安全设置

对于网关，安全至关重要。本 Demo 放开一些限制，供您自行设置和二次开发，建议您后续对这些安全选项进行修改。

root 密码

开发板默认密码为 tygw@SSD20x，建议及时修改 root 密码。修改指令为：echo root:password | chpasswd -m，将其中的 password 替换为自定义密码即可。

SSH

SSH 的开启可能遭到黑客的远程试探和攻击，不使用时关闭 SSH，修改默认端口，都可以起到一定的防范作用。

打开 build/board/startup.sh 文件，将 dropbear -p 22 注释，系统启动时就不会自动开启 SSH。需要开启时，执行此命令即可。修改 -p <端口号> 来自定义端口。

可执行程序

发布的可执行程序应该是经过 strip 的。本 Demo 已在 pack.sh 对可执行程序进行了 strip。

U-Boot

不需要时，可关闭 U-Boot。

nvram 设置以下字段，即可关闭：

nvram set persist.boot.enter off
nvram commit

如需开启，可设置如下：

nvram set persist.boot.enter on
nvram commit

其它安全建议

除了以上方法，在商用时建议补充以下安全方法：

• 通过涂鸦 IoT 云服务对设备进行 OTA 升级，且对 OTA 固件进行校验。您也可对固件自定义加签解签。
• 移除物理调试接口，如 JTAG/SWD 等。该开发板已经进行了移除，如果自行打板，请注意此项。
• 日志信息中不包含任何敏感数据，例如 UUID，AuthKey 和 password 等。
• 无涂鸦服务之外的本地网络端口占用。
• 无涂鸦服务之外的远程网络服务访问。
• 所有网络交互的数据，仅限上传至或者下载自设备所在或法律允许的国家/地区的服务器。
• 无 web server、telnetd 等本地网络服务。
• 固件内不包含硬编码的敏感信息。