使用公开的RPC托管Tezos节点的最佳实践是什么?
4 个回答
- 投票数
-
-
-
2019-02-06
我们为TezRPC(为TezBox供电)所做的工作是在每台服务器上运行一个代理.然后,您可以在此代理中阻止,限制和定制面向公众的端点.
我们当前使用的是NodeJS内置的轻量级代理,但将切换到Nginx样式的代理(性能更好).
这是一个node.js代理的示例,该代理阻止了几乎所有端点(侦听端口8732上的本地RPC API):
var express = require('express'); var request = require('request'); var app = express(); var cors = require('cors') var apiServerHost = "http://localhost:8732"; app.use(cors()) app.use('/', function(req, res) { // Whitelist. Be afraid. if (req.url === '/chains/main/blocks/head' || req.url === '/chains/main/blocks/head/hash') { var url = apiServerHost + req.url; req.pipe(request(url)).pipe(res); } else { res.status(404).send('Not available'); } }); app.listen(process.env.PORT || 3000, function () { console.log('TZProxy running') })-
因此,例如,您的黑名单将允许问题中使用新的端点.:(
-
0- 2019-02-06
-
Tom
-
-
我只是发布了一个有关如何部署自定义代理的示例,这正是用户要求的.如前所述,它阻止了"某些端点".
-
- 0
- 2019-02-06
-
Stephen Andrews
-
-
我实际上是在今天早些时候与您的节点一起玩耍的,发现响应时间很长,大约700毫秒(来自欧洲).
-
- 0
- 2019-02-06
-
Matej maht0rz Šima
-
-
是的,希望nginx开关可以加快速度
-
- 0
- 2019-02-06
-
Stephen Andrews
-
-
提出黑名单方法肯定不如使用限制性白名单安全.由于问题与最佳实践有关,因此可以通过将示例更改为白名单来改善答案,因此黑名单方法存在许多安全缺陷.Owasp在这个主题上有很好的资源https://www.owasp.org/index.php/Input_Validation_Cheat_Sheet
-
- 2
- 2019-02-06
-
xtzbaker
-
-
Stephen-它也可能与地理位置有关,但这不是这里的主题.
-
- 0
- 2019-02-06
-
Matej maht0rz Šima
-
-
我将示例更新为使用白名单.这将排除旧的和新的不良端点.例如,有一个想法可以添加[快照相关的RPC](https://gitlab.com/nomadic-labs/tezos/commit/3345423ebaa9b5ebd3f075124eaa7f0b47acaed3).我希望我允许的两个端点都相当安全...
-
- 0
- 2019-07-04
-
Tom
-
-
-
-
2019-02-06
我能想到的替代方法之一是使用
Conseil: https://github.com/Cryptonomic/Conseil根据我的拙见,Conseil的作用是在tezos-node/rpc之上提供扩展的API.也许(?)一些额外的功能可以允许启用/禁用端点或其他安全措施.
-
您能否扩大答案范围?谢谢!
-
- 1
- 2019-02-06
-
Ezy
-
-
用示例和解释更新了注释.
-
- 1
- 2019-02-06
-
Matej maht0rz Šima
-
-
-
如果我托管自己的节点,例如像
TezBox一样,关于某些RPC端点的可访问性的最佳实践是什么?TzScan已经限制了某些呼叫,如此处所述.
Tezos 文档建议如下:
使用新的内存管理更新,其他RPC端点将可用,如果在不知情的情况下公开暴露,它们可能会带来危险.