AIX5.2/HACMP5.1でのハードニング設定

インストール関連

<<< QUESTION >>> 2004/01/21 10:51:41
◆お客様環境
 ・AIX5.2(ML02)
 ・HACMP5.1
ハードニング(セキュリティ)の観点から、下記設定変更を実施する予定です。
Ⅰ.「/etc/inittab」から 下記行をコメントアウト
 ① rcnfs:2:wait:/etc/rc.nfs > /dev/console 2>&1 # Start NFS Daemons
 ② piobe:2:wait:/usr/lib/lpd/pio/etc/pioinit >/dev/null 2>&1 # pb cleanup
 ③ qdaemon:2:wait:/usr/bin/startsrc -sqdaemon
 ④ writesrv:2:wait:/usr/bin/startsrc -swritesrv
 ⑤ l2:2:wait:/etc/rc.d/rc 2 <<<−−− l2〜l9まで全ての行をコメントアウト
 ⑥ ctrmc:2:once:/usr/bin/startsrc -s ctrmc > /dev/console 2>&1
 ⑦ itess:23456789:once:/usr/IMNSearch/bin/itess -start search >/dev/null 2>&1
 ⑧ httpdlite:23456789:once:/usr/IMNSearch/httpdlite/httpdlite -r /etc/IMNSearch/httpdlite/httpdlite.conf & >/dev/console 2>&1

Ⅱ. 「/etc/i netd.conf」から下記行をコメントアウト
 ⑨ ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -d
 ⑩ telnet stream tcp6 nowait root /usr/sbin/telnetd telnetd -a
 ⑪shell stream tcp6 nowait root /usr/sbin/rshd rshd
 ⑫kshell stream tcp nowait root /usr/sbin/krshd krshd
  ⑬login stream tcp6 nowait root /usr/sbin/rlogind rlogind
 ⑭klogin stream tcp nowait root /usr/sbin/krlogind krlogind
 ⑮exec stream tcp6 nowait root /usr/sbin/rexecd rexecd
 ⑯ talk dgram udp wait root /usr/sbin/talkd talkd
 ⑰ wsmserver stream tcp nowait root /usr/websm/bin/wsmserver wsmserver -start

Ⅲ.「/etc/rc.tcpip」から下記行をコメントアウト
 ⑱ start /usr/sbin/dpid2 "$src_running"
 ⑲ start /usr/sbin/hostmibd "$src_running"
 ⑳ start /usr/sbin/aixmibd "$src_running"
 
Q1.
AIX5.2/HACMP5.1を使用する上で、上記設定で問題がある(コメントインすべき)箇所がありますか。

Q2.
上記3ファイルの中で、他にもコメントアウトしてはいけない行などありますか。

お客様環境としてHACMP環境は数セットあり、「 Concurrent Resource Groups (OracleRAC用)」と「 Rotating Resource Groups 」が存在しています。<<< ANSWER >>> 2004/01/22 9:05:02
A1.
・/etc/inittab に関して
SmartLibrary 2003 の Item No.000B5307下記参照 )によれば、HACMP の観点からは、ctrmc は稼働が必要とされています。ただ、PMR の中には、ctrmc は不要と述べているものもあるため、念のため、エスカレーションして確認します。回答があり次第お知らせします。また、同デーモンは DLPAR をおこなうような場合にも稼働が必要になります。
その他、特に稼働が必須なものや、HACMP 起動時に自動起動されるために AIX 起動時にコメントアウトして問題ないといったものはみあたりませんが、/etc/rc.d 以下のディレクトリで、なにか特別なアプリケーションが稼働するような設定がなされていないか、確認しておいたほうがよいかもしれません。

・/etc/inetd.conf に関して
telnetd や rlogind をコメント・アウトしてしまうと、リモートからのログインができなくなるため、環境によっては構成作業が進めにくくなるかもしれません。また、HA 5.1 では、rshd は必要なくなりましたが、障害発生時に snap -e などでクラスターの情報収集をおこなうような場合は、内部で rcp が使用されるため、そのサービスが必要です。

その他には特に稼働が必須のものはみあたりません。

・/etc/rc.tcpip
特に稼働が必須のものはみあたりません。

A2.
HACMP を構成したとき、inittab に HACMP によって追加されるエントリ(注釈で、HACMP が追加したことが明記されているエントリ)や、やはり HACMP によって追加されている clcomdES のエントリは、当然コメント・アウトすべきではありません。また、 HACMP は snmpd の稼働を前提とします。同デーモンは、/etc/rc.tcpip から起動されます。また、AIX 5.2 では、SNMP V3 がデフォルトですが、HACMP は V1 を必要とするため、事前に snmpv3_ssw コマンドによる使用バージョンの変更が必要です。詳しくは、コマンド・リファレンス等をご参照ください。

