嵌入式系統通過 Internet 或本地網絡訪問設備的能力促進了廣泛的便捷交互。物聯網 （IoT） 的發展意味著嵌入式網絡的快速增長。對于這些應用程序，網絡安全已成為一個大問題。嵌入式系統的資源太有限，很難提供可靠的網絡攻擊保護。具有 Linux 的高性能設備可能具有安全網絡訪問的優勢。

腳本和技術可以提高這些基于 Linux 的設備的網絡訪問安全級別。目標是訪問設備作為遠程控制和管理的服務器。這可以在兩個級別進行：用于安全遠程 shell 訪問和 SFTP 文件傳輸的 SSH 級別，以及 IP 級別保護。

SSH 級別的安全性

通過 SSH shell 和 SFTP 進行遠程訪問為使用 Linux 控制目標嵌入式系統提供了最大的機會。啟用此功能是管理設備的便捷方式。SSH 協議執行高級別的安全和加密。與 SSH shell 和 SFTP 服務器服務相關的“sshd”實用程序有幾種可能的配置，以提高 SSH 級別的安全性。

在用于嵌入式系統的流行 Linux 發行版（例如 Angstrom 或 Arago-project）中，“Dropbear”實用程序是默認的 SSH 服務器。不幸的是，它提供了一組有限的配置選項。此實用程序禁用了重要的配置可能性，例如用戶權限。因此，如果目標設備要進行遠程訪問，安裝“OpenSSH”服務器會是一個更好的主意。要更改 SSH 服務器，請刪除 Dropbear 啟動腳本（或移動它，如下例所示）并安裝 OpenSSH 包：

mv /etc/init.d/dropbear /dropbear_script_backup

opkg install openssh

使用非標準 SSH 端口

使用非標準 SSH 端口是防止“偶然”發現的最簡單方法。基于掃描最常用的 TCP 端口以查找網絡中不同 IP 地址上的指定服務，它可能有助于避免通過 Internet 或 LAN 進行的許多攻擊。降低 SSH 協議這種風險的簡單方法是將標準端口 22 更改為非標準端口。此選項適用于任何 SSH 服務器。唯一需要注意的是需要在客戶端打開防火墻上的指定端口。

SSH 端口號在“/etc/init.d/sshd_config”文件中配置，如下所示：

Port 1907

為 SSH 訪問配置用戶權限

SSH 服務器選項包括許多限制用戶權限的方法。對于安全外殼和 SFTP 服務，“PermitRootLogin”、“AllowUsers”或“DenyUsers”選項限制了能夠通過 SSH 連接到設備的登錄。對于 SFTP，可以使用更多參數來更改根目錄路徑。此方法對于保護包含關鍵和機密數據的系統部件非常重要。此選項允許配置的用戶僅在其目錄和子目錄內進行操作，因此您可以將它們留在他們的“沙箱”中。選項“Subsystem SFTP internal-SFTP”結合“ChrootDirectory”允許更改指定用戶的根目錄。所有已配置登錄的“ChrootDirectory”部分應放在配置文件的末尾。在為不同用戶設置目錄時，

要配置用戶 SSH 權限，請編輯文件 /etc/init.d/sshd_config，如示例中所示：

《。..》

#list of allowed users：

PermitRootLogin yes

AllowUsers root user1 user2 user3

Subsystem SFTP internal-SFTP

#changing the root directory for user1 and user2：

Match user user1 user2

ChrootDirectory /dir1

ForceCommand internal-SFTP

#changing the root directory for user3：

Match user user3

ChrootDirectory /dir2

ForceCommand internal-SFTP

通過 SSH 遠程訪問您的應用程序

為了在嵌入式系統中執行對您的應用程序的非標準用戶訪問，使用 SSH 協議作為網絡通信的安全層很方便。

一種常見的方法是將您的服務作為偵聽指定 TCP 端口的服務器運行。要提供 SSH 連接，您可以使用“libssh”——一個獲得 LGPL 許可的開源項目。該項目有幾個示例，包括 sshd 源代碼，它為構建您的服務器應用程序提供了很好的基礎。注意：此方案不連接OpenSSH服務器，需要自己的端口號和用戶管理。

