home iconホーム / tezos / 公開されたRPCでTezosノードをホストするためのベストプラクティスは何ですか?

公開されたRPCでTezosノードをホストするためのベストプラクティスは何ですか?

    • vote up icon 12 vote down icon
    • translation icon
    • view icon306 calendar icon2019-02-06

    自分のノードをホストしている場合、例: TezBoxのように、特定のRPCエンドポイントのアクセシビリティに関するベストプラクティスは何ですか?

    ここで説明のように、TzScanはすでに特定の通話を制限しています.

    Tezos ドキュメントは次のようにアドバイスしています:

    クライアントができるようにするには、RPCインターフェイスを有効にする必要があります ノードと通信しますが、パブリックにアクセスできないようにする必要があります インターネット.

    新しいメモリ管理更新すると、追加のRPCエンドポイントが利用可能になり、知らないうちに公開されると危険が生じる可能性があります.

    ここに画像の説明を入力してください

    rpc node conseil

4  回答

  • 投票
    • accept answer icon
    • translation icon
    • calendar icon 2019-02-06

    どちらか:

    • RPCをまったく公開しない(!)、または
    • 最大限に制限されたホワイトリストを使用してプロキシを前面に配置します.

    もちろん、ホワイトリストが役立つためには、潜在的に有害なエンドポイントをホワイトリストに含めてはなりません...一見無害に見えるエンドポイントでさえサービス拒否に使用される可能性があり、一部のエンドポイントは驚くほど有害です.

    • translation icon
    • calendar icon 2019-02-06

    TezRPC(TezBoxを強化する)に対して行うことは、各サーバーでプロキシを実行することです.このプロキシ内で、公開エンドポイントをブロック、制限、カスタマイズできます.

    現在、NodeJSで構築されたライトプロキシを使用していますが、nginxスタイルのプロキシに切り替えます(パフォーマンスが向上します).

    これは、ほぼすべてのエンドポイントをブロックするnode.jsプロキシの例です(ポート8732でローカルRPC APIをリッスンします):

     var express = require('express');  
var request = require('request');
var app = express();  
var cors = require('cors')
var apiServerHost = "http://localhost:8732";
app.use(cors())
app.use('/', function(req, res) {
    // Whitelist. Be afraid.
    if (req.url === '/chains/main/blocks/head'
          || req.url === '/chains/main/blocks/head/hash') {
        var url = apiServerHost + req.url;
        req.pipe(request(url)).pipe(res);
    } else {
        res.status(404).send('Not available');
    }
});
app.listen(process.env.PORT || 3000, function () {
  console.log('TZProxy running')
})
    • したがって、ここでのブラックリストは、たとえば、質問の新しいエンドポイントを許可します.:(
    • 私は単に、ユーザーが求めているカスタムプロキシをデプロイする方法の例を投稿していました.前述のように、「一部のエンドポイント」をブロックします.
    • 私は実際に今日の初めにあなたのノードで遊んでいました、(ヨーロッパからの)700msまでのかなり長い応答時間に気づきました.
    • うん、nginxスイッチがそれをスピードアップすることを願っています
    • ブラックリストアプローチを提案することは、制限的なホワイトリストを使用するよりも確かに安全性が低くなります.質問はベストプラクティスに関連しているため、例をホワイトリストに変更することで回答を改善できます.ブラックリストのアプローチには多くのセキュリティ上の欠点があります.Owaspには、このトピックに関する優れたリソースがありますhttps://www.owasp.org/index.php/Input_Validation_Cheat_Sheet
    • スティーブン-それはジオロケーションにも関連している可能性がありますが、それはここでの主要なトピックではありません.
    • ホワイトリストを使用するように例を更新しました.これにより、新旧の不良エンドポイントが除外されます.たとえば、[スナップショット関連のRPC](https://gitlab.com/nomadic-labs/tezos/commit/3345423ebaa9b5ebd3f075124eaa7f0b47acaed3)を追加するというアイデアがありました.私が許可した2つのエンドポイントがかなり安全であることを願っています...
    • translation icon
    • calendar icon 2019-02-06

    私が考えることができる代替案の1つは、Conseilを使用することです. https://github.com/Cryptonomic/Conseil

    Conseilが何をするかについての私の謙虚な理解では、tezos-node/rpcの上に拡張APIを提供することです.そしておそらく(?)エンドポイントやその他のセキュリティ対策を有効/無効にすることができるいくつかの追加機能.

    ここにいくつかの例があります

    • あなたの答えを拡張していただけませんか?ありがとう!
    • 例と説明でコメントを更新しました.
    • translation icon
    • calendar icon 2019-02-09

    自分だけのRPCが必要な場合は、sshローカルポート転送を使用して、RPCをリモートマシンのローカルホストからローカルマシンのローカルホストに転送することもできます.

    たとえば、バックグラウンドプロセスとして:

     ssh -fNT -L 8732:localhost:8732 user@hostname

    これがどれほど安全かはわかりませんが.