提高基于Linux的网络连接系统的安全性

嵌入式系统通过互联网或本地网络访问设备的能力促进了广泛的便捷交互。物联网 （IoT） 的发展意味着嵌入式网络的快速增长。对于这些应用程序，网络安全已成为一个大问题。嵌入式系统的资源过于有限，很难提供针对网络攻击的可靠保护。具有 Linux 的高性能设备可能具有安全网络访问的优势。

脚本和技术可以提高这些基于 Linux 的设备的网络访问安全级别。目标是将设备作为服务器进行远程控制和管理。这可以在两个级别进行：用于安全远程外壳访问和 SFTP 文件传输的 SSH 级别，以及 IP 级别保护。

固态混合软件级别安全性

通过 SSH 外壳和 SFTP 进行远程访问是使用 Linux 控制目标嵌入式系统的最大机会。启用此功能是管理设备的便捷方式。SSH 协议执行高级别的安全性和加密。与 SSH 外壳和 SFTP 服务器服务关联的“sshd”实用程序有几种可能的配置，以提高 SSH 级别的安全性。

在嵌入式系统的流行Linux发行版（如埃或阿拉戈项目）中，“丢熊”实用程序是默认的SSH服务器。不幸的是，它提供了一组有限的配置选项。在此实用程序中禁用了重要的配置可能性，例如用户的权限。因此，如果目标设备将具有远程访问权限，则安装“ OpenSSH”服务器将是一个更好的主意。要更改 SSH 服务器，请删除丢熊启动脚本（或移动它，如下面的示例所示）并安装 OpenSSH 软件包：

mv /etc/init.d/dropbear /dropbear_script_backup
opkg install openssh

使用非标准 SSH 端口

使用非标准 SSH 端口是防止“巧合”发现的最简单方法。它可能有助于避免通过互联网或 LAN 进行的许多攻击，这些攻击基于扫描最常用的 TCP 端口以查找网络中不同 IP 地址上的指定服务。降低 SSH 协议此风险的简单方法是将标准端口 22 更改为非标准端口。此选项适用于任何 SSH 服务器。唯一需要注意的是需要在客户端的防火墙上打开指定的端口。

SSH 端口号在“/等/init.d/sshd_config”文件中配置，如下所示：

Port 1907

配置 SSH 访问的用户权限

SSH 服务器选项包括许多限制用户权限的方法。对于安全外壳和 SFTP 服务，选项“允许根登录”、“允许用户”或“拒绝用户”限制了能够通过 SSH 连接到设备的登录名。对于 SFTP，可以使用更多参数来更改根目录路径。此方法对于保护包含关键和机密数据的系统部件非常重要。此选项允许已配置的用户仅在其目录和子目录中操作，因此您可以将其保留在其“沙盒”中。选项“子系统 SFTP 内部 SFTP”与“Chroot 目录”相结合，允许更改指定用户的根目录。所有已配置登录名的“Chroot 目录”部分应放在配置文件的末尾。为不同用户设置目录时，该目录的所有者应为 root 用户。

要配置用户的 SSH 权限，请编辑文件 /etc/init.d/sshd_config，如以下示例所示：

<...>
#list of allowed users:
PermitRootLogin yes
AllowUsers root user1 user2 user3
Subsystem SFTP internal-SFTP
#changing the root directory for user1 and user2:
Match user user1 user2
ChrootDirectory /dir1
ForceCommand internal-SFTP
#changing the root directory for user3:
Match user user3
ChrootDirectory /dir2
ForceCommand internal-SFTP

通过 SSH 远程访问您的应用程序

为了在嵌入式系统中对应用程序执行非标准用户访问，使用SSH协议作为网络通信的安全层非常方便。

一种常见的方法是将服务作为侦听指定 TCP 端口的服务器运行。要提供 SSH 连接，您可以使用“libssh” – 一个根据 LGPL 许可的开源项目。该项目有几个示例，包括 sshd 源代码，它为构建服务器应用程序提供了良好的基础。注意：此解决方案未连接到 OpenSSH 服务器，需要自己的端口号和用户管理。

