返回 登录
3

保护Predix机器安全

保护Predix机器安全
由于Predix机器支持多种部署,提供一个确保其安全的综合指南是不切实际的。解决方案至少应执行这些推荐的步骤。
1. 保护/security文件夹。
2. 修改KeyStore和TrustStore密码。
3. 发布证书。
4. 确保技术人员控制台安全,在首次登录时修改密码。
保护安全文件夹
必须对Predix机器安全文件夹进行保护,确保只有一名具有特殊权限的用户可以读取该文件夹的内容。
Predix机器的/security文件夹含有敏感信息,例如密码和具有私钥的KeyStore。至少需要对该文件夹进行完整保护,确保只有一名具有最低权限的用户可以读取该文件夹的内容。这样可以确保系统中其他用户均无法读取安全文件夹的内容。对于可以访问安全文件夹的用户,确保限制其对系统进行更深入的访问。
以下是如何保护安全文件夹的一个示例。
1. 创建一个称为predixuser的用户,作为您自己的操作系统中一般用户组的一部分。该用户不是管理员或根用户。
2. 将/security文件夹的所有控制(读取、写入、执行)修改为只有新用户可以访问。
3. 以具有有限权限的用户的身份运行Predix机器。
重要提示:
避免以根用户/管理员的身份运行Predix机器。如果您必须以根用户/管理员的身份运行,确保限制对根用户/管理员账户访问的权限。
修改KeyStore和TrustStore密码
修改KeyStore和TrustStore密码
如果要确保Predix机器安全,您应该修改KeyStore和TrustStore密码。
• 安全管理服务使用的许多KeyStore已生成密码,应视为安全。为客户端和服务器TLS、数字签名和密钥生成的KeyStore已生成密码。密码在/security/com.ge.dspmicro.securityadmin.cfg处的安全管理配置文件中。
有些密码未生成,应修改。
• TrustStore密码未生成,应立即修改。
1. 立即修改OPC-UA客户端和OPC-UA服务器的KeyStore,因为其各自配置文件中的密码难以恢复。
注:
参见配置OPC-UA适配器和配置OPC-UA服务器。
2. 在/security文件夹中修改TrustStore密码。
注:
参见配置客户端KeyStore/TrustStore和配置服务器KeyStore/TrustStore。
发布证书
发布证书
Predix机器为其不同keystore生成多个自签名证书。可以使用这些证书建立TLS连接,但是浏览器不信任这些证书,因为它们未经过可信根证书颁发机构(CA)签名。
如果需要正确签名的证书,您必须获取由CA发布的证书。
1. 获取由CA发布的证书。
2. 通过配置服务器KeyStore/TrustStore将该证书导入/security/tls_server_keystore.jks处的服务器SSLContext KeyStore。
首次登录时,修改Predix机器技术人员控制台的密码。
确保技术人员控制台安全
技术人员控制台提供对Predix机器的管理控制。在设置新的Predix机器实例时您应该确保控制台的安全。
1. 使用CA签名的证书。
a. 获取签名的证书。
b. 将该证书导入/security /tls_server_keystore.jks文件中。参见导入新的私钥和CA签名证书
c. 配置服务器SSLContext keystore。Predix机器技术人员控制台使用安全管理keystore中提供的证书建立TLS。
2. 修改Predix机器技术人员控制台密码。
a. 选择Predix > 用户管理。
b. 选择默认用户。
c. 输入一个新密码。
3. Predix机器的设置完成后,禁用技术人员控制台,以防止访问。您可以禁用和启用技术人员控制台的使用:禁用命令在EdgeManager中。参见执行命令。
如果未来需要访问,你必须重新将其启用。
Predix机器VPN服务
Predix机器提供一项管理VPN客户端的服务,以便提供与预期服务器目的地址的安全连接。
使用Predix机器VPN服务之前您必须准备好具有要通信的服务器和客户端的环境。
Predix机器通过使用VPN的管理工具提供其证书和密钥,用于VPN客户端和服务器之间的HTTP通信。这就允许Predix机器保留其私钥并提供一个签署VPN通信所需请求的API。
注:
由于请求签名由Predix机器执行,您必须引入PredixConnectivity相关的人员设计出一个可行的配置方案,其中应考虑到证书颁发机构和目的服务器的设置。
Predix连接用例
该用例示例展示现场设备上运行的Predix机器,该设备通过证书注册在Predix EdgeManager中注册。VPN服务器设置为识别由证书颁发机构颁发给Predix机器的证书,EdgeManager使用该证书进行设备注册。还会将VPN服务器设置为信任相同的证书颁发机构。因此,当VPN客户端请求Predix机器为信息签名时,所用的私钥和证书已通过服务器信任。
根据需求不同其他用例可能会不同。
功能
1. 在com.ge.dspmicro.predix.connectivity.openvpn.config文件中配置VPN目录设定值。
2. 注册设备。
3. Predix连接捆绑包为VPN客户端提供公共证书,在设备注册后提交给服务器。
4. 必须在VPN客户端启动之前提供VPN客户端的证书,否则,它会出错结束。一旦证书可用,VPN客户端就可以启动。
5. 然后,它打开一个TCP通信套接字进入等待模式,直到有管理客户端对其进行管理。
6. 如果Predix机器正在运行而且连接VPN管理配置开关被启用,它将作为管理客户端,回答VPN客户端的签名请求,以启用安全连接。
VPN成功连接的证据是在网络接口中看到TUN/TAP设备。
限制
• 当前的VPN管理仅用于Linux环境。
• VPN的配置与平台无关,也可能与OS版本无关。
• 2.3.12之前的VPN版本有bug会导致管理接口不可用。
配置VPN
配置VPN目录的设定值。
1. 导航至/configuration/machine。
2. 打开com.ge.dspmicro.predix.connectivity.openvpn.config文件,设置以下属性的值:
图片描述
图片描述
图片描述
图片描述

  1. 格式化.config文件(不是.cfg文件)内的属性值时,使用类型字符,后跟引用的值字符串表示。例如,一个布尔型属性=B”true”。小写类型字符表示基本数据。字符串的类型可以省略。下表列出了类型和对应的类型字符:
    图片描述
  2. 数组格式为属性=<类型>[”<值1>”,”<值2>”]。例如,整型数组属性=I[“1”, “2”, “3”].清晰起见,可使用反斜杠分隔。
    获取VPN日志示例
    ILogsHandler服务接口设计为与Predix机器和EdgeManager日志目录以及检索系统一起使用。
    ILogsHandler服务接口使VPN日志可用于GetLog和GetAvailableLogs命令,这些命令已经在Predix机器中可用。
    • GetLog – 将一个用户特定日志文件上传到Edgemanager。
    • GetAvailableLogs – 检索您为GetLog命令给定的日志的文件名。
    示例:
    public String[] getLogFileNames(); /* @param logFileName - the filename for which to get content for.It should be a name that was given by getLogFileNames().* @return - an InputStream from which log content may be read.* * It is up to the implementation to handle file permission issues for log files that are stored in restricted portions of * the device storage, as well as the reading of files that are perhaps being written to as they are read.*/ public InputStream getLogContent(String logFileName); }
评论