A1 の ctrmc の必要性について、エスカレーション先から回答がありましたHACMP の稼働には、同デーモンは不要です。以下に、質問内容と回答を添付します。

Environment: AIX V5.2, HACMP V5.1
PMR 21388,001,726 says the ctrmc daemon is necessary for HACMP. But
other PMR, for example PMR 32649,033,000, says that RMC can be
disabled without affecting HACMP.
Q)
Can HACMP V5.1 work without the ctrmc daemon? My customer wants to
comment out the ctrmc entry from inittab for hardening purpose.
Thanks and regards.
Yes, the ctrmc daemon is not needed for HACMP version 5.1 The details
are given in the follwing PMR = 24740,370,000 which explains all the
services and daemons , regarding your question.<<< QUESTION >>> 2004/01/22 11:35:03
いつもお世話になっております。
早速のご回答ありがとうございます。
追加で確認させてください。
「ctrmc」の起動(稼動)は不要とのことですが、製品発表レターには 『 rsct.basic. hacmp 』『rsct.compat.clients. hacmp 』が前提ファイルセットとして記述してあります。

Q3.
ctrmc起動が不要であるならばRSCT関連ファイルセットも不要であると思われるのですが、前提として必要としているのはなぜでしょうか。(ctrmcをコメントアウトしているため、HACMP稼動中にも全てのRSCT関連デーモンが稼動していません。)<<< ANSWER >>> 2004/01/22 14:06:35
A3.
HACMP は、RSCT を利用して稼働します(topsvcs, grpsvcs デーモンなど)。ただし、ctrmc はご質問内に挙げられたファイルセットではなく、rsct.core.rmc に含まれるものであり、HA が必要とする RSCT のコンポーネントとは異なります。<<< QUESTION >>> 2004/01/26 18:36:21
参考文書 −−−>>> 「AIX5.2のデーモンについて(ItemNo:000A22FF)」
Q4.
上記文書にてHACMP環境では「⑳aixmibd」は必要であると記述してありますが、HACMP5.1でも該当するでしょうか。<<< ANSWER >>> 2004/01/28 9:05:38
A4.
HA 5.1 は AIX 5.1 上でも稼働するものであり、aixmibd は、AIX 5.2 から提供されているものであるため、特に稼働が必要とはおもえませんが、念のため、エスカレーションして確認します。回答があり次第お知らせします。エスカレーション先から回答があり、HACMP 環境で aixmibd の稼働は必須ではありません。

I believe you have already deduced properly of no dependency by
HACMP. Since aixmibd is MIB subagent for use with snmp v3
you do not need it when running v1 for HACMP, and you can
disable it in rc.tcpip.
I hope this helps and thank you for using View Blue.
Title HACMP4.5ESにおけるrsctの機能
Category pSeries Item No 000B5307
Topic HA <<< QUESTION >>> 2003/09/04 11:22:38
HW:pSeries670-671(LPAR構成)
SW:AIX5.1、HACMP4.5ES
いつもお世話になります。
先日、私ども環境で不要なデーモンを精査するため、 Item No. 0016AE61を参考にし、
LPARの観点からrsct系のデーモンを停止しようと考えています。(SFP,DLPARを使用していないため)

停止予定のデーモンは以下の通りです。
#lssrc -g rsct
Subsystem Group PID Status
ctrmc rsct 9808 活動状態
ctcas rsct 10322 活動状態
#lssrc -g rsct_rm
Subsystem Group PID Status
IBM.ServiceRM rsct_rm 11098 活動状態
IBM.ERRM rsct_rm 11892 活動状態
IBM.CSMAgentRM rsct_rm 12386 活動状態
IBM.AuditRM rsct_rm 12902 活動状態

ここで、お聞きしたいことがあります。

Q1.HACMPの仕様として、rsctの観点から、上記全てのサブシステムを前提としていますでしょうか?
 上記以外にHACMPが使用しているrsct系のプロセスがある、または上記の中で限定できるのであれば、ご教授頂けませんでしょうか。

Q2.これらサブシステムを停止することで、HACMPの動作に影響はあるでしょうか?あるとしたら、どのような影響でしょうか。

Q3.今回の停止予定のデーモンが、HACMPの前提と関連ない場合(上記デーモンを停止して全く影響ない場合)、
 HACMPの前提として導入されるrsct系のファイルセットは、HACMPにおいてどういった形で使用されているのでしょうか。

以上、3点ご教授宜しくお願いいたします。<<< ANSWER >>> 2003/09/04 20:20:14
以下の PMR が回答になると思われますので、参照してください。
追加質問がある場合にはお手数ですが REOPEN してください。

Hide details for PMR 21388, 001, 726 PMR 21388, 001, 726
PMR 21388, 001, 726
Originated 2003/02/14, shown as of 2003/02/21.

