タグ付けされた質問 「embedded」

4
OpenVPNのパフォーマンス:同時クライアントはいくつ可能ですか?
多くのOpenVPNクライアントがOpenVPNサーバーに接続するクライアント用のシステムを評価しています。「多く」は50000〜1000000を意味します。 なぜそうするのですか?クライアントは分散組み込みシステムであり、それぞれがシステム所有者のDSLルーターの背後にあります。サーバーはクライアントにコマンドを送信できる必要があります。私の最初の素朴なアプローチは、クライアントをopenvpnネットワーク経由でサーバーに接続させることです。これにより、安全な通信トンネルを双方向で使用できます。 これは、すべてのクライアントが常にサーバーに接続されていることを意味します。長年にわたってまとめている多くのクライアントがあります。 問題は、特定の数のクライアントに到達するとOpenVPNサーバーが爆発するかどうかです。TCP接続の最大数の制限を既に知っているため、(およびその他の理由で)VPNはUDPトランスポートを使用する必要があります。 OpenVPNの達人、あなたの意見は何ですか?

6
同じSSHサーバーキーを持つ複数のデバイスを使用するのはどれほど悪いですか?
FreeBSDとSSHを実行する組み込みデバイスで作業しています。 ご存じのとおり、sshdは最初の起動時にサーバーキーのセットをランダムに生成することを好みます。問題は、読み取り専用のsdカードファイルシステム(交渉不可)で製品を出荷することです。 私が見るように私の2つのオプションは次のとおりです。 すべてのデバイスで同じsshdサーバーキーを出荷する メモリファイルシステムをマウントし、各起動時にサーバーキーを生成します(遅い...) すべてのデバイスに同じサーバーキーを出荷することは重大なセキュリティ上の問題ですか?これらのアイテムはインターネット上に直接ありません。同じ人が同じネットワーク上に所有する複数のデバイスが存在する場合があります。 ほとんどの場合、デバイスはインターネットに接続されません。 SSHを使用したログインは、通常の操作の一部ではありません。それは主にプログラマーと技術者の便宜のためです。お客様は、SSHを使用してデバイスにログインすることはありません。 複数のハードウェアデバイスで同じサーバーキーを使用することの影響は何ですか? PS誰かがモノのインターネットタグを作成してください。 編集:私はすべてのサーバー(デバイス)に同じホスト秘密鍵をインストールすることについて話している。ユーザーの公開鍵/秘密鍵に関しては、現在、鍵ベースのログインを使用する予定はありません-パスワードログインになります。繰り返しますが、すべてのサーバー(デバイス)で同じパスワードを使用します。 これはおそらく悪い考えであることを知っています。トレードオフを理解できるように、なぜそれが悪いアイデアなのかを正確に知りたいのですが。