另一种选择是为您的服务使用现有的正在运行的 OpenSSH 服务器。我们的想法是将 shell 实用程序替换为您自己的应用程序，以供指定用户使用。这一次，用户将通过标准输入/输出接口（如终端）与远程系统进行交互。此解决方案是使用您需要的确切功能组织安全远程访问的更有效方法。要为用户替换 shell，请在“/etc/passwd”文件中编辑其参数，方法是将最后一个选项替换为应用程序的路径：

user1::500:500:Linux User,,,:/home/user1:

IP 级保护

“Iptables”是一个功能强大的工具，用于在 IP 级别保护对目标 Linux 系统的远程访问。Iptables 允许系统独立于应用程序级网络协议过滤流量。这是最通用的选项，几乎适用于每个平台。

在 Linux 内核配置期间，应打开对表的支持。请注意，默认情况下，一些必要的 iptables 选项（如“连接”或“connlimit”）可能会在内核中关闭，因此请打开它们以使用更多 iptables 可能性。

在系统启动时启动表脚本

iptables 实用程序用作网络流量筛选器。筛选器作为规则链执行，这些规则链通过运行具有不同参数的“iptables”命令来应用。这些规则在脚本文件中一起设置。要将 iptables 置于初始状态，请以以下示例规则开始脚本：

iptables -F	#flush all chains
iptables -X	#delete all chains
#accept network traffic by default:
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
#forbid ping:
iptables -A INPUT -p icmp -j DROP

要在系统启动时启用 iptable 保护，请将所需的规则写入脚本文件并执行：

sudo mv  /etc/init.d/
sudo chmod +x 
/etc/init.d/
sudo update-rc.d  defaults

防止暴力攻击

使用 SSH 协议时，暴力破解是最大的安全问题。可以使用 iptables 设置一个简单的防火墙来防止暴力攻击。这个想法是阻止淹没SSH端口的IP地址，并限制打开的最大连接数。下面的脚本用于此目的：

#create the chain to check the number of tries to connect the port:
iptables -N SSH_brute_check 
#if during last 300 seconds any IP address opens more than 20 new connections – block it
iptables -A SSH_brute_check -m conntrack --ctstate NEW -m recent --update --seconds 300 --hitcount 20 -j DROP
#else – allow and add to the checking chain
iptables -A SSH_brute_check -m recent --set -j ACCEPT
iptables -F INPUT #flush input chain
#allow established connections
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT 
#send all tries to open new connections on port 22 to the checking chain
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 22 -j SSH_brute_check

白名单/黑名单 IP 地址

如果客户端的 IP 地址是静态的，则执行网络安全的最佳方法是仅允许访问某些 IP 地址。这意味着除了指定的用户之外，其他用户将无法远程访问目标嵌入式系统。这可以通过创建合法 IP 地址的白名单来完成。对于下面的示例脚本，允许的 IP 地址逐行写入文件，如下所示：

192.168.0.15
192.168.0.100 
<...>

用于完成此操作的 iptables 脚本如下所述：

cat  | 
while read VAR; do
iptables -A INPUT -s $VAR -j ACCEPT
done

您可以使用相反的策略 - 通过将指定的IP地址添加到黑名单中来禁止它们。下面执行阻止黑名单中 IP 地址的示例：

cat  | 
while read VAR; do
iptables -A INPUT -s $VAR -j DROP
done

关闭 IPv6 支持

所描述的服务和方法使用 IPv4 协议。IPv6 协议的安全配置将被忽略，这使得保持启用状态不安全。如果在内核中启用了 IPv6 支持，则它应该具有额外的保护。或者，如果您不需要它，则可以通过在 /etc/sysctl.conf 文件中添加以下行来关闭它：

net.ipv6.conf.eth0.disable_ipv6 = 1