빛나는불꽃

안녕하세요.

오늘은 IBM시스템의 UAK 개념에 대해서 알려드리겠습니다.

UAK(Update Access Key) 란?

POWER8(이상) 서버에는 시스템 펌웨어 업데이트가 시스템에 적용될 때 확인되는 UAK가 포함되어 있습니다.

UAK에는 만료 날짜가 포함되어 있고, 시스템 펌웨어 업데이트에는 릴리스 날짜가 포함되어 있습니다.

시스템 펌웨어 업데이트 적용을 시도할 때 펌웨어 업데이트 릴리스 날짜가 업데이트 액세스 키 만료 날짜를 지난 경우 업데이트가 처리되지 않습니다. 

UAK값은 신규 시스템이 납품되고 3년 Warrenty 기간(정확하지않음) 동안 유효합니다.

그 이후 "업데이트 액세스 키"가 만료일이 다가옴에 따라 아래 HMC 메시지 화면이 표시됩니다.

이 화면은 "액세스 키 업데이트"가 만료되기 30, 20, 10, 5, 4, 3, 2, 1일 전에 표시됩니다.

그 이후 UAK가 만료가 되면 아래와 같은 HMC 메시지 화면이 표시됩니다.

그렇다면 언제 새로운 UAK갱신 작업이 필요할까요?

시스템 펌웨어 업데이트 작업을 하기 전 만료된 업데이트 액세스 키를 교체해야 합니다

UAK값을 갱신하지 않고 시스템 펌웨어 업데이트 작업을 할경우 아래와 같은 에러가 발생합니다.

UAK(Update Access Key) 만료 날짜 확인

현재 시스템의 UAK 만료날짜를 확인하는 방법은 3가지가 있습니다.

첫번째로는 시스템이 HMC가 연결된 환경에서 ASM(Advanced System Managent)에 접속하면

UAK 만료날짜를 확인할 수 있습니다.

표시한 내용과 같이 ASM화면에서 Exp Date 날짜를 확인이 가능합니다.

두번쨰 방법으로는 HMC에 SSH로 접속한후 lslic 명령어로 확인이 가능합니다.

마지막 방법으로는 아래 주소에서 UAK만료날짜를 확인할 수 있습니다.

https://www.ibm.com/servers/eserver/ess/index.wss

해당 사이트 접속 후 로그인을 해줍니다.

로그인 후 My entitle hardware > Update Access Key 메뉴로 들어갑니다.

add in single machine or upload a list (+버튼) 을 눌러줍니다.

화면에서 만료날짜를 확인할 시스템의 Machine Type 과 Serial Number 를 입력하고 Add 를 눌러줍니다.

화면과 같이 현재 Expiration date를 확인할 수 있습니다.

다음에는 UAK키값을 갱신하는 방법에 대해서 작성하도록 하겠습니다.

감사합니다.

안녕하세요.

고객사 환경에 따라 보안취약점을 적용해야되는 경우가 있습니다.

불필요한 기본계정에 대해서 관리자 그룹에서 제거하거나 삭제해야되는 경우가 있습니다.

OS를 신규설치한 후의 계정과 그룹정보는 다음과 같습니다.

OS 기본계정의 용도와 삭제가 가능한 계정 및 그룹은 무엇인지 알아보겠습니다.

AIX 7.1에서 삭제 가능한 user/group은 아래와 같습니다.
Removing unnecessary default user accounts
https://www.ibm.com/support/knowledgecenter/ssw_aix_71/com.ibm.aix.security/remove_default_usr_accts.htm

