工业互联网安全 课件 任务2 Linux系统安全加固

任务2Linux系统安全加固工业以太网使用了TCP/IP协议，便于联网，并具有高速控制网络的优点。随着嵌入式CPU价格的下降，性能指标的提高，为嵌入式系统的广泛应用和Linux在嵌入式系统中的发展提供了广阔的空间。由于Linux的高度灵活性，可以容易地根据应用领域的特点对它进行定制开发，以满足实际应用需要。任务描述了解并掌握了Linux操作系统安全加固的内容及具体方法嵌入式操作系统的应用场景与安全需求1基于工业芯片的工业嵌入式微处理器应用日益成为工业嵌入式系统设计的主流。但是，工业嵌入式微处理器的应用还必须得到运行于嵌入式微处理器上的操作系统的支持。这就要求嵌入式操作系统可移植性良好，可供工业微处理器按需选用，同时，可以实现嵌入式软件的模块化、测试、部署与应用，并提供安全开发最佳实践。知识导入知识导入工业领域常用的嵌入式操作系统及安全性分析2（1）WindowsCE在工业领域的应用安全性微软WindowsCE（WinCE）是一款开放式嵌入式操作系统，具有模块化、结构化和与处理器无关等特点，基于Win32API和传统的Windows图形界面，易于实现Windows系列平台软件的移植。实时性是嵌入式工控系统的重要需求，一旦控制系统的硬件选定，控制系统的实时性能就主要取决于嵌入式操作系统，WinCE可为响应能力确定的工业App提供内建实时支持。知识导入工业领域常用的嵌入式操作系统及安全性分析2（2）VxWorks在工业领域的应用安全性VxWorks属于实时操作系统，可支持各种嵌入式CPU，包括X86、MIPS、Intel、SPARC、ARM与xScaleCPU等，具有良好的开放性、模块化和可扩展性，特别是可靠性与实时性优良，可用于实时性要求极高的工控场景，比如，在多任务、多线程的PLC控制中，可实现多点位的工业物联网及工控系统的复杂控制功能。VxWorks堪称业界安全性最高的嵌入式操作系统，但在工业应用中，也暴露出来不少安全问题。知识导入工业领域常用的嵌入式操作系统及安全性分析2（3）Android在工业领域的应用安全性Linux是在工业领域中应用广泛的类Unix嵌入式操作系统。在Linux基础上，衍生出了众多嵌入式操作系统(比如Android、μClinux等)，这些系统内核精炼、性能高、稳定性强、可移植性好，支持多种架构的CPU，可裁减性强。Android系统采用自底向上的内核、系统运行库、应用程序框架、应用程序分层架构，各层均设置了多种安全机制。Android自身安全机制相对复杂，而且未必能够被完美遵循，为其在工业设备与控制等应用带来安全隐患。工业漏洞管理平台任务实施【任务目的】掌握Linux系统加固方法【使用工具】主操作平台：CentOSLinuxrelease7.4.1708(Core)测试机：Windows（可选环境，用于测试CentOS安全策略是否有效）输入命令cat/etc/shadow，查看有多少账户【步骤1】

用户管理使用命令userdel<用户名>，删除不必要的账户0102【步骤1】

用户管理使用命令passwd-l<用户名>，锁定不必要的账户使用命令passwd-u<用户名>，解锁必要的账户0304密码安全策略【步骤2】

身份鉴别01（1）查看空口令账号并为弱/空口令账号设置强密码：awk-F:'($2==""){print$1}'/etc/shadow操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换。设置有效的密码策略，防止攻击者破解出密码。可用离线破解、暴力字典破解或者密码网站查询出账号密钥的密码是否是弱口令。密码安全策略【步骤2】

身份鉴别02修改vi/etc/login.defs配置密码周期策略。此策略只对策略实施后所创建的账号生效，以前的账号还是按99999天周期时间来算/etc/pam.d/system-auth配置密码复杂度passwordrequisitepam_cracklib.soretry=3difok=2minlen=8lcredit=-1dcredit=-1添加代码03登录失败策略【步骤2】

身份鉴别04/etc/pam.d/login中设定控制台；/etc/pam.d/sshd中设定SSH。/etc/pam.d/sshd中第二行添加信息。登录失败策略【步骤2】

身份鉴别05第二行中添加代码authrequiredpam_tally2.sodeny=5lock_time=2even_deny_rootunlock_time=60查看用户登录失败次数的代码#pam_tally2--userroot解锁用户的代码#pam_tally2-r-uroot安全的远程管理方式【步骤2】

身份鉴别06防止远程管理过程中密码等敏感信息被窃听。查看telnet服务是否在运行。禁止telnet运行，禁止开机启动。审核策略开启【步骤3】

安全审计01查看rsyslog与auditd服务是否开启。rsyslog一般都会开启，auditd如没开启，执行命令#systemctlstartauditdauditd服务开机启动。日志属性设置【步骤3】

安全审计02让日志文件转储一个月，保留6个月的信息，先查看目前配置#more/etc/logrotate.conf|grep-v"^#\|^$"应保护审计记录，避免受到未预期的删除、修改或覆盖等。【步骤4】

入侵防御关闭与系统业务无关或不必要的服务，减小系统被黑客被攻击、渗透的风险。禁用蓝牙服务禁止蓝牙开机启动#systemctlstopbluetooth操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。【步骤5】

系统资源控制在/etc/hosts.allow和/etc/hosts.deny文件中配置接入限制。编辑hosts.deny文件（vi/etc/hosts.deny），加入两行代码#Denyaccesstoeveryone.ALL:ALL@ALL,PARANOID01访问控制编辑hosts.allow文件，加入允许访问的主机列表代码FTP:9//9是允许访问ftp服务的IP地址//是允许访问ftp服务的主机名称也可以用iptables进行访问控制。02【步骤5】

系统资源控制在/etc/profile中添加代码exprotTMOUT=900//15分钟#source/etc/profile03超时锁定应根据安全策略设置登录终端的操作超时锁定。设置登录超时时间，释放系统资源，也能够提高服务器的安全性。【步骤6】

最佳经验实践打开syncookie，代码如下#echo“1”>/proc/sys/net/ipv4/tcp_syncookies//默认为1，一般不用设置01DOS攻击防御表示开启SYNCookies。当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭。防syn攻击优化。使用vi编辑/etc/sysctl.conf，添加代码net.ipv4.tcp_max_syn_backlog=204802DOS攻击防御进入SYN包的最大请求队列，默认为1024，对重负载服务器，增加该值显然是有好处的，可以调整到2048。【步骤6】

最佳经验实践【步骤6】

最佳经验实践保存1万条命令，代码如下#sed-i's/^HISTSIZE=1000/HISTSIZE=10000/g'/etc/profile03历史命令在/etc/profile的文件尾部添加代码：USER_IP=`who-uami2>/dev/null|awk'{print$NF}'|sed-e's/[()]//g'`if["$USER_IP"=""]thenUSER_IP=`hostname`fiexportHISTTIMEFORMAT="%F%T$USER_IP`whoami`"shopt-shistappendexportPROMPT_COMMAND="history-a"04【步骤6】

最佳经验实践##source/etc/profile让配置生效05任务评价任务评价了解嵌入式操作系统的应用场景与安全需求了解常用的嵌入式操作系统及安全性分析掌握Linux系统加固方法任务测验选择题

A.扩展式B.开放式C.嵌入式D.操作

基于工业芯片的工业嵌入式微处理器应用日益成为工业（）系统设计的主流。A.VxWorksB.WindowsServerC.Windows

CED.Linux以下哪项不属于工业领域常用的嵌入式操作系统？（）。