安全机制
扩展 API 提供了全面的选项来影响运行时系统。因此,用户必须注意必要的安全措施。
为了 CODESYS Control Extension Package 4.4.0.0 及更高版本, codesysuser 安装包时创建组。扩展 API 的某些功能要求使用它们的 Linux 用户是 codesysuser 团体。您可以使用以下命令将具有管理员权限的用户添加到该组(例如):
$ sudo adduser $USER codesysuser
这种方法背后的原因是机制使用 /var/run/codesysextension/ 和 /var/opt/codesysextension/ 工作目录。这些有 770 权限并分配给 codesysuser 团体。这确保了未经授权的用户不会干扰运行时系统。
重要
全体成员 codesysuser 组可以影响运行时系统。
重要
以下机制基于 Unix 域套接字 (UDS):
IEC 程序员有必要为这些机制查询相应功能块的错误代码并做出适当的反应(例如:建立或终止连接)。
重要
为了防止工作负载攻击,Unix 对等体 (ü尼克斯 D主 小号ocets) 需要至少具有与 IEC 任务本身相同或更高的优先级。 UDS 对等点是提供的示例或使用扩展 API 功能的用户创建的程序。
这个优先级不是任务配置中显示的优先级 CODESYS.在Linux系统上可以通过以下方式确定 htop.这是一个与分配的 IEC 任务同名的任务 CODESYS.
重要
这 PLC外壳 需要“匿名用户”。如果启用,则无法跟踪哪个 Linux 用户使用了 PLC shell。
重要
由于进程分离,新的接口 CODESYS Control Extension Package 不提供用户认证的能力(从 CODESYS Development System)。无法为 IEC 用户分配相应的 Linux 用户或用户名。
因此,在考虑 IEC 应用程序的安全性时,不仅要考虑 IEC 用户,还要考虑和管理 Linux 用户。
只有授权用户才能对运行时系统的 Linux 系统具有管理访问权限。
重要
在使用进程分离的接口的情况下,不能排除数据在系统上未加密传递。这意味着具有系统管理权限的攻击者可以记录它们。