工業(yè)互聯(lián)網(wǎng)安全 課件 任務(wù)2 Linux系統(tǒng)安全加固

任務(wù)2Linux系統(tǒng)安全加固工業(yè)以太網(wǎng)使用了TCP/IP協(xié)議，便于聯(lián)網(wǎng)，并具有高速控制網(wǎng)絡(luò)的優(yōu)點(diǎn)。隨著嵌入式CPU價(jià)格的下降，性能指標(biāo)的提高，為嵌入式系統(tǒng)的廣泛應(yīng)用和Linux在嵌入式系統(tǒng)中的發(fā)展提供了廣闊的空間。由于Linux的高度靈活性，可以容易地根據(jù)應(yīng)用領(lǐng)域的特點(diǎn)對(duì)它進(jìn)行定制開(kāi)發(fā)，以滿足實(shí)際應(yīng)用需要。任務(wù)描述了解并掌握了Linux操作系統(tǒng)安全加固的內(nèi)容及具體方法嵌入式操作系統(tǒng)的應(yīng)用場(chǎng)景與安全需求1基于工業(yè)芯片的工業(yè)嵌入式微處理器應(yīng)用日益成為工業(yè)嵌入式系統(tǒng)設(shè)計(jì)的主流。但是，工業(yè)嵌入式微處理器的應(yīng)用還必須得到運(yùn)行于嵌入式微處理器上的操作系統(tǒng)的支持。這就要求嵌入式操作系統(tǒng)可移植性良好，可供工業(yè)微處理器按需選用，同時(shí)，可以實(shí)現(xiàn)嵌入式軟件的模塊化、測(cè)試、部署與應(yīng)用，并提供安全開(kāi)發(fā)最佳實(shí)踐。知識(shí)導(dǎo)入知識(shí)導(dǎo)入工業(yè)領(lǐng)域常用的嵌入式操作系統(tǒng)及安全性分析2（1）WindowsCE在工業(yè)領(lǐng)域的應(yīng)用安全性微軟WindowsCE（WinCE）是一款開(kāi)放式嵌入式操作系統(tǒng)，具有模塊化、結(jié)構(gòu)化和與處理器無(wú)關(guān)等特點(diǎn)，基于Win32API和傳統(tǒng)的Windows圖形界面，易于實(shí)現(xiàn)Windows系列平臺(tái)軟件的移植。實(shí)時(shí)性是嵌入式工控系統(tǒng)的重要需求，一旦控制系統(tǒng)的硬件選定，控制系統(tǒng)的實(shí)時(shí)性能就主要取決于嵌入式操作系統(tǒng)，WinCE可為響應(yīng)能力確定的工業(yè)App提供內(nèi)建實(shí)時(shí)支持。知識(shí)導(dǎo)入工業(yè)領(lǐng)域常用的嵌入式操作系統(tǒng)及安全性分析2（2）VxWorks在工業(yè)領(lǐng)域的應(yīng)用安全性VxWorks屬于實(shí)時(shí)操作系統(tǒng)，可支持各種嵌入式CPU，包括X86、MIPS、Intel、SPARC、ARM與xScaleCPU等，具有良好的開(kāi)放性、模塊化和可擴(kuò)展性，特別是可靠性與實(shí)時(shí)性優(yōu)良，可用于實(shí)時(shí)性要求極高的工控場(chǎng)景，比如，在多任務(wù)、多線程的PLC控制中，可實(shí)現(xiàn)多點(diǎn)位的工業(yè)物聯(lián)網(wǎng)及工控系統(tǒng)的復(fù)雜控制功能。VxWorks堪稱(chēng)業(yè)界安全性最高的嵌入式操作系統(tǒng)，但在工業(yè)應(yīng)用中，也暴露出來(lái)不少安全問(wèn)題。知識(shí)導(dǎo)入工業(yè)領(lǐng)域常用的嵌入式操作系統(tǒng)及安全性分析2（3）Android在工業(yè)領(lǐng)域的應(yīng)用安全性Linux是在工業(yè)領(lǐng)域中應(yīng)用廣泛的類(lèi)Unix嵌入式操作系統(tǒng)。在Linux基礎(chǔ)上，衍生出了眾多嵌入式操作系統(tǒng)(比如Android、μClinux等)，這些系統(tǒng)內(nèi)核精煉、性能高、穩(wěn)定性強(qiáng)、可移植性好，支持多種架構(gòu)的CPU，可裁減性強(qiáng)。Android系統(tǒng)采用自底向上的內(nèi)核、系統(tǒng)運(yùn)行庫(kù)、應(yīng)用程序框架、應(yīng)用程序分層架構(gòu)，各層均設(shè)置了多種安全機(jī)制。Android自身安全機(jī)制相對(duì)復(fù)雜，而且未必能夠被完美遵循，為其在工業(yè)設(shè)備與控制等應(yīng)用帶來(lái)安全隱患。工業(yè)漏洞管理平臺(tái)任務(wù)實(shí)施【任務(wù)目的】掌握Linux系統(tǒng)加固方法【使用工具】主操作平臺(tái)：CentOSLinuxrelease7.4.1708(Core)測(cè)試機(jī)：Windows（可選環(huán)境，用于測(cè)試CentOS安全策略是否有效）輸入命令cat/etc/shadow，查看有多少賬戶【步驟1】

