Maintenir à jour avec la sécurité lors du développement d’applications web est une tâche assez difficile, mais lorsque vous commencez à s’aventurer dans le monde du développement de l’ITO c’est un tout nouveau jeu de balle. À l’instar de retour dans la journée quand j’ai commencé à développer des applications Facebook, documentation stable pour créer des systèmes de l’ITO est peu nombreuses et espacées, et beaucoup, vous trouverez des informations sera incorrect ou incomplet. Cela constitue une menace majeure comme développeurs IoT débutant créera des systèmes non sécurisés qui mettent en péril la sécurité et congé baillant des trous dans les systèmes qui pourraient autoriser l’accès à des données très privées et le même contrôle sur périphériques, les appareils et les systèmes de sécurité familiale/professionnel.
Pour ceux qui suivent mes articles ou me connaissent, vous savez que la sécurité est ma principale préoccupation lors de l’élaboration de n’importe quel type de système, que ce soit web, mobiles spécifiques, IoT ou l’intelligence artificielle. Certaines personnes devraient être souriant maintenant qu’ils souviennent des conversations qu’ils ont eu avec moi d’essayer d’obtenir à se détendre sur mes méthodes de sécurité pour rendre la vie plus facile et moi bout refusant avec aucun remords. Si vous cochez une des applications/sites Web que j’ai construit, vous verrez que tous mes systèmes sont sécurisés contre les dernières menaces connues et que mes méthodes de cryptage ont en fait un A + classement qui est supérieur de chacun des serveurs de Google selon le rapport de SSL de Qualys qui a plafonné à sécurité de Google au grade B.
(https://www.ssllabs.com/ssltest/analyze.html?d=https:// www.techbubble.eu)
(https://www.ssllabs.com/ssltest/analyze.html?d=https:// www.google.com)
Cela dit, il n’y a pas un seul système ou réseau qui est inviolable, je le répète qu'il ne sera pas possible tant que nous les progrès plus loin avec la physique quantique et de la sécurité sont une courbe d’apprentissage en cours, personne ne devrait jamais se réjouir que leur système est inviolable, car cela serait un mensonge.
Bien que je soutiens les personnes qui apprennent sur la technologie, et je suis pleinement conscient que c’est une nécessité que beaucoup de gens commencera à réaliser l’année prochaine ou alors, cela m’inquiète également que des microcontrôleurs et des produits pour développer des applications sur périphériques tels que les Intel Galileo et le Raspberry PI sont si facilement obtenues par et promus les gens qui ont peu ou pas d’expérience avec le développement et la sécurité. Les gens étant donnés les outils comme Wordpress qui permettent aux personnes sans aucune expérience publier des systèmes sur internet m’a donné une secousse nerveuse au cours de ces dernières années, et maintenant je suis à proximité d’un arrêt cardiaque complet soufflé que j’ai lu sur les emplois de botch des systèmes que les gens créez avec aucun soin pour ou compréhension de sécuriser les systèmes.
Une façon que j’ai veillé à ce que mes systèmes de restent autant que je peux éventuellement les faire est de fortes quantités de recherche, aide de deux personnes qui ont assez bien me guidé au cours des dernières années et en gardant mes codes et méthodes verrouillés, mais en raison de l’énorme quantité de danger qui peut causer des IoT développement, j’ai décidé de documenter certains des principes fondamentaux de la sécurité minimale qui doit être mis en œuvre lors du développement systèmes sur les conseils de développement Intel Galileo et Raspberry PI.
SÉCURISATION INTERNET ACCESSIBLE SYSTÈMES CONSTRUITS SUR INTEL GALILEO GEN 1 :
Les informations suivantes vous aideront à sécuriser votre système internet de Galileo Intel accessible qui repose sur un système d’exploitation Linux.
1. Fixez votre routeur : Cette partie est qu'un must absolu ! Beaucoup à mon aversion pour la plupart des routeurs sont fournis sans aucune des fonctionnalités de sécurité activées. Sécurisation de votre routeur est hors de la portée de cet article, mais vous pouvez lire un article que j’ai écrit l’an dernier pour plus d’informations. (https://www.techbubble.info/blog/web/online-security/entry/Is-Your-Router-Secure)
2. changement de mot de passe de ROOT : La première étape avec n’importe quel nouvel appareil doit toujours être de changer le mot de passe par défaut. Liste sont facilement accessibles sur internet qui donnent les pirates les mots de passe par défaut de pratiquement tous les types d’appareil et si vous ne modifiez pas votre mot de passe pour un mot de passe sécurisé n’importe qui peut facilement accéder à votre appareil s’il est connecté à internet. Une fois connecté sur le Galileo Intel via SSH, émettez la commande suivante de la ligne de commande :
passwd
Vous serez ensuite invité à entrer un mot de passe d’au moins 5 caractères et averti qu’il doit pour utiliser une combinaison de majuscules et minuscules et nombres, vous devez également utiliser symboles ainsi pour s’assurer que votre mot de passe est aussi sécurisé que possible. Re saisissez votre nouveau mot de passe et une confirmation s’affichera alors que le mot de passe a été changé.
