加强物联网基础设施安全性的 5 个策略
EMQX Team
为了确保物联网设备的安全性,我们在本系列专题之前的文章中介绍了加密、身份验证和安全协议等多种安全措施。除此之外,我们还需要对物联网设备进行定期更新和维护,以确保其安全性。随着更多的系统和服务转移到云端,操作系统的安全性尤为重要。
本文将介绍可以从哪些方面提高操作系统的安全性。
定期更新操作系统和软件
定期更新操作系统和软件是保持系统安全的关键。新版本的操作系统和软件通常会修复安全漏洞和错误,同时改进安全性能。因此,及时更新操作系统和软件可以减少系统受攻击的风险。
在更新操作系统和软件时,建议采取如下措施:
- 检查更新源的可靠性:确保更新源是可靠的,可以避免下载到恶意软件。
- 测试更新后的系统:在生产环境之前,应该在测试环境中测试更新后的系统,以确保系统的稳定性和安全性。
- 安装安全补丁:安全补丁可以修复最新的漏洞和错误,从而保护系统安全。
以更新 OPENSSL 软件为示例
OpenSSL 是一个常用的开源软件库,用于 SSL 和 TLS 协议的加密和解密。由于其应用广泛,安全性一直是其关注的焦点。在过去的几年中,OpenSSL 已经遭受了一些严重的漏洞和攻击。下面是一些增强 OpenSSL 安全性的方法:
更新 OpenSSL 版本
定期更新 OpenSSL 版本是确保安全的最好方式。新版本的 OpenSSL 通常包含对已知漏洞的修复和新的安全特性。即使您的应用程序或系统没有受到过攻击,也应该定期更新 OpenSSL 版本,以保持系统的安全性。另外,如果您使用的是旧版本的 OpenSSL,建议立即升级到最新版本。您可以在 OpenSSL 官方网站上下载最新版本的 OpenSSL。
密码策略
OpenSSL 可以使用密码来保护密钥和证书。为了提高安全性,应该使用强密码,并定期更改密码。此外,应该使用密码管理工具来管理密码,以避免使用弱密码或在多个系统中重复使用密码。如果您的密码泄露,建议立即更改密码。另外,您可以使用密码生成器来生成随机的强密码。如果您使用的是多个系统,建议使用单点登录工具,以避免因在多个系统中存储相同的密码增加密码泄漏的风险。
加强访问控制
为了保护 OpenSSL 的安全,应该限制对 OpenSSL 的访问。只有授权的用户才能访问 OpenSSL,并且应该使用最小权限原则来限制用户的访问权限。此外,应使用 VPN 等安全通道来保护 OpenSSL 的访问。如果您的系统已经遭受攻击,建议立即限制对 OpenSSL 的访问。您可以使用防火墙等安全工具来限制访问,还可以使用双因素认证工具来加强访问控制。
证书验证
在使用 OpenSSL 时,应该验证其证书的有效性。证书验证可以防止中间人攻击和其他安全威胁。为了验证证书的有效性,应该使用证书链和 CRL(证书吊销列表)。如果您的证书已经被撤销,建议立即更新证书。您可以使用证书管理工具来管理证书。另外,您可以使用证书颁发机构(CA)来获得可信的证书。
日志记录和监控
记录和监控 OpenSSL 的活动可以帮助发现和诊断安全问题。您应启用 OpenSSL 的日志记录功能,并定期审查日志,以便发现潜在的安全问题。此外,应使用安全监控工具来监控 OpenSSL 的活动,以便及时发现和处理安全事件。您可以使用开源的安全监控工具,例如 OSSEC 和 SNORT。另外,您还可以使用人工智能和机器学习技术来分析日志和监控数据。
总之,保护 OpenSSL 的安全需要多种措施并行。如果您的系统已经受到攻击,建议立即采取措施来保护 OpenSSL 的安全。您可以参考 OpenSSL 官方文档,以获取更多关于 OpenSSL 安全的信息。另外,您可以参加 OpenSSL 安全培训课程,以提高自己的安全意识和技能。
禁用不必要的服务和端口
操作系统上默认启用了许多服务和端口,但是并不是所有服务和端口都是必需的。为了减少攻击面,我们应该禁用不必要的服务和端口。可以使用命令行工具来禁用服务和端口,例如 systemd、inetd、xinetd等。
在禁用不必要的服务和端口时,需要注意以下几点:
- 确保不会影响系统正常运行:禁用服务和端口之前,需要了解它们的用途和影响,以免影响系统的正常运行。