用戶管理使用命令userdel<用戶名>，刪除不必要的賬戶0102【步驟1】

用戶管理使用命令passwd-l<用戶名>，鎖定不必要的賬戶使用命令passwd-u<用戶名>，解鎖必要的賬戶0304密碼安全策略【步驟2】

身份鑒別01（1）查看空口令賬號(hào)并為弱/空口令賬號(hào)設(shè)置強(qiáng)密碼：awk-F:'($2==""){print$1}'/etc/shadow操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換。設(shè)置有效的密碼策略，防止攻擊者破解出密碼?？捎秒x線破解、暴力字典破解或者密碼網(wǎng)站查詢出賬號(hào)密鑰的密碼是否是弱口令。密碼安全策略【步驟2】

身份鑒別02修改vi/etc/login.defs配置密碼周期策略。此策略只對(duì)策略實(shí)施后所創(chuàng)建的賬號(hào)生效，以前的賬號(hào)還是按99999天周期時(shí)間來(lái)算/etc/pam.d/system-auth配置密碼復(fù)雜度passwordrequisitepam_cracklib.soretry=3difok=2minlen=8lcredit=-1dcredit=-1添加代碼03登錄失敗策略【步驟2】

身份鑒別04/etc/pam.d/login中設(shè)定控制臺(tái)；/etc/pam.d/sshd中設(shè)定SSH。/etc/pam.d/sshd中第二行添加信息。登錄失敗策略【步驟2】

身份鑒別05第二行中添加代碼authrequiredpam_tally2.sodeny=5lock_time=2even_deny_rootunlock_time=60查看用戶登錄失敗次數(shù)的代碼#pam_tally2--userroot解鎖用戶的代碼#pam_tally2-r-uroot安全的遠(yuǎn)程管理方式【步驟2】

身份鑒別06防止遠(yuǎn)程管理過(guò)程中密碼等敏感信息被竊聽(tīng)。查看telnet服務(wù)是否在運(yùn)行。禁止telnet運(yùn)行，禁止開(kāi)機(jī)啟動(dòng)。審核策略開(kāi)啟【步驟3】

安全審計(jì)01查看rsyslog與auditd服務(wù)是否開(kāi)啟。rsyslog一般都會(huì)開(kāi)啟，auditd如沒(méi)開(kāi)啟，執(zhí)行命令#systemctlstartauditdauditd服務(wù)開(kāi)機(jī)啟動(dòng)。日志屬性設(shè)置【步驟3】

安全審計(jì)02讓日志文件轉(zhuǎn)儲(chǔ)一個(gè)月，保留6個(gè)月的信息，先查看目前配置#more/etc/logrotate.conf|grep-v"^#\|^$"應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等?！静襟E4】