另一種選擇是為您的服務使用現有的正在運行的 OpenSSH 服務器。這個想法是用您自己的應用程序為指定用戶替換 shell 實用程序。這次用戶將通過標準輸入/輸出接口與遠程系統進行交互，就像終端一樣。此解決方案是一種更有效的方式來組織具有您需要的確切功能的安全遠程訪問。要為用戶替換 shell，請編輯“/etc/passwd”文件中的參數，將最后一個選項替換為應用程序的路徑：

user1：：500:500:Linux User，，，：/home/user1：

IP級保護

“Iptables”是一個強大的工具，用于在 IP 級別保護對目標 Linux 系統的遠程訪問。iptables 允許系統獨立于應用級網絡協議過濾流量。這是最通用的選項，幾乎適用于所有平臺。

在 Linux 內核配置期間應該打開 iptables 支持。請注意，一些必要的 iptables 選項，如“conntrack”或“connlimit”，默認情況下可能在內核中關閉，因此請打開它們以使用更多 iptables 可能性。

在系統啟動時啟動 iptables 腳本

iptables 實用程序用作網絡流量過濾器。過濾器是通過運行具有不同參數的“iptables”命令應用的規則鏈來執行的。這些規則一起設置在一個腳本文件中。要將 iptables 置于初始狀態，請使用以下示例規則開始腳本：

iptables -F #flush all chains?iptables -X #delete all chains

#accept network traffic by default：

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

#forbid ping：

iptables -A INPUT -p icmp -j DROP

要在系統啟動時啟用 iptable 保護，請將所需規則寫入腳本文件并執行：

sudo mv /etc/init.d/?sudo chmod +x

/etc/init.d/?sudo update-rc.d defaults

防止暴力攻擊

暴力破解是使用 SSH 協議時最大的安全問題。可以使用 iptables 設置一個簡單的防火墻來防止暴力攻擊。這個想法是阻止淹沒 SSH 端口的 IP 地址并限制打開的最大連接數。下面的腳本用于此目的：

#create the chain to check the number of tries to connect the port：

iptables -N SSH_brute_check

#if during last 300 seconds any IP address opens more than 20 new connections – block it

iptables -A SSH_brute_check -m conntrack --ctstate NEW -m recent --update --seconds 300 --hitcount 20 -j DROP

#else – allow and add to the checking chain

iptables -A SSH_brute_check -m recent --set -j ACCEPT

iptables -F INPUT #flush input chain

#allow established connections

iptables -A INPUT -m conntrack --ctstate ESTABLISHED，RELATED -j ACCEPT

#send all tries to open new connections on port 22 to the checking chain

iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 22 -j SSH_brute_check

白名單/黑名單 IP 地址

如果客戶端的 IP 地址是靜態的，則執行網絡安全的最佳方法是只允許某些 IP 地址訪問。這意味著除了指定的用戶之外，沒有其他用戶能夠遠程訪問目標嵌入式系統。這可以通過創建合法 IP 地址的白名單來完成。對于下面的示例腳本，允許的 IP 地址記錄在像這樣逐行文件：

192.168.0.15

192.168.0.100

《。..》

完成這項工作的 iptables 腳本如下所述：

cat | \

while read VAR; do

iptables -A INPUT -s $VAR -j ACCEPT

done

您可以使用相反的策略——通過將指定的 IP 地址添加到黑名單來禁止它們。將 IP 地址從黑名單中屏蔽的示例如下：

cat | \

while read VAR; do

iptables -A INPUT -s $VAR -j DROP

done

關閉 IPv6 支持

所描述的服務和方法使用 IPv4 協議。IPv6 協議的安全配置被忽略，這使得保持啟用是不安全的。如果內核中啟用了 IPv6 支持，那么它應該有額外的保護。或者，如果您不需要它，您可以通過在 /etc/sysctl.conf 文件中添加這一行來關閉它：

net.ipv6.conf.eth0.disable_ipv6 = 1

審核編輯：郭婷