp
mail
…
/et
c/inet/
文件指定服务对应的系统服务程序,该配置文件部分示例如下:
…
ftp
stream
tcp
nowait
root
/usr/sbin/
telnet
stream
tcp
nowait
root
/usr/sbin/d
d
…
当要停止某个服务,
如
ftp
、
telnet
等时,
只要
注释掉文件
/etc/inet/services
和
/etc/inet/
中的相应条目,也就是在那一行的开头加上#字符
,然后让
inetd
重新读配置文件,过程示
< br>例如下:
# ps -ef
|grep inetd
root
149
1
0
Jan 18 ?
0:00 /usr/sbin/inetd -s
root 24621 24605
0 15:53:01 pts/1
0:00 grep inetd
# kill ?CHUP 149
以上第一条命令是为了获得
inetd
的进程号,示例中输出
的第二列内容就是进程号
(149)
,然
后将该进程号填入第二条命令的相应位置。
可以使用
lsof
?Ci
来查看监听进程和端口信息
:
# lsof -i
COMMAND
PID USER
FD
TYPE
DEVICE SIZE/OFF NODE NAME
syslogd
261 root
5u
inet 0x10191e868
0t0
UDP *:syslog
(Idle)
rpcbind
345 root
4u
inet
72,0x73
0t0
UDP *:portmap (Idle)
rpcbind
345 root
6u
inet
72,0x73
0t0
UDP *:49158 (Idle)
rpcbind
345 root
7u
inet
72,0x72
0t0
TCP *:portmap (LISTEN)
sendmail: 397 root
5u
inet 0x10222b668
0t0
TCP *:smtp
(LISTEN)
snmpdm
402 root
3u
inet 0x10221a268
0t0
TCP *:7161 (LISTEN)
snmpdm
402 root
5u
inet 0x10222a268
0t0
UDP *:snmp
(Idle)
snmpdm
402 root
6u
inet 0x10221f868
0t0
UDP *:* (Unbound)
mib2agt
421 root
0u
inet 0x10223e868
0t0
UDP *:*
(Unbound)
swagentd
453 root
6u
inet 0x1019d3268
0t0
UDP *:2121
(Idle)
2
、禁止其他服务
防止
sy
slogd
网络监听
安装
PHCO_21023
补丁可以给
syslogd
加上
-N
参
数防止网络监听
.
编辑
/sbin/
init.d/syslogd
修
改为
/usr/sbin/syslogd -DN.
禁止
SNMP
服务
编辑
SNMP
启动文件
:
/etc/.d/SnmpHpunix
Set
SNMP_HPUNIX_START to 0: SNMP_HPUNIX_START=0
/etc/.d/SnmpMaster
Set
SNMP_MASTER_START to 0: SNMP_MASTER_START=0
/etc/.d/SnmpMib2
Set
SNMP_MIB2_START to 0: SNMP_MIB2_START=0
/etc/.d/SnmpTrpDst
Set
SNMP_TRAPDEST_START to 0: SNMP_TRAPDEST_START=0
禁止
sendmail
进程
编辑
/etc/.d/mailservs:
export
SENDMAIL_SERVER=0
禁止
rpcbind
进程
# rm
/sbin/rc1.d/
# rm
/sbin/rc2.d/
# mv
/usr/sbin/rpcbind /usr/sbin/E
五、文件系统安全
1
、检查
Set-
id
程序
# find / ( -perm -4000 -o
-perm -2000 ) -type f -exec ls -ld {}
# chmod u-s
/usr/sbin/swinstall
# chmod
u-s /usr/sbin/vgcreate
#
chmod u-s /sbin/vgcreate
可以
采用下列方法,
将所有文件的
set-id
位去掉,
然后对一些需要的程序单独加上
suid
位
(可
根据情况选择)
:
# find /
-perm -4000 -type f -exec chmod u-s {}
# find / -perm -2000 -type
f -exec chmod g-s {}
#
chmod u+s /usr/bin/su
#
chmod u+s /usr/bin/passwd
采
用这种方法后,普通用户将无法使用很多系统命令,如
bdf, uptime
,
arp
等
:
$$ bdf
/dev/vg00/lvol3
bdf:
/dev/vg00/lvol3: Permission denied
2.
