musaabhasan/iot-board-ssh-hardening-lab

# IoT 开发板 SSH 加固实验室 一个基于 PHP 8.x 和 MySQL 8.0 的研究门户，用于评估 Raspberry Pi 及类似 IoT 开发板上的 SSH 暴露风险。 该项目基于 Omar Alfandi、Musaab Hasan 和 Zayed Balbahaith 撰写的**《Assessment and Hardening of IoT Development Boards》**。它将论文中的 SSH 安全发现转化为实用的评估引擎、控制目录、场景模型、数据库架构和用于开发板加固的 Web 界面。 ## 论文参考 Alfandi, O., Hasan, M., & Balbahaith, Z. (2019). **Assessment and Hardening of IoT Development Boards**. 载于 M. Di Felice, E. Natalizio, R. Bruno, & A. Kassler (编)，*Wired/Wireless Internet Communications, WWIC 2019*，Lecture Notes in Computer Science，第 11618 卷，第 27-39 页。Springer, Cham. https://doi.org/10.1007/978-3-030-30523-9_3 官方记录： - Springer: https://link.springer.com/chapter/10.1007/978-3-030-30523-9_3 - 仓储记录: https://zuscholars.zu.ac.ae/works/582/ ## 本仓库提供的内容 - 针对 IoT 开发板的加权 SSH 加固评估。 - 威胁模型，涵盖 SSH V1 降级、首次启动弱主机密钥、基于 ARP 的中间人暴露、过时的 OpenSSH、默认镜像攻击面、密码管理、未验证的公钥、远程服务暴露以及权限提升。 - 控制目录，包含跨 SSH 配置、密码学保证、网络信任、补丁修补、系统精简、访问控制和可审计性的实施与证据指导。 - 场景模型，涵盖传统 SSH、基于密码的 SSH V2、公钥 SSH V2 以及加固的签名密钥操作。 - MySQL 架构和种子数据，用于论文参考、威胁、控制、映射、场景、评估和审计事件。 - JSON API，用于仪表板集成或研究扩展。 - 具备安全意识的 PHP 实现，采用安全头、CSRF 验证、输入规范化、PDO 预处理语句、安全 Cookie 和 JSON 安全的持久化机制。 - 本地代码检查、功能测试、HTTP 冒烟测试兼容性以及数据库迁移验证。 ## 快速开始 ``` cp .env.example .env docker compose up --build ``` 然后打开： - 应用程序: `http://localhost:8085` - 评估: `http://localhost:8085/assessment` - 控制: `http://localhost:8085/controls` - 论文对齐: `http://localhost:8085/paper` - 健康检查端点: `http://localhost:8085/health` - JSON 摘要: `http://localhost:8085/api/summary` ## 本地检查 ``` php bin/lint.php php bin/test.php ``` ## JSON 评估 API ``` curl -X POST http://localhost:8085/api/assess \ -H "Content-Type: application/json" \ -d '{ "device_name": "Lab board 01", "board_model": "Raspberry Pi 3 Model B", "os_image": "Raspberry Pi OS", "openssh_version": "OpenSSH 9.x", "ssh_mode": "v2-public-key", "default_image": false, "internet_exposed": false, "same_lan_admin": true, "controls": ["ssh-protocol-2", "regenerate-host-keys", "hardware-rng", "key-based-auth"] }' ``` ## 仓库结构 ``` public/ Web entry point and responsive UI assets src/ PHP services, repository, security, and support classes config/ Paper metadata, threat catalog, controls, and scenarios database/ MySQL migration and seed scripts docs/ Architecture, security, testing, and extension notes bin/ Lint and functional test scripts ``` ## 负责任的使用 本仓库专为防御性评估、安全配置和研究转化而设计。它不提供用于攻击第三方系统的攻击性工具或说明。请使用评估输出结果来加固经授权的开发板部署、实验室环境和内部保障工作流程。 ## 生产环境注意事项 - 将应用程序置于 HTTPS 和可信的反向代理之后。 - 在投入运营使用之前，添加特定于组织的身份验证和基于角色的访问控制。 - 将机密信息存储在源代码管理之外，并通过批准的机密管理流程对其进行轮换。 - 将数据库和管理访问权限限制在受信任的网络内。 - 将身份验证、评估和管理事件转发到受保护的日志平台。 - 将开发板标识符、网络路径、SSH 指纹和加固证据视为敏感操作数据。 - 在将评估建议用作正式的合规证据之前，请通过安全治理进行审查。 ## 许可证 MIT 许可证。详见 [LICENSE](LICENSE)。 ### 治理、教育与安全赋能 - [专业发展注册系统框架](https://github.com/musaabhasan/pdrs-framework) - 面向专业发展计划的安全注册和 Moodle 注册自动化框架。 - [多语言证书颁发系统](https://github.com/musaabhasan/multilingual-certificate-issuer) - 阿拉伯语/英语证书设计、PDF 生成和节流 SMTP 分发平台。 - [AI 安全治理工具包](https://github.com/musaabhasan/ai-security-governance-toolkit) - 实用的 AI 安全治理控制、模板、证据登记册、行动手册和策略即代码示例。 专业简介与研究作品集：[https://musaab.info](https://musaab.info)

标签：CISA项目, CSRF防护, DNS解析, ffuf, IoT开发板, JSON API, MITM攻击, OpenVAS, PDO预处理, PHP, SSH安全, Streamlit, Web门户, 协议分析, 反取证, 威胁建模, 安全基线, 安全评估, 安全防护, 密码学验证, 开源项目, 教学环境, 权限提升, 版权保护, 物联网, 系统加固, 网络安全, 访问控制, 请求拦截, 隐私保护