Env: 2xp660-6H1 systems in CASCADING HACMP CLuster
2105-800 ESS disks
AIX 5.1.0-ML03 (Service Agent not configured)
HACMP 4.5.0
................
My question is related to the new AIX subsystems:
ctrmc, ctcas, IBM.ERRM, IBM.AuditRM, IBM.CSMAgentRM
I found out, that these have to do with the communication between
a Regattta LPAR system and HMC.
So, do I need them running on my 6H1 systems?
If no, how can I stop them permanentally, so that they won't start
after each reboot? I saw that only "ctrmc" has an entry in
/etc/inittab. How do the others start?
...............
Please advise.
Thanx in advance.
Hi folks,
can you help here? Please read description above.
These functions are included in srct.* fileset. Found that
rsct.compat.client.hacmp (RSCT Event Management Client Function HACMP/ES
Support needs this. So needs cust these functions in a HACMP
environment?
thanks
Act: Did the following test:
.Stopped ctrmc daemon, while cluster was active and tried to stop
the node gracefully:
hacmp.out looks like:
Feb 18 16:19:03 EVENT START: node_down sp3et05 graceful
:clsetenvgrp[57] clSetenvgrp sp3et05 node_down graceful
executing clSetenvgrp
clSetenvgrp: argc = 4
clSetenvgrp: Resource Manager daemon is unavailable.
:clsetenvgrp[58] exit 1
:clRGPA[48] high = high
:clRGPA[48] version=1.16
:clRGPA[50] usingVer=clrgpa
:clRGPA[55] clrgpa
clrgpa FAILED!
:clRGPA[56] exit 1
:process_resources[1530] cl_echo *************clRGPA CALL
WAS UNSUCCESSFUL******
\n
:cl_echo[49] version=1.10
Feb 18 2003 16:20:14usage: cl_echo messageid (default)
message:process_resources
[1531] exit 1
:node_down[130] STATUS=1
/usr/es/sbin/cluster/events/node_down[177]: RESOURCE_GROUPS:
parameter not set
Hi,
ctrmc daemon needs to be active in a HACMP/ES 4.5.0 environment.
Please see my test result in above update. So stopping ctrmc
is not possible at a HACMP cluster node.
Regards
Hi,
Thanx for your response.
OK, we will not stop ctrmc daemon.
What about the others: IBM.ERRM, IBM.AuditRM, IBM.CSMAgentRM.
I see, that these are seperate subsystems.
Are these needed?
Please advise.
Thanx a lot.
Act: Tested HACMP events with following state of daemons in
groups "rsct" and "rsct_rm":
lssrc -a | grep rsct
ctrmc rsct 12060 active
ctcas rsct inoperative
IBM.ERRM rsct_rm inoperative
IBM.AuditRM rsct_rm inoperative
Tested:
a) Start of HACMP
b) Graceful stop of HACMP
c) Restart of HACMP (reintegration)
d) Stop of HACMP with takeover
e) Restart of HACMP (reintegration)
f) Resource group migration (cldare -M)
=> no errors at any of these events.
Hi,
please see my above update. Daemons in group "rsct_rm" can be stopped.
They are not used by HACMP/ES.
Regards
According to support's instructions, I visited the customer and
stopped all subsystems of the rsct_rm group with no affect to the
HACMP/ES cluster on both cluster nodes.
I also deactivetd them permanetelly by inserting in /etc/inittab a
script , that stops the susbsystems on each system reboot.
Closing the PMR.

                                                                                                                                                              • -

End of PMR 21388, 001, 726 as of 2003/02/21

『ご質問ありがとうございました。今後とも、Smart Answerをご活用下さい。』<<< QUESTION >>> 2003/09/22 10:31:44
返答ありがとうございました。
HACMPの前提として、ctrmcのみが必須である旨、理解しました。
ただ、inittabにおいて、startsrc -s ctrmc にて起動を実施していますが、
このコマンドだけで以下のrsct系デーモンが全て起動してしまいます。
#lssrc -g rsct
Subsystem Group PID Status
ctrmc rsct 9808 活動状態
ctcas rsct 10322 活動状態
#lssrc -g rsct_rm
Subsystem Group PID Status
IBM.ServiceRM rsct_rm 11098 活動状態
IBM.ERRM rsct_rm 11892 活動状態
IBM.CSMAgentRM rsct_rm 12386 活動状態
IBM.AuditRM rsct_rm 12902 活動状態

そこで以下、ご教授ください。
①ctrmcのみを起動させたい時に使用するコマンドはありますでしょうか?

②①のコマンドがない場合、不要なデーモンをそれぞれstopsrc -s でダウンさせるしかないのでしょうか?

③ctrmcのみを起動させたい時、①②以外で有効な方法がありますでしょうか?
何卒宜しくお願いいたします。<<< ANSWER >>> 2003/09/24 18:43:19
(1)ありません。
(2)はい。例えば、前回の回答に添付したPMRにあるように、inittab内でstopsrcで停止させてください。
(3)N/A

引用元
http://72.14.235.132/search?q=cache:UJAQig3NihAJ:www-01.ibm.com/support/docview.wss%3Fuid%3Dstd38d3d0c5df78ffea949256f010031bfca+krshd&hl=ja&ct=clnk&cd=3&gl=jp&lr=lang_ja&client=firefox-a