嵌入式系统安全加固 · Yocto实践
📚 30 章节
完整版
01
安全威胁概述
嵌入式系统安全风险、常见攻击向量、安全加固必要性
02
Yocto项目基础
Yocto架构、Poky参考系统、BitBake构建、元数据层
03
构建环境搭建
主机要求、安装软件包、Git/Repo、初始化构建
04
自定义Linux内核
内核配置裁剪、移除多余驱动、SELinux/AppArmor
05
最小化根文件系统
BusyBox、移除不必要包、精简服务、buildroot对比
06
用户权限管理
禁用root、sudo配置、用户组、最小权限原则
07
文件系统安全
文件权限、chattr不可变、LUKS加密、SELinux上下文
08
安全启动链
U-Boot安全启动、签名校验、TEE、硬件信任根
09
网络服务加固
关闭端口、iptables/nftables、SSH安全、TLS/SSL
10
软件包管理安全
签名验证、私有仓库、依赖扫描、OPKG安全
11
运行时安全
ASLR、NX/DEP、Stack Canary、Fortify、PIE
12
加密与证书管理
OpenSSL集成、证书生成、HSM集成、密钥管理
13
日志与审计
syslog-ng、auditd、远程转发、日志轮转保护
14
入侵检测系统
AIDE完整性、Snort/Suricata、异常检测、响应
15
安全更新机制
OTA架构、A/B分区、签名更新、回滚保护
16
容器安全
Docker/containerd、镜像签名、seccomp/AppArmor
17
硬件安全特性
TPM、安全元件SE、PUF、JTAG/SWD禁用
18
代码安全实践
静态分析(Coverity/Clang)、Valgrind、AFL、审查
19
漏洞管理
CVE跟踪、Vuls/Clair、补丁管理、安全公告
20
合规性要求
IEC 62443、GDPR、HIPAA、FIPS 140-2、CC
21
安全测试框架
OpenSCAP、Lynis、自定义脚本、自动化集成
22
Yocto安全层
meta-security、ClamAV、Fail2ban、Tripwire
23
自定义安全策略
SELinux策略、AppArmor、seccomp、系统调用白名单
24
构建时安全
cve-check、license合规、source镜像、构建隔离
25
设备身份管理
唯一设备标识、证书预置、PKI、注册撤销
26
数据保护
静态加密、TLS/mTLS、安全存储分区、KDF
27
安全监控与响应
事件监控、告警规则、自动响应、仪表板
28
案例研究
智能家居、工业控制器、医疗设备、汽车ECU
29
持续安全集成
CI/CD安全流水线、安全门禁、DevSecOps
30
未来趋势
量子安全密码学、AI驱动安全、零信任、开源社区