Mécanismes de sécurité
L'API d'extension fournit des options complètes pour influencer le système d'exécution. En conséquence, l'utilisateur doit prêter attention aux mesures de sécurité nécessaires.
Pour CODESYS Control Extension Package 4.4.0.0 et supérieur, le codesysuser groupe est créé lors de l'installation du package. Certaines fonctions de l'API d'extension nécessitent que l'utilisateur Linux qui les utilise soit membre du codesysuser grouper. Vous pouvez ajouter un utilisateur à ce groupe avec des privilèges d'administrateur à l'aide de la commande suivante (à titre d'exemple) :
$ sudo adduser $USER codesysuser
La raison derrière cette méthode est que les mécanismes utilisent le /var/run/codesysextension/ et les répertoires de travail /var/opt/codesysextension/. Ceux-ci ont la permission 770 et sont affectés au codesysuser grouper. Cela garantit que les utilisateurs non autorisés ne peuvent pas interférer avec le système d'exécution.
Important
Tous les membres de la codesysuser groupe peut influencer le système d'exécution.
Important
Les mécanismes suivants sont basés sur un Unix Domain Socket (UDS) :
Il est nécessaire que le programmeur CEI interroge les codes d'erreur du bloc fonctionnel respectif pour ces mécanismes et réagisse en conséquence (exemple : établissement ou interruption d'une connexion).
Important
Pour empêcher une attaque de charge de travail, les pairs Unix (turien rédomaine Sockets) doivent avoir au moins la même priorité ou une priorité plus élevée que la tâche CEI elle-même. Les pairs UDS sont les exemples fournis ou les programmes créés par l'utilisateur qui utilisent les fonctions de l'API d'extension.
Cette priorité n'est pas la priorité affichée dans la configuration de tâche de CODESYS. Il peut être déterminé sur le système Linux au moyen de htop. Il s'agit d'une tâche qui porte le même nom que la tâche IEC affectée dans CODESYS.
Important
le Coque API nécessite "l'utilisateur anonyme". Si cette option est activée, il n'est pas possible de savoir quel utilisateur Linux a utilisé le shell PLC.
Important
En raison de la séparation des processus, les nouvelles interfaces du CODESYS Control Extension Package ne fournissent pas la capacité d'authentification de l'utilisateur (du point de vue de la CODESYS Development System). Il n'est pas possible d'attribuer un utilisateur ou un nom d'utilisateur Linux correspondant à un utilisateur IEC.
Par conséquent, non seulement les utilisateurs CEI, mais également les utilisateurs Linux doivent être pris en compte et administrés en conséquence lors de l'examen de la sécurité de l'application CEI.
Seuls les utilisateurs autorisés peuvent avoir un accès administratif au système Linux du système d'exécution.
Important
Dans le cas des interfaces qui utilisent la séparation des processus, il ne peut pas être exclu que les données soient transmises en clair sur le système. Cela signifie qu'un attaquant disposant d'autorisations administratives sur le système pourrait les enregistrer.