关于 geth 节点安全
杨小公子君莫邪
发表于 2022-12-15 05:47:33
162
0
0
geth --datadir --cache 4096 data --rpc --rpcport 6666 --rpcaddr 0.0.0.0 --ws --wsaddr 0.0.0.0 --wsport 6667 --wsorigins "*"
本文以此命令为基础,谈谈需要关注的安全方面的问题。5 ^" s* b3 N/ n2 J9 I1 y2 }) V8 b
9 d0 u) v I& {: T1 n- p* @" M& y9 P
0x01 防火墙应该放开哪些端口- X1 p5 r- T7 L8 m' \5 J# H4 N
推荐放开的端口:30303& r" z) z: ?: y# R2 w) g4 [
1 D0 q1 q( b' d4 }
这是 geth 节点之间相互连接建立 p2p 网络的端口,放开此端口可以大大提高数据同步的稳定性。$ |3 P8 j7 O7 K! P, ?
8 v/ V! m, t6 n& S( {
选择性放开的端口:6666 与 66677 _4 M2 j" i* q8 [
3 q- w- \ a m: R) E8 a# f4 @1 Y
如果只需要 http 连接,放开 rpc 端口 6666 就足够了。如果还需要 web socket 连接,才需要放开 6667 端口。
, O* j1 H O. p& v/ H! E6 {( v
0x02 应该让节点做什么事情: {6 v9 Z2 R: c/ j; |
在放开 rpcport 或 wasport 的情况下,非常不建议在此节点上进行账户管理
一般来说,做应用开发时我们所搭建的节点,主要用来做两个事情:
查询数据. V% r. ^3 F2 E; y( h
广播交易' ?& ]2 L- q; B6 T( W) d: c( N
账户管理,最好在去中心化钱包中去做。将签名后的交易通过 sendRawTransaction 发送到我们搭建的节点上。' E/ G& i% |& U* j
0x03 rpcaddr 与 wsaddr
当这两个参数的值设为 0.0.0.0 时,将允许来自任何机器的 http 和 web socket 连接。
~ g1 l' G2 z; B. z% n4 D
这个时候如果在自己搭的 geth 节点上创建或导入钱包,并执行 personal.unlockAccount 命令,别人就可以通过开放的 http或 web socket 连接执行sendTransaction调用将钱包中的以太币资产转出。
6 }0 w7 n: o! Q* |
0x04 对节点的进一步加固
( p& i: n' @; ]1 R, @* C, D$ [
SSH Tunnel+ h2 D: u/ Y ^. a8 G
通过下面的命令将远程调用限制于本地连接,这里将rpcaddr和 wsaddr 参数的值都设为了 127.0.0.1, f3 S& R: Y( Q# n7 e* P
geth --datadir --cache 4096 data --rpc --rpcport 6666 --rpcaddr 127.0.0.1 --ws --wsaddr 127.0.0.1 --wsport 6667 --wsorigins "*") C; B; `8 T0 z" X. R
, s5 u D W' M" |0 ^0 Z' v* S
其它机器要调用这个节点怎么办呢?可以通过 SSH Tunnel 建立该机器与节点机器间的可信连接。
Basic Auth; t6 z3 O5 i5 _$ J0 W0 ?8 H( r. j
可以在节点服务器上搭建 nginx 服务器,配置相应的 basic auth,通过用户名密码来限制对 geth 节点 rpc 服务的调用。
成为第一个吐槽的人
