嵌入式安全加固
Buildroot 实战
30 章 · 从入门到深度防御
01
安全威胁分析
攻击面
嵌入式设备风险、常见攻击面、安全加固必要性
02
Buildroot基础回顾
构建流程
工作原理、配置菜单、内核与根文件系统构建
03
构建环境安全
非root构建
非root用户、目录权限、校验源码哈希
04
内核安全配置
SELinux/AppArmor
内核安全子系统、启用LSM、配置安全选项
05
用户态安全加固
最小化服务
移除不必要包、最小化服务、禁用root远程登录
06
文件系统安全
只读/overlayfs
只读根文件系统、权限、squashfs与overlayfs
07
密码策略与认证
PAM
强密码、shadow密码、配置PAM模块
08
SSH安全加固
密钥认证
禁用密码登录、密钥认证、白名单与端口转发
09
防火墙与网络隔离
iptables/nftables
配置规则、限制暴露、网络命名空间
10
安全启动链
verified boot
U-Boot安全、内核签名、verified boot
11
固件加密与签名
dm-crypt/LUKS
加密方案、dm-crypt/LUKS、签名验证
12
堆栈保护与ASLR
PIE
栈保护、ASLR、PIE编译选项
13
编译时安全选项
GCC/Clang
安全编译标志、Fortify Source、RELRO/BIND_NOW
14
运行时安全监控
auditd
auditd、syslog-ng、内核审计规则
15
应用沙箱与隔离
seccomp
seccomp、AppArmor策略、容器隔离
16
更新与补丁管理
OTA
OTA更新、签名验证、回滚保护
17
日志审计与入侵检测
fail2ban
集中日志、aide、fail2ban
18
硬件安全模块集成
TPM
TPM、安全元件、密钥存储
19
网络服务安全
TLS
Web服务器安全、禁用不安全协议、TLS
20
数据库与存储安全
SQL注入
加密存储、访问控制、SQL注入防护
21
无线通信安全
Wi-Fi/蓝牙
Wi-Fi安全、蓝牙安全、Zigbee安全
22
物联网协议安全
MQTT/CoAP
MQTT安全、CoAP安全、DTLS
23
容器化安全加固
Docker/Podman
镜像签名、运行时安全策略
24
DevSecOps集成
CI/CD
安全扫描、自动化测试、SBOM管理
25
合规性与标准
GDPR/PCI
GDPR、PCI DSS、IEC 62443、OWASP IoT Top 10
26
安全测试方法论
渗透测试
渗透测试、模糊测试、静态代码分析
27
应急响应与恢复
取证
事件响应、备份恢复、取证分析
28
案例研究
智能家居/工业
智能家居、工业控制器、医疗设备安全
29
性能与安全权衡
基准测试
安全对性能影响、优化策略、基准测试
30
未来趋势
零信任/AI安全
零信任架构、AI安全、后量子密码学