3. régulièrement mise à jour de votre FIRMWARE : Une autre tâche importante à accomplir régulièrement est à mettre à jour votre firmware. Sur le lien suivant que vous trouverez un logiciel de mise à jour du firmware pour votre Galileo d’Intel qui peut être exécuté depuis Windows, Mac et Linux, il permet de régulièrement mettre à jour votre firmware de planches. (https://downloadcenter.intel.com/download/24748/Intel-Galileo-Firmware-and-Drivers-1-0-4)
4. régulièrement mise à jour vos paquets : Il est également important de mettre à jour et mettre à jour vos paquets régulièrement. A partir du terminal, exécutez les commandes suivantes :
opkg mise à jour (mises à jour de la liste des paquets disponibles)
opkg mise à jour (mises à niveau tous les packages disponibles)
5. Ajoutez un certificat SSL et de nom de domaine à votre Conseil d’administration : Afin de s’assurer que les données transmises entre votre Galileo d’Intel et de tout service web connexion soient cryptée une importante chose à faire est d’ajouter le chiffrement SSL à vos demandes. Ici, je vais vous donner les rudiments de la mener à bien cette tâche.
-S’assurer que votre réseau local a une adresse IP statique, vous serez en mesure de vous en procurer un par votre FAI, vous pouvez utiliser le service comme non-IP.com, mais ce n’est pas la méthode préférée.
-S’assurer que tous les ports sont fermés sur votre routeur à l’exception de ceux dont vous avez besoin pour vos applications.
-Acheter votre nom de domaine et l’installer sur un serveur web, j’obtiens mine de NameCheap.com.
-Achetez votre certificat SSL, je reçois le mien de NameCheap.com.
-Modifier le fichier de zone de domaines afin d’inclure un sous-domaine qui utilise un enregistrement pour pointer vers l’adresse IP statique de votre réseau.
-Mettre en place votre port vers l’avant de votre routeur à votre Galileo d’Intel.
-Connectez-vous à votre Galileo via SSH et générez une clé RSA et une RSE qui servira à activer votre certificat SSL.
Utilisez la commande suivante pour générer votre clé RSA :
OpenSSL genrsa-out ~/YOUR_CERT_FOLDER/YOUR_KEY_FILE.key 2048
Utilisez la commande suivante pour générer votre CSR :
openssl req-new - sha256-clés ~/YOUR_CERT_FOLDER/YOUR_KEY_FILE.key-out ~/YOUR_CERT_FOLDER/YOUR_CSR_FILE.csr
On vous demandera quelques questions à ce stade, complète tous mais pour s’assurer que pour ne pas entrer un mot de passe lorsque vous êtes invité à, appuyez simplement sur entrée.
-Dirigez-vous vers où vous avez acheté le certificat SSL d’et activer votre certificat SSL à l’aide de la RSE vous avez généré sur votre Intel Galileo, après vérification, vous recevrez vos fichiers de certificat SSL.
-Se connecter à votre Galileo en utilisant SFTP, pour cela j’ai toujours WinSCP sur Windows, mais vous pouvez utiliser FileZilla ou le client FTP de votre choix. Une fois connecté à télécharger votre certificat SSL les fichiers vers votre dossier Cert et incluez-les dans votre application afin d’assurer votre Galileo Intel du trafic chiffré.
