工業(yè)互聯(lián)網(wǎng)安全 課件 任務2 Linux系統(tǒng)安全加固

任務2Linux系統(tǒng)安全加固工業(yè)以太網(wǎng)使用了TCP/IP協(xié)議，便于聯(lián)網(wǎng)，并具有高速控制網(wǎng)絡的優(yōu)點。隨著嵌入式CPU價格的下降，性能指標的提高，為嵌入式系統(tǒng)的廣泛應用和Linux在嵌入式系統(tǒng)中的發(fā)展提供了廣闊的空間。由于Linux的高度靈活性，可以容易地根據(jù)應用領域的特點對它進行定制開發(fā)，以滿足實際應用需要。任務描述了解并掌握了Linux操作系統(tǒng)安全加固的內(nèi)容及具體方法嵌入式操作系統(tǒng)的應用場景與安全需求1基于工業(yè)芯片的工業(yè)嵌入式微處理器應用日益成為工業(yè)嵌入式系統(tǒng)設計的主流。但是，工業(yè)嵌入式微處理器的應用還必須得到運行于嵌入式微處理器上的操作系統(tǒng)的支持。這就要求嵌入式操作系統(tǒng)可移植性良好，可供工業(yè)微處理器按需選用，同時，可以實現(xiàn)嵌入式軟件的模塊化、測試、部署與應用，并提供安全開發(fā)最佳實踐。知識導入知識導入工業(yè)領域常用的嵌入式操作系統(tǒng)及安全性分析2（1）WindowsCE在工業(yè)領域的應用安全性微軟WindowsCE（WinCE）是一款開放式嵌入式操作系統(tǒng)，具有模塊化、結構化和與處理器無關等特點，基于Win32API和傳統(tǒng)的Windows圖形界面，易于實現(xiàn)Windows系列平臺軟件的移植。實時性是嵌入式工控系統(tǒng)的重要需求，一旦控制系統(tǒng)的硬件選定，控制系統(tǒng)的實時性能就主要取決于嵌入式操作系統(tǒng)，WinCE可為響應能力確定的工業(yè)App提供內(nèi)建實時支持。知識導入工業(yè)領域常用的嵌入式操作系統(tǒng)及安全性分析2（2）VxWorks在工業(yè)領域的應用安全性VxWorks屬于實時操作系統(tǒng)，可支持各種嵌入式CPU，包括X86、MIPS、Intel、SPARC、ARM與xScaleCPU等，具有良好的開放性、模塊化和可擴展性，特別是可靠性與實時性優(yōu)良，可用于實時性要求極高的工控場景，比如，在多任務、多線程的PLC控制中，可實現(xiàn)多點位的工業(yè)物聯(lián)網(wǎng)及工控系統(tǒng)的復雜控制功能。VxWorks堪稱業(yè)界安全性最高的嵌入式操作系統(tǒng)，但在工業(yè)應用中，也暴露出來不少安全問題。知識導入工業(yè)領域常用的嵌入式操作系統(tǒng)及安全性分析2（3）Android在工業(yè)領域的應用安全性Linux是在工業(yè)領域中應用廣泛的類Unix嵌入式操作系統(tǒng)。在Linux基礎上，衍生出了眾多嵌入式操作系統(tǒng)(比如Android、μClinux等)，這些系統(tǒng)內(nèi)核精煉、性能高、穩(wěn)定性強、可移植性好，支持多種架構的CPU，可裁減性強。Android系統(tǒng)采用自底向上的內(nèi)核、系統(tǒng)運行庫、應用程序框架、應用程序分層架構，各層均設置了多種安全機制。Android自身安全機制相對復雜，而且未必能夠被完美遵循，為其在工業(yè)設備與控制等應用帶來安全隱患。工業(yè)漏洞管理平臺任務實施【任務目的】掌握Linux系統(tǒng)加固方法【使用工具】主操作平臺：CentOSLinuxrelease7.4.1708(Core)測試機：Windows（可選環(huán)境，用于測試CentOS安全策略是否有效）輸入命令cat/etc/shadow，查看有多少賬戶【步驟1】

用戶管理使用命令userdel<用戶名>，刪除不必要的賬戶0102【步驟1】

用戶管理使用命令passwd-l<用戶名>，鎖定不必要的賬戶使用命令passwd-u<用戶名>，解鎖必要的賬戶0304密碼安全策略【步驟2】

身份鑒別01（1）查看空口令賬號并為弱/空口令賬號設置強密碼：awk-F:'($2==""){print$1}'/etc/shadow操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換。設置有效的密碼策略，防止攻擊者破解出密碼?？捎秒x線破解、暴力字典破解或者密碼網(wǎng)站查詢出賬號密鑰的密碼是否是弱口令。密碼安全策略【步驟2】

