工业互联网安全 课件 任务2 Linux系统安全加固.pptx

任务2Linux系统安全加固

工业以太网使用了TCP/IP协议，便于联网，并具有高速控制网络的优点。随着嵌入式CPU价格的下降，性能指标的提高，为嵌入式系统的广泛应用和Linux在嵌入式系统中的发展提供了广阔的空间。由于Linux的高度灵活性，可以容易地根据应用领域的特点对它进行定制开发，以满足实际应用需要。任务描述了解并掌握了Linux操作系统安全加固的内容及具体方法

嵌入式操作系统的应用场景与安全需求1基于工业芯片的工业嵌入式微处理器应用日益成为工业嵌入式系统设计的主流。但是，工业嵌入式微处理器的应用还必须得到运行于嵌入式微处理器上的操作系统的支持。这就要求嵌入式操作系统可移植性良好，可供工业微处理器按需选用，同时，可以实现嵌入式软件的模块化、测试、部署与应用，并提供安全开发最佳实践。知识导入

知识导入工业领域常用的嵌入式操作系统及安全性分析2（1）WindowsCE在工业领域的应用安全性微软WindowsCE（WinCE）是一款开放式嵌入式操作系统，具有模块化、结构化和与处理器无关等特点，基于Win32API和传统的Windows图形界面，易于实现Windows系列平台软件的移植。实时性是嵌入式工控系统的重要需求，一旦控制系统的硬件选定，控制系统的实时性能就主要取决于嵌入式操作系统，WinCE可为响应能力确定的工业App提供内建实时支持。

知识导入工业领域常用的嵌入式操作系统及安全性分析2（2）VxWorks在工业领域的应用安全性VxWorks属于实时操作系统，可支持各种嵌入式CPU，包括X86、MIPS、Intel、SPARC、ARM与xScaleCPU等，具有良好的开放性、模块化和可扩展性，特别是可靠性与实时性优良，可用于实时性要求极高的工控场景，比如，在多任务、多线程的PLC控制中，可实现多点位的工业物联网及工控系统的复杂控制功能。VxWorks堪称业界安全性最高的嵌入式操作系统，但在工业应用中，也暴露出来不少安全问题。

知识导入工业领域常用的嵌入式操作系统及安全性分析2（3）Android在工业领域的应用安全性Linux是在工业领域中应用广泛的类Unix嵌入式操作系统。在Linux基础上，衍生出了众多嵌入式操作系统(比如Android、μClinux等)，这些系统内核精炼、性能高、稳定性强、可移植性好，支持多种架构的CPU，可裁减性强。Android系统采用自底向上的内核、系统运行库、应用程序框架、应用程序分层架构，各层均设置了多种安全机制。Android自身安全机制相对复杂，而且未必能够被完美遵循，为其在工业设备与控制等应用带来安全隐患。

工业漏洞管理平台任务实施【任务目的】掌握Linux系统加固方法【使用工具】主操作平台：CentOSLinuxrelease7.4.1708(Core)测试机：Windows（可选环境，用于测试CentOS安全策略是否有效）

输入命令cat/etc/shadow，查看有多少账户【步骤1】用户管理使用命令userdel用户名，删除不必要的账户0102

【步骤1】用户管理使用命令passwd-l用户名，锁定不必要的账户使用命令passwd-u用户名，解锁必要的账户0304

密码安全策略【步骤2】身份鉴别01（1）查看空口令账号并为弱/空口令账号设置强密码：awk-F:($2==){print$1}/etc/shadow操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换。设置有效的密码策略，防止攻击者破解出密码。可用离线破解、暴力字典破解或者密码网站查询出账号密钥的密码是否是弱口令。

密码安全策略【步骤2】身份鉴别02修改vi/etc/login.defs配置密码周期策略。此策略只对策略实施后所创建的账号生效，以前的账号还是按99999天周期时间来算/etc/pam.d/system-auth配置密码复杂度passwordrequisitepam_cracklib.soretry=3difok=2minlen=8lcredit=-1dcredit=-1添加代码03

登录失败策略【步骤2】身份鉴别04/etc/pam.d/login中设定控制台；/etc/pam.d/sshd中设定SSH。/etc/pam.d/sshd中第二行添加信息。

登录失败策略【步骤2】身份鉴别05第二行中添加代码authrequiredpam_tally2.sodeny=5lock_time=2even_deny_rootunlock_time=60查看用户登录失败次数的代码#pam_tally2--userroot解锁用户的代码#pam_tally2-r-uroot

安