关于 geth 节点安全
杨小公子君莫邪
发表于 2022-12-15 05:47:33
92
0
0
- q! l$ U& d/ C0 d: Y
geth --datadir --cache 4096 data --rpc --rpcport 6666 --rpcaddr 0.0.0.0 --ws --wsaddr 0.0.0.0 --wsport 6667 --wsorigins "*"
/ t' B5 r0 z" H* y
本文以此命令为基础,谈谈需要关注的安全方面的问题。
0x01 防火墙应该放开哪些端口
. C! }: U. W" q
推荐放开的端口:30303
. A4 d" R4 f; s( @# f- o# }, T
这是 geth 节点之间相互连接建立 p2p 网络的端口,放开此端口可以大大提高数据同步的稳定性。
Z' U s7 v$ ^) T# L6 m3 S7 y
选择性放开的端口:6666 与 6667
% @2 y# K' u% S( I. j
如果只需要 http 连接,放开 rpc 端口 6666 就足够了。如果还需要 web socket 连接,才需要放开 6667 端口。1 g: S# v0 g' h" W \
- k! ^8 P4 m7 U6 P" A
0x02 应该让节点做什么事情
在放开 rpcport 或 wasport 的情况下,非常不建议在此节点上进行账户管理) t' g4 |/ ?- a
2 m' g: {4 R& c0 {& m. R
一般来说,做应用开发时我们所搭建的节点,主要用来做两个事情:1 Y7 @& x# w( ^4 k4 h' T4 S" A
查询数据
( W5 J3 c( T% G7 k6 o) k8 Y) s
广播交易
账户管理,最好在去中心化钱包中去做。将签名后的交易通过 sendRawTransaction 发送到我们搭建的节点上。* d" f! F9 Q' m1 j0 n4 D3 ?
) z3 v* Y& X! U3 ]- N' v: l
0x03 rpcaddr 与 wsaddr
当这两个参数的值设为 0.0.0.0 时,将允许来自任何机器的 http 和 web socket 连接。. d, P) U# \+ N6 m
# y/ L2 q+ R* d! R
这个时候如果在自己搭的 geth 节点上创建或导入钱包,并执行 personal.unlockAccount 命令,别人就可以通过开放的 http或 web socket 连接执行sendTransaction调用将钱包中的以太币资产转出。
9 n, Z' o2 ^5 s: t; h9 K( B
0x04 对节点的进一步加固; e# A8 j# Q) Z5 ~6 }5 F5 k+ {
SSH Tunnel4 U6 v& m( F W7 \ z6 Z! L
通过下面的命令将远程调用限制于本地连接,这里将rpcaddr和 wsaddr 参数的值都设为了 127.0.0.10 j* \5 H& T+ C0 H2 r$ G
geth --datadir --cache 4096 data --rpc --rpcport 6666 --rpcaddr 127.0.0.1 --ws --wsaddr 127.0.0.1 --wsport 6667 --wsorigins "*"
其它机器要调用这个节点怎么办呢?可以通过 SSH Tunnel 建立该机器与节点机器间的可信连接。
Basic Auth1 D5 l; V4 c. E" \4 X v
可以在节点服务器上搭建 nginx 服务器,配置相应的 basic auth,通过用户名密码来限制对 geth 节点 rpc 服务的调用。
成为第一个吐槽的人