ソロベイカーセットアップによるセキュリティ
2 回答
- 投票
-
-
2019-01-30
署名者のファイアウォールは、IPIがホワイトリストに登録されているノードVPSから署名者ポートへの接続のみを許可します.このため、署名者認証を設定する必要はないと感じました.
これが私が抱える主なセキュリティ上の懸念事項です.一般に、セットアップはかなり安全ですが、主なリスクは次のとおりです.
- 署名者には認証がないため、ベーキングシステムにログインできる人は誰でも、債券/預金の残高移行など、リモート署名者と何らかの方法でメッセージに署名できます.
- VPSプロバイダーの多くはサイドチャネル攻撃から適切に保護されていないため、署名者の秘密鍵もVPSで実行されるリスクがあり、VPSプロバイダーまたは別の顧客がメモリの内容を表示できる可能性があります. VMの秘密鍵を公開します.
低コストの可能性があるもう1つの安全な方法:
- 自宅で実行できる小さなLinuxサーバーを入手します.これは、2GB以上のメモリと、ブロックチェーン用の十分なディスク容量(現在、2019年1月の時点で73GB)があれば、使用済みのPCである可能性があります.
- 元帳を使用して秘密鍵を保存します.
- 自宅のインターネット接続を使用して、ベイカーを
--private-modeでTFブートノードに接続します.
-
ありがとう!ああ、そうそう、認証を設定する必要があります.そして、秘密鍵については、鍵のパスワードを入力すると、暗号化されずにメモリに保存されます. 小さなLinuxサーバーについては、私のIPはDHCPを介して提供されており、インターネットプロバイダーが原因で何らかの理由で頻繁に変更されます.このIPの変更は、自分のノードに接続している他のノード(TFノード)にとって問題ではありませんか?
-
1- 2019-01-30
-
lostdorje
-
-
`--private-mode`を使用している場合、接続はすべてアウトバウンドであるため(ノードは予期しないインバウンド接続をブロックします)、動的IPアドレスを使用しても問題はありません.
-
- 1
- 2019-01-30
-
Luke Youngblood
-
-
-
多くの人がベーキング用のtezosセットアップについて言及しているのを見てきました.一般的な考え方は、地理的に分散している可能性のある少数のFEノードを実行し、FEノードのみに接続するプライベートノードを用意することです.また、可能であれば、プライベートノードはベイク/署名操作に元帳を使用します.
そのようなシステムは私にとって経済的に実行不可能です.私はまた、ホームシステムをセットアップするだけでは不十分なほど巡回しています.そこで、セットアップのセキュリティに関する一般的な考えについて質問したいと思いました.
VPSで単一のノードを実行します.プライベートモードで実行され、そのピアはTFピアのみです.ノードは、プライベートネットワークを介して別のVPSで実行されている署名者と通信します.署名者のファイアウォールは、私が選択した署名者ポートを除いて完全にブロックされており、sshはプライベートネットワークの一部でもあるトンネルマシンを介してのみ利用できます.
署名者のファイアウォールは、IPIがホワイトリストに登録されているノードVPSから署名者ポートへの接続のみを許可します.このため、署名者認証を設定する必要はないと感じました.
署名者が私の代理人の住所に署名し、代理人の住所には、estimated-rights.py スクリプト.
残りのテジーは、元帳に保存されているアカウントキーを使用して、私の代理人に委任する他の場所で作成されたアカウントに存在します.
いくつかの質問:
ボーナスポイント:イーサリアムの場合と同様に、AWSブロックチェーンテンプレートが機能していることを誰かが知っていますか?参照:の使用イーサリアム用のAWSブロックチェーンテンプレート
(この質問には、私にとって経済的に実行不可能な正確な設定の図があります.私はただの一人のパン屋だと)