4
ソフトウェアのインストール中に通常の(非管理者)ユーザーをロックアウトする方法は?
Windows Embedded Standard 7を実行するシンクライアントと、それらを管理するSCCM 2012 R2サーバーが多数あります。シンクライアントは書き込みフィルターを有効にしているため(FBWF)、マシンの変更は永続的ではありません。まれに、それらの何かを更新する必要がありますが、SCCMを介して展開するだけで、変更をコミットするために書き込みフィルターを自動的にオフ/オンにします。 ここでは何べきで起こる: SCCMクライアントは、ユーザーと自分の仕事を保存し、システムをオフに取得するために30分間のカウントダウンに通知します。次に、シンクライアントが再起動し、書き込みフィルターが無効になります。ログオン画面には南京錠が表示され、ユニットがサービス中であることがわかります。また、SCCMが実行している間、通常の(非管理者)ユーザーはログオンできません。SCCMが完了すると、書き込みフィルターが再び有効になり、再起動して、ユーザーが再度ログインできるようになります。 私が抱えている問題は、近接カードリーダーを使用してシステムにログインすることです。従業員はパスワードを入力しません。バッジをタップするだけです。このシステムは優れていますが、それを実行するソフトウェアはWindows Embeddedの書き込みフィルターの自動化を壊します。 ここで何が実際に起こる: SCCMクライアントは、書き込みフィルタをオフにして再起動する前に、通常の15分の通知を行います。再起動すると、通常のログイン画面が表示されます。ユーザーは、SCCMがソフトウェアをインストールしている間にシステムにログインして使用できます。また、ユーザーセッションがアクティブであるため、書き込みフィルターをオンにして再起動する前に、再度30分間の通知が行われます。 このシナリオでは、展開時間に余分な30分を追加するだけでなく、通常のユーザーは、シンクライアント上で30-60分の無保護時間を確保できます。書き込みフィルターが再びオンになります。 この問題は、Windows Embedded 7が通常のWindows 7とは異なる資格情報プロバイダー(別名GINA)を使用しているが、SSO製品が機能するためにWindows資格情報プロバイダーを置き換える必要があるという事実に起因します。私はそれについてベンダーに連絡しましたが、彼らはそれが既知の問題であり、それに対する修正または回避策がないと言うだけです。 だからここに私の質問があります: どうすれば目的の動作を別の方法でシミュレートできますか?特定のユーザーグループへのローカルログオンを拒否できるグループポリシー設定があることを知っています。私は、インストールの前後に対応するレジストリ設定を反転できると考えていましたが、他のアイデアを受け入れています。 必要に応じて、インストールのスクリプトを記述していません。スクリプティング、PowerShell、VBScriptなどに堪能です。これを解決するための素晴らしいアイデアを誰かが持っているのでしょうか。 更新: これらのデバイスは、スタッフが患者のカルテを作成するために病院環境で使用されていることに言及していませんでした。これらは24時間利用可能でなければならないため、ログオン時間を制限したり、メンテナンスウィンドウを構成したりすることはできません。私たちはシフトの監督者に事前に通知することでダウンタイムを管理しますが、1時間以上かかるものは法的なコンプライアンスの問題になり、公式のダウンタイム手順を有効にする必要があります。

2
SDカードの破損防止
私の組み込みLinuxデバイスは、特定の診断データを保存するためにSDカードを使用しますが、内部フラッシュにはあまりにも多すぎます。 問題は、デバイスの電源が予期せずオフになった場合、カードのファイルシステム(FAT32)が破損することです。 予期しない停電やユーザーがそのように電源を切ることを防ぐ方法はなく、デバイスは比較的メンテナンスフリーである必要があります。さらに悪いことに、データは継続的に書き込まれるため、破損は非常に頻繁に発生し、Linuxは障害のあるFSを検出すると、読み取り専用でサイレントに再マウントします。 これを軽減するためにどのような方法を提案しますか?起動時にfsck.vfatを自動的に実行するだけで十分ですか? 詳細情報: ユーザーがカードを取り外し可能と見なさないでください。それは内部ディスクと考える必要があります。その上に保存されたデータはすべて、ネットワーク経由またはusbドライブ経由でダウンロードできるようになり、システムは自動的に最も古いエントリを削除します。つまり、平均的なPCで読み取る必要はありません。 システムは現在、FAT、yaffs、jffs2をサポートしています。カーネルに他のファイルシステムを追加することは可能ですが、他の手段が存在する場合は、最初にそれらを優先します。 書き込みは、データ損失なしで数分間でもオンデマンドで中断できます。 部分的なデータ損失または軽微な破損は許容されます。ロギングの完全な停止はそうではありません。 ほとんどの場合、電源オフイベントは完全に予測不能です。 システムはARM9、200MHZ、64MB RAM、32MBの内部フラッシュで実行されており、主な役割のためにCPUパワーのほとんどを使い果たします。凝ったリソースを大量に使用するソリューションを検討する際には、これを考慮してください。

