关于 geth 节点安全
杨小公子君莫邪
发表于 2022-12-15 05:47:33
161
0
0
geth --datadir --cache 4096 data --rpc --rpcport 6666 --rpcaddr 0.0.0.0 --ws --wsaddr 0.0.0.0 --wsport 6667 --wsorigins "*"
本文以此命令为基础,谈谈需要关注的安全方面的问题。
9 m8 `: V. Q. m$ v J q% |
0x01 防火墙应该放开哪些端口% X( k8 q) ~) e8 r/ D# Q
1 K+ o) { K/ p. o6 }* j
推荐放开的端口:30303
! b* P: k A% F) M" n9 e& K F
这是 geth 节点之间相互连接建立 p2p 网络的端口,放开此端口可以大大提高数据同步的稳定性。
6 M+ H8 u! R' U4 D
选择性放开的端口:6666 与 6667# a1 j4 P, z' c' C9 c
如果只需要 http 连接,放开 rpc 端口 6666 就足够了。如果还需要 web socket 连接,才需要放开 6667 端口。: W5 \% u" D! E3 G3 u/ {
- ?( u1 V# u$ H9 ~
0x02 应该让节点做什么事情0 h2 M. B, Q1 d* o V
在放开 rpcport 或 wasport 的情况下,非常不建议在此节点上进行账户管理
一般来说,做应用开发时我们所搭建的节点,主要用来做两个事情:& E! ?& ^' q% u& y/ j9 D& s& W
& Y8 u3 Q/ Y8 c% O2 I
查询数据% m% j" {2 k; N' O& s
广播交易
& d' w9 g7 E1 y: l+ X
账户管理,最好在去中心化钱包中去做。将签名后的交易通过 sendRawTransaction 发送到我们搭建的节点上。/ u4 X4 u1 p6 X$ l; q% I& }& Z1 T
0x03 rpcaddr 与 wsaddr% R9 r, J7 S! O) ^9 I) w. F# R$ a
当这两个参数的值设为 0.0.0.0 时,将允许来自任何机器的 http 和 web socket 连接。
这个时候如果在自己搭的 geth 节点上创建或导入钱包,并执行 personal.unlockAccount 命令,别人就可以通过开放的 http或 web socket 连接执行sendTransaction调用将钱包中的以太币资产转出。
8 \, k' V& \& g$ h. H1 R
0x04 对节点的进一步加固
8 j: _" b$ t8 N% p; L% Z+ K3 `8 [
SSH Tunnel6 k0 _7 V& l1 ]+ D
通过下面的命令将远程调用限制于本地连接,这里将rpcaddr和 wsaddr 参数的值都设为了 127.0.0.1- C0 w7 }0 B. v+ \% ]' ^; W
geth --datadir --cache 4096 data --rpc --rpcport 6666 --rpcaddr 127.0.0.1 --ws --wsaddr 127.0.0.1 --wsport 6667 --wsorigins "*") c w) I% Q; Q' s
+ O7 P, z1 N. i) o
其它机器要调用这个节点怎么办呢?可以通过 SSH Tunnel 建立该机器与节点机器间的可信连接。
3 W" B% f3 z1 b- k3 x+ n& n3 R
Basic Auth
4 u0 j9 h) d9 T- E
可以在节点服务器上搭建 nginx 服务器,配置相应的 basic auth,通过用户名密码来限制对 geth 节点 rpc 服务的调用。
成为第一个吐槽的人