入侵防御關(guān)閉與系統(tǒng)業(yè)務(wù)無(wú)關(guān)或不必要的服務(wù)，減小系統(tǒng)被黑客被攻擊、滲透的風(fēng)險(xiǎn)。禁用藍(lán)牙服務(wù)禁止藍(lán)牙開(kāi)機(jī)啟動(dòng)#systemctlstopbluetooth操作系統(tǒng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新?！静襟E5】

系統(tǒng)資源控制在/etc/hosts.allow和/etc/hosts.deny文件中配置接入限制。編輯hosts.deny文件（vi/etc/hosts.deny），加入兩行代碼#Denyaccesstoeveryone.ALL:ALL@ALL,PARANOID01訪問(wèn)控制編輯hosts.allow文件，加入允許訪問(wèn)的主機(jī)列表代碼FTP:9//9是允許訪問(wèn)ftp服務(wù)的IP地址//是允許訪問(wèn)ftp服務(wù)的主機(jī)名稱(chēng)也可以用iptables進(jìn)行訪問(wèn)控制。02【步驟5】

系統(tǒng)資源控制在/etc/profile中添加代碼exprotTMOUT=900//15分鐘#source/etc/profile03超時(shí)鎖定應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定。設(shè)置登錄超時(shí)時(shí)間，釋放系統(tǒng)資源，也能夠提高服務(wù)器的安全性?！静襟E6】

最佳經(jīng)驗(yàn)實(shí)踐打開(kāi)syncookie，代碼如下#echo“1”>/proc/sys/net/ipv4/tcp_syncookies//默認(rèn)為1，一般不用設(shè)置01DOS攻擊防御表示開(kāi)啟SYNCookies。當(dāng)出現(xiàn)SYN等待隊(duì)列溢出時(shí)，啟用cookies來(lái)處理，可防范少量SYN攻擊，默認(rèn)為0，表示關(guān)閉。防syn攻擊優(yōu)化。使用vi編輯/etc/sysctl.conf，添加代碼net.ipv4.tcp_max_syn_backlog=204802DOS攻擊防御進(jìn)入SYN包的最大請(qǐng)求隊(duì)列，默認(rèn)為1024，對(duì)重負(fù)載服務(wù)器，增加該值顯然是有好處的，可以調(diào)整到2048?！静襟E6】

最佳經(jīng)驗(yàn)實(shí)踐【步驟6】

最佳經(jīng)驗(yàn)實(shí)踐保存1萬(wàn)條命令，代碼如下#sed-i's/^HISTSIZE=1000/HISTSIZE=10000/g'/etc/profile03歷史命令在/etc/profile的文件尾部添加代碼：USER_IP=`who-uami2>/dev/null|awk'{print$NF}'|sed-e's/[()]//g'`if["$USER_IP"=""]thenUSER_IP=`hostname`fiexportHISTTIMEFORMAT="%F%T$USER_IP`whoami`"shopt-shistappendexportPROMPT_COMMAND="history-a"04【步驟6】

最佳經(jīng)驗(yàn)實(shí)踐##source/etc/profile讓配置生效05任務(wù)評(píng)價(jià)任務(wù)評(píng)價(jià)了解嵌入式操作系統(tǒng)的應(yīng)用場(chǎng)景與安全需求了解常用的嵌入式操作系統(tǒng)及安全性分析掌握Linux系統(tǒng)加固方法任務(wù)測(cè)驗(yàn)選擇題

A.擴(kuò)展式B.開(kāi)放式C.嵌入式D.操作

基于工業(yè)芯片的工業(yè)嵌入式微處理器應(yīng)用日益成為工業(yè)（）系統(tǒng)設(shè)計(jì)的主流。A.VxWorksB.WindowsServerC.Windows

CED.Linux以下哪項(xiàng)不屬于工業(yè)領(lǐng)域常用的嵌入式操作系統(tǒng)？（）。