- 定期检查服务和端口:由于系统的变化,可能会出现新的服务和端口,因此需要定期检查服务和端口,以确保系统的安全性。
以 EMQX 为示例的服务端口控制
集群节点发现端口
若环境变量 WITH_EPMD 没有设置,则启动 EMQX 时不启用 epmd,而使用 EMQX ekka 的节点发现。这也是 4.0 之后的默认节点发现方式,称为 ekka 模式。
在 ekka 模式下,集群发现端口的映射关系是约定好的,而不是动态的。node.dist_listen_min 和 node.dist_listen_max 两个配置在 ekka 模式下不起作用。
如果集群节点间存在防火墙,防火墙需要放开这个约定的端口。约定端口的规则为:ListeningPort = BasePort + Offset。其中:
- BasePort 为 4370 (不可配置);
- Offset 为节点名的数字后缀,如果节点名没有数字后缀的话,Offsset 为 0。
举例来说, 如果 emqx.conf 里配置了节点名:
node.name=emqx@192.168.0.12,那么监听端口为 4370, 但对于 emqx1 (或者 emqx-1) 端口就是 4371,以此类推。The Cluster RPC Port
每个节点还需要监听一个 RPC 端口,也需要被防火墙也放开。和上文提到的 ekka 模式下的集群发现端口一样,这个 RPC 端口也是约定式的。
RPC 端口的规则和 ekka 模式下的集群发现端口类似,只不过 BasePort = 5370。也就是说,如果 emqx.conf 里配置了节点名:
node.name=emqx@192.168.0.12,那么监听端口为 5370,但对于 emqx1 (或者 emqx-1) 端口就是 5371,以此类推。MQTT 对外服务端口
默认情况下,MQTT 使用两个端口:1883 和 8883。端口 1883 是未加密的传输端口,而端口 8883 是加密的传输端口。在进行 MQTT 通信时,客户端应该使用相应的端口来建立与代理服务器的连接。
除了默认端口之外,MQTT 还支持其他端口,例如 8083 和 8084。这些端口通常用于 WebSocket 连接或 SSL 代理连接,可以提供更多的通信选项和安全性。
实施访问控制
实施访问控制是保护系统安全的另一种方法。可以通过以下方式来实施访问控制:
- 强制使用密码:强制用户使用密码可以防止未经授权的用户访问系统。
- 限制登录尝试:限制登录尝试可以防止暴力攻击,例如使用错误的密码来试图登录系统。
- 使用防火墙:使用防火墙可以限制网络流量,防止未经授权的访问。
在实施访问控制时,需要注意以下几点:
- 确保密码的复杂度:密码应该是足够复杂的,以防止被猜测或破解。
- 定期更改密码:定期更改密码可以减少密码被泄露的风险。
- 配置防火墙规则:防火墙规则需要根据实际情况进行配置,以便实现最佳的安全性和性能。
其他安全配置
除了上述措施,还可以采取其他安全配置来保护系统安全,例如:
- 加密文件系统:加密文件系统可以保护数据的机密性,即使数据被盗也不会被泄露。
- 使用 SELinux:SELinux 是一个安全增强的 Linux 内核模块,可以限制进程的权限,从而降低系统被攻击的风险。
- 启用日志记录:启用日志记录可以帮助跟踪系统和应用程序的活动,以便检测和响应安全事件。
- 使用安全加固工具:安全加固工具可以自动化执行一些安全性检查和修复,如硬化系统、检测漏洞等。例如,可以使用 OpenSCAP、Lynis 等工具来加固系统安全。
建立安全意识
除了技术措施外,建立安全意识也是保护系统安全的重要手段。可以通过以下方式来建立安全意识:
- 培训员工:对员工进行安全培训,提高他们的安全意识和技能。
- 制定安全政策:制定安全政策,规范员工的行为和责任。
- 定期演练:定期演练安全事件响应,提高员工的应急能力。
结语
操作系统是一个功能强大的系统,但是安全性问题也不容忽视。通过本文介绍的方法,使用 EMQX 这类具有强大安全功能和极高可靠性的产品,可以帮助您提高系统的安全性,构建更加可靠的物联网系统。