Skip to main content

Meccanismi di sicurezza

L'API di estensione fornisce opzioni complete per influenzare il sistema di runtime. Di conseguenza, l'utente deve prestare attenzione alle misure di sicurezza necessarie.

Per CODESYS Control Extension Package 4.4.0.0 e versioni successive, il codesysuser il gruppo viene creato al momento dell'installazione del pacchetto. Alcune funzioni dell'API di estensione richiedono che l'utente Linux che le utilizza sia un membro del codesysuser gruppo. Puoi aggiungere un utente a questo gruppo con privilegi di amministratore il seguente comando (come esempio):

$ sudo adduser $USER codesysuser

Il motivo alla base di questo metodo è che i meccanismi utilizzano il /var/run/codesysextension/ e /var/opt/codesysextension/ directory di lavoro. Questi hanno il permesso 770 e sono assegnati al codesysuser gruppo. Ciò garantisce che utenti non autorizzati non possano interferire con il sistema di runtime.

Importante

Tutti i membri del codesysuser gruppo può influenzare il sistema di runtime.

Importante

I seguenti meccanismi sono basati su un Unix Domain Socket (UDS):

È necessario che il programmatore IEC interroghi i codici di errore del rispettivo blocco funzione per questi meccanismi e reagisca in modo appropriato (esempio: creazione o interruzione di una connessione).

Importante

Per prevenire un attacco al carico di lavoro, Unix esegue il peering (uniente Domain Sockets) devono avere almeno la stessa priorità o una priorità maggiore rispetto al task IEC stesso. I peer UDS sono gli esempi forniti o i programmi creati dall'utente che utilizzano le funzioni dell'API Extension.

Questa priorità non è la priorità visualizzata nella configurazione dell'attività di CODESYS. Può essere determinato sul sistema Linux per mezzo di htop. Questa è un'attività che ha lo stesso nome dell'attività IEC assegnata CODESYS.

Importante

Il shell PLC richiede l'"utente anonimo". Se è abilitato, non è possibile tracciare quale utente Linux ha utilizzato la shell del PLC.

Importante

A causa della separazione dei processi, le nuove interfacce del CODESYS Control Extension Package non forniscono la capacità di autenticazione dell'utente (dal punto di vista del CODESYS Development System). Non è possibile assegnare un utente Linux o un nome utente corrispondente a un utente IEC.

Di conseguenza, non solo gli utenti IEC, ma anche gli utenti Linux devono essere considerati e amministrati di conseguenza quando si considera la sicurezza dell'applicazione IEC.

Solo gli utenti autorizzati possono avere accesso amministrativo al sistema Linux del sistema runtime.

Importante

Nel caso di interfacce che utilizzano la separazione dei processi, non si può escludere che i dati vengano trasmessi non crittografati sul sistema. Ciò significa che un utente malintenzionato con autorizzazioni amministrative sul sistema potrebbe registrarli.

In questa sezione: