面包师设置的安全性
2 个回答
- 投票数
-
-
2019-01-30
签名者的防火墙仅允许从IP I列入白名单的节点VPS连接到签名者端口.因此,我认为没有必要设置签名者身份验证.
这是我要担心的主要安全问题.通常,您的设置相当安全,但是主要风险是:
- 由于签名者没有身份验证,因此任何可以登录到您的烘焙系统的人都可以通过某种方式与远程签名者签名消息,包括余额转移您的保证金/存款.
- 您的签名者上的私钥也可能在VPS上运行时有风险,因为许多VPS提供商没有适当地防止旁道攻击,这可能使VPS提供商或其他客户查看内存内容虚拟机并公开私钥.
另一种低成本的安全方法:
- 获得一台可以在家运行的小型Linux服务器.只要您拥有2GB或更多的内存并且有足够的磁盘空间用于区块链(当前截至2019年1月为73GB),这便可以是一台二手PC.
- 使用分类帐存储您的私钥.
- 使用家庭互联网连接,使面包师以
--private-mode的方式连接到TF引导节点.
-
谢谢!嗯,是的,我应该设置身份验证.关于私钥,在输入私钥的密码后,它会不加密地存在于内存中. 关于小型Linux服务器,我的IP是通过DHCP提供的,并且由于我的互联网提供商的原因而经常更改.对于其他与我的节点联系的节点(TF节点),更改IP不会有问题吗?
-
1- 2019-01-30
-
lostdorje
-
-
如果您使用的是" --private-mode",则无论如何连接都是出站的(您的节点将阻止任何意外的入站连接),因此拥有动态IP地址不会有问题.
-
- 1
- 2019-01-30
-
Luke Youngblood
-
-
-
我已经看到很多人提到用于烘焙的tezos装置.一般的想法是运行少数几个FE节点,这些节点可能在地理位置上分散,然后有一个仅连接到您的FE节点的专用节点.并且如果可能的话,专用节点将使用分类帐进行烘焙/签名操作.
这样的系统对我来说在经济上是行不通的.我也很游荡,以至于我不能只设置家庭系统.所以我想问一下有关我的设置安全性的一般想法.
我在VPS中运行一个节点.它以私有模式运行,其对等方仅为TF对等方.该节点通过专用网络与运行在另一个VPS中的签名者对话.除了我选择的签名者端口之外,签名者的防火墙已被完全阻止,并且ssh仅可通过也是专用网络一部分的隧道计算机使用.
签名者的防火墙仅允许从IP I列入白名单的节点VPS连接到签名者端口.因此,我认为没有必要设置签名者身份验证.
签名人签署我的代表地址,代表地址包含足够的眩晕感(还有一些额外的呼吸空间),以存放estimated-rights.py 脚本.
其余的小家伙生活在其他地方的原始帐户中,该帐户委托给我的代表,帐户密钥存储在分类帐中.
几个问题:
奖励要点:有人知道作品中是否有一个AWS区块链模板,类似于以太坊的模板吗?请参阅:使用以太坊的AWS区块链模板
(此问题的图表对于我来说在经济上不可行的确切设置我只是个面包师)