*** 기본적으로 AIX의 defaut user/group은 그대로 놔두시는 것이 기본 권고사항입니다. ***

단, 아래 내용 참고하셔서 사용하지 않는 user/group은 삭제 가능하나,
향후 AIX TL/SP upgrade시에 문제가 발생하는 경우가 있으므로 그때는 임시로 다시 동일명의 user/group을 생성해 주셔야 합니다.
(smitty user 또는 mkuser command )

uucp/nuucp
UUCP(UNIX to UNIX Copy)를 행하기 위한 user, 현재는 특별한 이유가 없는 한 사용되지 않고 있어 삭제 가능하나, OS update 시 재생성 필요
uucp 유저 재생성 방법은 아래와 같습니다. (uid=5, gid=5)

#mkuser uucp
#mkgroup uucp
.
and make sure the user uucp's right as below in
/etc/passwd
uucp:!:5:5::/usr/lib/uucp:
.
and uucp group in
/etc/group
uucp:!:5:uucp,nuucp

guest
사용할 일이 없다면 삭제 무관 (System에 계정을 가지고 있지 않은 user들이 사용하는 계정)

snapp
PDA에서 AIX시스템 접속해서(serial cable) passwd변경, 간단한 network환경 setup, paging space setting정도 할 수 있도록 하는 daemon
사용하지 않는 경우 삭제 가능

lpd
owner 가 되고 있는 file은 존재하지 않습니다만, 문서 print 시의 유사 user로서 사용되어 있을 가능성이 있음
인쇄의 필요성이 없다고 한다면, 삭제해도 무관합니다.

ipsec
IPsec Security technology 관련. 안쓰시면 삭제 가능

pconsole
system director에서 사용하며 안쓰신다면 삭제해도 무방. OS update 시 재생성 필요
pconsole은 uid=8, gid=14 이어야 합니다.
The user pconsole must exist on your system with id=8, and the lsgroup pconsole must have id=14 if it has any other ID the installation will not work.
 
Attribute should be -
# lsgroup pconsole
pconsole id=14 admin=true users=pconsole registry=files
.
# lsuser pconsole
pconsole id=8 pgrp=system

재생성하는 방법은 아래와 같습니다.
It seems you don't have the user pconsole, please run the following command:
 
# mkuser id='8' pconsole
# lsuser pconsole
 
If the id=8 then proceed to update your filesets, if the mkuser command fails then please send me the following output:
 
# lsuser ALL

esaadmin
esa(Electronic Service Agent)는 시스템 하드웨어의 문제등을 모니터링하고 있다가,
문제 발생시 IBM측에 원격으로 정보를 알려주는 역할을 하며 이 때 사용되는 user가 esaadmin.
대부분의 경우에는 서버에 직접적으로 esa를 구성하기보다는 hmc에 구성하므로, 서버구성이 아니면 삭제하셔도 무방합니다.

*** 절대 삭제해서는 안되는 User ***
root, daemon, bin, sys, adm, invscout, nobody

이러한 user는 사용되는 빈도가 높고, 이것들이 owner로 되어 있는 파일도 다수 존재하기 때문에 삭제하면 안됩니다.
덧붙여서, 이러한 user가 owner가 되고있는 파일의 owner를 강제적으로 변경할 경우, IBM의 보증을 받기 어렵기 때문에 주의하시기 바랍니다.

root
시스템의 모든 부분에 무제한으로 액세스 할 수 있습니다. 이 user는, 대부분의 시스템 관리 작업을 위해서 사용됩니다.
무제한의 액세스는 user명 root가 아니고, 0(제로)의 UID 에 근거하는 것입니다. 시스템은 0 의 UID 를 가지는 user는 모두 root라고 인식합니다.

daemon
시스템 서버프로세스 실행

bin
일부 시스템명령어의 실행

sys
일부 시스템명령어의 실행

adm
일부의 Account 관리용의 로그인

invscout
inventory scout에 필요하며, System Microcode 및 VPD 에 관계함

nobody
주로 NFS에서 remote printing, applilcation에 root user처럼 temporary permission을 줌. 특정daemon(fingerd)등도 nobody로 구동
Internet Connection Server와 같은 Web Service 에도 사용됨.

오늘도 좋은하루 보내세요 ^^