#新人原创分享#拯救失联的IBM小型机

➡️【原创分享计划3】发原创得奖金，掏某公司万元奖励池！

生产环境服务器：某公司 X3650M5

生产环境小型机：某公司 P720

最近公司搞等保测评，查出生产的一些服务器、小型机上的一些漏洞需要修复、不必要的服务/端口关闭、openssh软件版本升级等。在服务器上进行得还比较顺利，但在小型机上就遇到点问题，尤其在关闭111端口的时候。

这里列举其中比较顺利的，关闭25端口的操作：

1，首先查看端口的运行状态：

2，通过命令“rmsock”对占用25端口的服务进行某公司公司：

如果是udb 服务，那么通过"rmsock 某公司公司 inpcb"来进行某公司公司。根据上图显示的信息，rmsock之后并没有某公司公司，而是显示了一个相关的进程号，那么再配合"kill -9"命令将相关的进程杀掉，这个服务自然就停掉了。

（这里还能看到aix的登录界面，某公司上就要出问题了。）

但通过这样的方法来对111端口进行关闭，就不行，提示这个端口已经跟内核进行绑定，如果要关闭，只有先通过编辑"/etc/services"文件将和111端口相关的内容进行注释，然后重启服务器。

这里显示就是改端口已被内核征用，要想通过kill命令来杀进程就不可能，因为对方连进程号都不给你，这可能是为了设备安全着想吧。

这里问题就来了。一方面等保测评的人等着你禁用端口号，一方面要改的话又必须重启小型机才能把111 端口给干掉，现在这台设备上跑着银行客户的生产数据库。为了停用一个端口去重启一台服务器，风险太大，且不说数据库能否启动成功，小型机能够启动成功还要打一个问号。毕竟这是一台老旧服务器，运行时间接近一年。在这样的情况下，断然不敢操作。

一种比较好的解决办法是，通过网络防火墙将111 端口给屏蔽掉，这样就保证这个端口在安全方面来说是可靠的，这种方法也是可行的。但这个时候我强迫症犯了，思虑着在小型机端应该还有某公司公司可行的办法，于是在网络上搜到一篇帖子，名叫《AIX端口限制》。

帖子里面给出的步骤是这样的：

# smitty tcpip

Configure IP Security (IPv4)

Advanced IP Security Configuration

Configure IP Security Filter Rules

Add an IP Security Filter Rule

进入配置窗口、设置IP地址、端口号、访问方式

Start/Stop IP Security

Start IP Security

其中重点就在“进入配置窗口、设置IP地址、端口号、访问方式”这里，在这个地方限制对端口111的访问。

我心想，挺好，还有这样的操作，那不妨一试。于是我找来数据库某公司公司进行修改尝试（幸好没有在数据库主机上进行尝试），修改如下：

按说我这样修改策略，其目的就是限制所有某公司公司设备对本机的111端口进行访问。

修改完之后一回车，接着让策略生效：

改完之后我想再测试一下111端口的进程是否还在，猛然发现回车没反应了。我重新打开一个窗口进行连接，发现某公司公司法连接。某公司上登录到数据库主机上进行ping命令测试，发现ping不通对方小型机，当时就吓傻了。

以为是小型机强行重启了，于是新开一个窗口一直ping着等，等了接近十分钟，发现还是不通，这才确定这台小型机彻底失联了。

比较幸运的是，我的操作是在数据库某公司公司上面进行的，主机运行还正常，一切服务也都是正常的。如果我是在生产主机上执行这样的操作，主机一旦失联，所有业务中断，那我基本可以告别职业生涯了。

之后的解决方法：

某公司小型机和服务器不同的一点是，小型机没有显卡，不能像服务器那样去机房接一个显示器就进去操作了。在机器失联的情况下，只有两种方法可以登录进去，一种是通过串口线连接，一种是通过官方的硬件管理控制台进行登录，俗称HMC，然后打开一个console控制台进行处理。

有了这个思路，接下来就按部就班了（在没有串口线的前提下）：

1，在笔记本电脑上的vmware workstation上安装HMC某公司公司机（linux内核修改）；

2，本机配置和小型机HMC口地址169.***.3.147同一网段地址；

3，HMC某公司公司机配置和小型机HMC口同一网段地址；

4，笔记本电脑通过网线和小型机HMC口进行直连，然后在HMC某公司公司机上添加受管服务器地址，也就是169.***.3.147（这里记得同时也要输入ASMI 的管理员登录密码）；

5，连接成功之后，打开AIX console界面，登录，然后修改策略，将此前设置的策略某公司公司就可以了；

6，数据库主备同步。

这次事件虽然平稳解决了，也没有给生产带来任何影响，庆幸的同时有以下几点值得注意：

1，任何生产操作真的要慎之又慎；

2，能在某公司公司上操作的就一定不要在主机上操作；

3，能在非工作时间操作的就一定不要在工作时间操作；

4，网上的任何文档都要经过实际测试，测试成功了才能在生产上操作；

5，AIX不能搭建实验环境真操蛋。

?为什么看不到我自己的帖子呢

您好，感谢您参与社区原创分享计划3，您的文章已被收录到计划中，分享激励将在专家小组评审结束后进行派发，再次感谢！

帖子里面的命令不能全部相信，幸亏楼主在备机上测试的   
另外 Linux 系统应该可以在vmware里面搭建的吧？

小机的资料网上不是很多，有时候出故障也不好排查，感谢楼主分享如此详细的帖子！

学习了，帖子的linux内容写得很详细，以后用的到哦

感谢楼主分享，这个很实用。

感谢作者分享，步骤写的很详细

感谢分享