Mecanismos de Seguridad
La API de extensión proporciona opciones integrales para influir en el sistema de tiempo de ejecución. Como resultado, el usuario debe prestar atención a las medidas de seguridad necesarias.
Para CODESYS Control Extension Package 4.4.0.0 y superior, el codesysuser El grupo se crea cuando se instala el paquete. Algunas funciones de la extensión API requieren que el usuario de Linux que las utiliza sea miembro de la codesysuser grupo. Puede agregar un usuario a este grupo con privilegios de administrador con el siguiente comando (como ejemplo):
$ sudo adduser $USER codesysuser
La razón detrás de este método es que los mecanismos utilizan el /var/run/codesysextension/ y directorios de trabajo /var/opt/codesysextension/. Estos tienen permiso 770 y están asignados al codesysuser grupo. Esto asegura que los usuarios no autorizados no puedan interferir con el sistema de tiempo de ejecución.
Importante
Todos los miembros de la codesysuser El grupo puede influir en el sistema de tiempo de ejecución.
Importante
Los siguientes mecanismos están basados en un Socket de Dominio Unix (UDS):
Es necesario que el programador IEC consulte los códigos de error del bloque de función respectivo para estos mecanismos y reaccione adecuadamente (ejemplo: establecer o terminar una conexión).
Importante
Para evitar un ataque de carga de trabajo, los pares de Unix (tunada Ddominio Sockets) deben tener al menos la misma prioridad o una prioridad más alta que la tarea IEC en sí. Los pares UDS son los ejemplos proporcionados o los programas creados por el usuario que utilizan las funciones de la API de extensión.
Esta prioridad no es la prioridad que se muestra en la configuración de tareas de CODESYS. Se puede determinar en el sistema Linux por medio de htop. Esta es una tarea que tiene el mismo nombre que la tarea IEC asignada en CODESYS.
Importante
El carcasa del PLC requiere el "usuario anónimo". Si está habilitado, no es posible rastrear qué usuario de Linux ha utilizado el shell del PLC.
Importante
Debido a la separación de procesos, las nuevas interfaces del CODESYS Control Extension Package no proporcionan la capacidad de autenticación de usuario (desde el punto de vista de la CODESYS Development System). No es posible asignar un usuario o nombre de usuario de Linux correspondiente a un usuario IEC.
Como resultado, no solo los usuarios de IEC sino también los usuarios de Linux deben ser considerados y administrados en consecuencia al considerar la seguridad de la aplicación IEC.
Solo los usuarios autorizados pueden tener acceso administrativo al sistema Linux del sistema de tiempo de ejecución.
Importante
En el caso de las interfaces que utilizan la separación de procesos, no se puede descartar que los datos pasen sin cifrar en el sistema. Esto significa que un atacante con permisos administrativos en el sistema podría registrarlos.