身份鑒別02修改vi/etc/login.defs配置密碼周期策略。此策略只對策略實施后所創(chuàng)建的賬號生效，以前的賬號還是按99999天周期時間來算/etc/pam.d/system-auth配置密碼復雜度passwordrequisitepam_cracklib.soretry=3difok=2minlen=8lcredit=-1dcredit=-1添加代碼03登錄失敗策略【步驟2】

身份鑒別04/etc/pam.d/login中設定控制臺；/etc/pam.d/sshd中設定SSH。/etc/pam.d/sshd中第二行添加信息。登錄失敗策略【步驟2】

身份鑒別05第二行中添加代碼authrequiredpam_tally2.sodeny=5lock_time=2even_deny_rootunlock_time=60查看用戶登錄失敗次數(shù)的代碼#pam_tally2--userroot解鎖用戶的代碼#pam_tally2-r-uroot安全的遠程管理方式【步驟2】

身份鑒別06防止遠程管理過程中密碼等敏感信息被竊聽。查看telnet服務是否在運行。禁止telnet運行，禁止開機啟動。審核策略開啟【步驟3】

安全審計01查看rsyslog與auditd服務是否開啟。rsyslog一般都會開啟，auditd如沒開啟，執(zhí)行命令#systemctlstartauditdauditd服務開機啟動。日志屬性設置【步驟3】

安全審計02讓日志文件轉(zhuǎn)儲一個月，保留6個月的信息，先查看目前配置#more/etc/logrotate.conf|grep-v"^#\|^$"應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等?！静襟E4】

入侵防御關閉與系統(tǒng)業(yè)務無關或不必要的服務，減小系統(tǒng)被黑客被攻擊、滲透的風險。禁用藍牙服務禁止藍牙開機啟動#systemctlstopbluetooth操作系統(tǒng)遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新。【步驟5】

系統(tǒng)資源控制在/etc/hosts.allow和/etc/hosts.deny文件中配置接入限制。編輯hosts.deny文件（vi/etc/hosts.deny），加入兩行代碼#Denyaccesstoeveryone.ALL:ALL@ALL,PARANOID01訪問控制編輯hosts.allow文件，加入允許訪問的主機列表代碼FTP:9//9是允許訪問ftp服務的IP地址//是允許訪問ftp服務的主機名稱也可以用iptables進行訪問控制。02【步驟5】

系統(tǒng)資源控制在/etc/profile中添加代碼exprotTMOUT=900//15分鐘#source/etc/profile03超時鎖定應根據(jù)安全策略設置登錄終端的操作超時鎖定。設置登錄超時時間，釋放系統(tǒng)資源，也能夠提高服務器的安全性?！静襟E6】

最佳經(jīng)驗實踐打開syncookie，代碼如下#echo“1”>/proc/sys/net/ipv4/tcp_syncookies//默認為1，一般不用設置01DOS攻擊防御表示開啟SYNCookies。當出現(xiàn)SYN等待隊列溢出時，啟用cookies來處理，可防范少量SYN攻擊，默認為0，表示關閉。防syn攻擊優(yōu)化。使用vi編輯/etc/sysctl.conf，添加代碼net.ipv4.tcp_max_syn_backlog=204802DOS攻擊防御進入SYN包的最大請求隊列，默認為1024，對重負載服務器，增加該值顯然是有好處的，可以調(diào)整到2048?！静襟E6】

最佳經(jīng)驗實踐【步驟6】

最佳經(jīng)驗實踐保存1萬條命令，代碼如下#sed-i's/^HISTSIZE=1000/HISTSIZE=10000/g'/etc/profile03歷史命令在/etc/profile的文件尾部添加代碼：USER_IP=`who-uami2>/dev/null|awk'{print$NF}'|sed-e's/[()]//g'`if["$USER_IP"=""]thenUSER_IP=`hostname`fiexportHISTTIMEFORMAT="%F%T$USER_IP`whoami`"shopt-shistappendexportPROMPT_COMMAND="history-a"04【步驟6】

最佳經(jīng)驗實踐##source/etc/profile讓配置生效05任務評價任務評價了解嵌入式操作系統(tǒng)的應用場景與安全需求了解常用的嵌入式操作系統(tǒng)及安全性分析掌握Linux系統(tǒng)加固方法任務測驗選擇題

A.擴展式B.開放式C.嵌入式D.操作

基于工業(yè)芯片的工業(yè)嵌入式微處理器應用日益成為工業(yè)（）系統(tǒng)設計的主流。A.VxWorksB.WindowsServerC.Windows

CED.Linux以下哪項不屬于工業(yè)領域常用的嵌入式操作系統(tǒng)？（）。