2
停電時のext4 / Linuxドライブでのデータ破損を防止
私は、OSとしてlinuxを組み込んだAmerican Megatrends biosを実行する組み込みボードをいくつか持っています。私が抱えている問題は、産業用フラッシュIDEが電力損失で破損することです。私はそれらをext4としてフォーマットしています。これが発生するときはいつでも、通常fsckでフラッシュを修正できますが、私たちの展開ではこれは不可能です。書き込みキャッシュを無効にすると効果があると聞きましたが、その方法がわかりません。また、他に何かすべきことはありますか? より詳しい情報 ドライブは4GB IDEフラッシュモジュールです。ext4のパーティションが1つあります。OSはそのパーティションにインストールされ、grubは私のブートローダーです。 fdisk -lは/ dev / sdaをフラッシュモジュールとして表示し、/ dev / sda1をプライマリパーティションとして表示します。 停電後は、通常、起動初期化スクリプトで完全に行うことはできません。 ドライブを別のPCにマウントするとき、fsck / dev / sda1を実行します。常に次のようなメッセージが表示されます "zero datetime on node 1553 ... fix (y)?" 私はそれらを修正し、次の停電まで正常に起動します。 明日オフィスに着いたら、fdisk -lの実際の出力を投稿します。 これが、システムがどのように機能するかについて私が知っているすべてです。私はシステムの専門家ではありません。職務内容の範囲外の窮地に陥る傾向のあるソフトウェアエンジニアです。ドライブのフォーマット、ブートローダーのインストール、ソフトウェアの作成、オペレーティングシステムのハッキングの方法を知っています。 これはdumpe2fsからの出力です #sudo dumpe2fs /dev/sda1 dumpe2fs 1.41.12 (17-May-2010) Filesystem volume name: VideoServer Last mounted on: / Filesystem UUID: 9cba62b0-8038-4913-be30-8eb211b23d78 …

1
Motorola MC3190をWiFiアクセスポイントに関連付けることができません
Symbol / Motorola MC3190のワイヤレスフュージョン管理ツールを使用すると、ハンドヘルドをWiFiアクセスポイントに関連付けることができません。FusionソフトウェアのFind WLANs機能を使用すると、検出されたWLANのリストに表示されるように、デバイスがアクセスポイントを検出していることがわかります。したがって、利用可能なWLANを確認できるため、無線/ハードウェアは問題なく動作しているようです。アクセスポイントはセキュリティにWPA2 AESを使用しており、他のデバイスとの関連付けに問題はありません。これは非エンタープライズレベルのアクセスポイントであるため、Fusion WLANプロファイルで選択されたセキュリティモードは「WPA2-パーソナル」です。それが提供していると思われる唯一の手掛かりは、Fusion Wireless Statusのログ情報にあります。ログには、「SSIDの設定:」メッセージの約10秒後に「関連付けタイムアウト」というメッセージが表示されます。

2
組み込みデバイスのHttp、ローカルアドレス
作業中の組み込みデバイスにhttpsを追加しようとしています。これらのデバイスには通常、ローカルIPアドレスが割り当てられているため、独自のSSL証明書を取得できません。だから本質的に私の質問は、どのようにしてグローバルIPアドレスのないデバイスの証明書を取得するのですか? 仮定: ブラウザーは、信頼できるCAによって検証されていない限り、証明書を信頼しません。 ただし、グローバルに一意のドメインの検証済み証明書しか取得できません。 それらのくそった顧客はローカルIPアドレスを主張します。 ここで同様の質問 仮説A: 主要企業のWebサイトの証明書を取得する その証明書をコピーします。+すべてのデバイスへの秘密鍵 ユーザーがデバイスに接続します デバイスが証明書を送信します。ユーザーへ ユーザーには証明書が表示されます。信頼されています(このサーバー用ではないことを無視しますか?) ユーザーは証明書の公開鍵を使用してhttpを暗号化します デバイスは秘密鍵を使用 結果: ブラウザが名前の不一致について文句を言う 顧客はお互いの秘密鍵にアクセスできます あまり安全ではない 仮説B: 各デバイスのメイン会社のWebサイトの証明書を取得する 証明書をコピーします。+各デバイスへの秘密鍵 ユーザーがデバイスに接続します デバイスが証明書を送信します。ユーザーへ ユーザーには証明書が表示されます。信頼されています(このサーバー用ではないことを無視しますか?) ユーザーは証明書の公開鍵を使用してhttpを暗号化します デバイスは秘密鍵を使用 結果: ブラウザが名前の不一致について文句を言う 安全 仮説C: デバイスごとに自己署名証明書を作成する 証明書をコピーします。+デバイスへの秘密鍵 ユーザーがデバイスに接続します デバイスが証明書を送信します。ユーザーへ Firefoxにはカナリアがあります ユーザーは証明書の公開鍵を使用してhttpを暗号化します デバイスは秘密鍵を使用 結果: ブラウザが自己署名証明書について文句を言う 自己署名証明書は中間者攻撃である可能性があります
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.