6. fermer tous les PORTS à l’exception de ceux requis pour votre APPLICATION : une fois que vous avez votre application accessible via internet et sécurisé à l’aide de SSL, il est temps de vérifier si les IPTables est installé. IPTables permet de spécifier quels ports sont accessibles sur votre Galileo Intel en bloquant tous et permettant l’accès à uniquement les ports que vous énumérez blanc. IPTables a beaucoup de fonctions et de méthodes, c’est les bases :
-Vérifiez que IPTables est installé à l’aide de la commande suivante, si c’est le cas, vous verrez un message disant que, si ce n’est pas il sera installé :
opkg installer iptables
-If/une fois installé, vous pouvez vérifier vos configs actuelles en exécutant la commande suivante :
iptables -L ou iptables -L - v
-Créer un nouveau fichier de configuration d’IPTables et modifier le code à votre goût. Cela peut bloquer tout le trafic vers votre Galileo sauf SSH et spécifié les ports vous liste blanche. Pour créer votre nouveau fichier de configuration, vous taperez la commande suivante: (j’utilise nano mais vous pouvez utiliser votre éditeur de texte favori)
nano /etc/iptables.firewall.rules
puis ajoutez le code suivant et modifiez à votre convenance :
<---CODE START--->
* filtre
# Autoriser tout le trafic loopback (lo0) et laisser tomber tout le trafic vers 127/8 qui n’utilise pas lo0
-A saisir -i lo -j accepte
-A entrée 127.0.0.0/8 -d -j REJECT
# Accepter que tous établi des connexions entrantes
-A INPUT -m state--state ESTABLISHED, RELATED -j ACCEPT
# Autoriser tout le trafic sortant - vous pouvez modifier cela pour autoriser uniquement certains trafics
-A sortie -j ACCEPT
# Autorise les connexions HTTP et HTTPS depuis n’importe où (les ports normaux pour sites Web / SSL).
-A saisir -p tcp--dport 80 -j ACCEPT
-A saisir -p tcp--dport 443 -j ACCEPT
-A saisir -p tcp--dport 8080 -j ACCEPT
# Autorise les connexions SSH
#
# Le nombre - dport devrait être le même numéro de port que vous définissez dans sshd_config
#
-A saisir -p tcp -m state - état nouveau--dport 22 -j ACCEPT
# Autoriser ping
-A INPUT -p icmp -j ACCEPT
# Log iptables a rejeté les appels
-A limite de INPUT -m--limit 5/min - j journal--log-prefix "iptables a refusé:"--log-niveau 7
# Rendez-vous tous les autres entrants - défaut refuser sauf si explicitement autorisé politique
-A INPUT -j DROP
-A FORWARD -j DROP
S’ENGAGER
<------> fin de CODE
-Une fois que vous avez modifié et enregistré votre fichier de config vous pouvez ensuite charger les règles de pare-feu en lançant la commande :
iptables-restore < /etc/iptables.firewall.rules
-Pour s’assurer que le pare-feu est chargé chacun et chaque fois que vous démarrerez votre Galileo Intel vous devrez créer un nouveau fichier dans les crochets d’adaptateur réseau :
nano /etc/network/if-pre-up.d/firewall
-rendre exécutable :
chmod + x /etc/network/if-pre-up.d/firewall
-Entrez le code suivant :
<---CODE START--->
#! / bin/sh
/sbin/iptables-restore < /etc/iptables.firewall.rules
<------> fin de CODE
-Redémarrez votre Galileo et votre pare-feu devrait démarrer sur démarrage chaque fois maintenant.
Ce sont juste les rudiments d’obtenir votre internet accesible Intel Galileo sûr et si vous allez aux systèmes de programme pour l’IoT, vous devrait 100 % implémenter ces méthodes pour le moins, ou des risques soient invalidées par la foudre:D Les étapes pour sécuriser un système construit sur une facture pro forma de framboise sont très semblables à l’écrou ci-dessus comprennent la suppression de l’utilisateur par défaut et son remplacement par un autre utilisateur de sudo. Les étapes à suivre sont les suivantes :
1. CRÉEZ LE SUPER-UTILISATEUR :
sudo useradd -m USERNAME -G sudo
2. CHANGEMENT SUPER USER PASS :
sudo passwd USERNAME
3. VÉRIFIEZ LE SUDO SUR SUPER-UTILISATEUR :
TOUTE COMMANDE SUDO
SUPPRIMER utilisateur par défaut SUPER (pi) :
sudo deluser pi (supprimer l’utilisateur seul)
sudo deluser-supprimer-maison pi (supprimer utilisateur et répertoire de base utilisateur)
J’espère que les gens trouvent cela utile, qu'il avait certainement beaucoup de travail à comprendre comment faire tout cela, alors il devrait vous faire économiser beaucoup de temps afin que vous pouvez passer plus de temps en se concentrant sur le développement. Comme je le disais que ce n’est pas un guide be all et fin de toute, il y a plusieurs aspects de sécurité à considérer, mais cela devrait vous commencer sur votre chemin.
Si cet article vous a aidé s’il vous plaît aider en partageant l’article original sur mon site :