修改重要文件权限
#
chmod 1777 /tmp /var/tmp /var/preserve
(加上粘滞位)
# chmod 666 /dev/null
六、网络参数调整
利用
ndd
命令,
可以检测或
者更改网络设备驱动程序的特性。
在
/etc/.d/nddc
onf
启动
脚本中增加以下各条命令,然后重启系统,可以提高
网络的安全性。
格式如下:
/usr/sbin/ndd -set /dev/ip
ip_forward_directed_broadcasts 0
Network device
Parameter
Default value
Suggested value
Comment
/dev/ip
ip_forward_directed_broadcasts
1
0
不转发定向广播包
/dev/ip
ip_forward_src_routed
1
0
不转发原路由包
/dev/ip
ip_forwarding
2
0
禁止包转发
/dev/ip
ip_pmtu_strategy
2
1
不采用
echo-request
PMTU
策略
/dev/ip
ip_send_redirects
1
0
不发
ICMP
重定向包
/dev/ip
ip_send_source_quench
1
0
不发
ICMP
源结束包
/dev/tcp
tcp_conn_request_max
20
500
增加
TCP
监听数最大值,提高性能
/dev/tcp
tcp_syn_rcvd_max
500
500
HP SYN
flood
保护
/dev/ip
ip_respond_to_echo_broadcast
1
0
不响应
ICMP
echo
请求广播包
由于<
/p>
ndd
调用前,已经启动网卡参数,所以可能不能正确设置。
可以采用下列方法,建立一个启动脚本。
# cp /tmp/secconf /etc/.d
# chmod 444 /etc/.d/secconf
# cp /tmp/sectune
/sbin/init.d
# chmod 555
/sbin/init.d/sectune
# ln
-s /sbin/init.d/sectune /sbin/rc2.d/S009sectune
# ioscan
–
fnkC disk
# swinstall
–
s
/cdrom/(filename)
<
安装软件补丁从
< br>cdrom
下
>
# swremove
<
卸除应用程序
>
# shutdown 0
<
进入单用户模式
>
# init 3
<
进入多用户
>
# umount /opt
<
卸除
opt>
时报错,不能
umount
opt,
可以用
ps
–
ef |grep opt
命令查
看
opt
进程然后用
kill
–
9 5988 > -9
强行关掉命令,
5988
进程名
#
swlist
–
l fileset
–
a state|grep PHKL_18543
<
查找<
/p>
PHKL_18543
这个补丁是否安装
>
# lvextend
–
L 30 /dev/vg00/lvol5
<
扩大逻辑卷为
30
兆
>
# extendfs /dev/vg00/rlvol5
一定要加这个字母
>
# mount
/opt
# mount
–
a
<
全部设备
mount>
# bdf
<
查看容量是否扩大
>
# lvextend
–
L 200 /dev/vg00/lvol6
<
在线将
t
mp
文件系统扩展到
800Mb>
#
fsadm
–
b 819200 /tmp
# bdf
# tsm
<
启动多
进程,
用
ctrl_t
切换窗口或按<
/p>
F1
、
F2
来切
换
>
#
make_tape_recovery
–
Av
<
备份系统到磁带上、备份到磁带上
的系统文
件看不到。用这个命令之前必须安装
Ignite-
ux
这个软件
>
#
chmod
777
或
444
<
该文件执行属性,
777
改为可执行文件同时放开权
限,
444
收回权限同时改为不可执行文件
>
# mstm
<
查看机器信息
>
# armdsp
–
i
<
查看
V
A
信息
>
# cvui
<
设置
V
A
命令
>
< /opt/sanmgr/hostagent/sbin
(
先进入这个目录
)
/HA_trigger
先
stop
后
start
/dial_trigger
stop
start
磁盘柜进程全部
先
stop
后
starl,
否则找不到
V
A>
# armmgr
–
s shut / start
别名
A
关机
和重起
>
V
A
控制器
第一步:
# cd
/opt/sanmgr/commandview/server/data
#
mv DeviceDBfile
第二步:
# cd /opt/sanmgr/hostagent/sbin
# ./HA_trigger stop
#
./dial_trigger stop
# ./HA_trigger
start
# ./dial_trigger start
-
-
-
-
-
-
-
-
-
上一篇:编译原理课后习题答案(第三版)
下一篇:编译原理课后复习题答案(陈火旺+第三版)