关于 geth 节点安全
杨小公子君莫邪
发表于 2022-12-15 05:47:33
91
0
0
0 h- C: X) }4 A: B4 f+ m% C4 l
geth --datadir --cache 4096 data --rpc --rpcport 6666 --rpcaddr 0.0.0.0 --ws --wsaddr 0.0.0.0 --wsport 6667 --wsorigins "*"5 f1 v6 i3 W, S9 u, b
本文以此命令为基础,谈谈需要关注的安全方面的问题。
0x01 防火墙应该放开哪些端口4 O( d) j& {; l# r6 }& r- q
# L" E2 q; K& I# p2 l
推荐放开的端口:30303
这是 geth 节点之间相互连接建立 p2p 网络的端口,放开此端口可以大大提高数据同步的稳定性。
' H+ V0 B6 E$ s% Q
选择性放开的端口:6666 与 6667
如果只需要 http 连接,放开 rpc 端口 6666 就足够了。如果还需要 web socket 连接,才需要放开 6667 端口。
/ E* ^5 `9 {# s$ {7 b
0x02 应该让节点做什么事情
- N, @6 L' k' b& f( Y
在放开 rpcport 或 wasport 的情况下,非常不建议在此节点上进行账户管理9 G1 J, C/ V- Y1 o- U- ^& [
( G7 V& d0 x& M# b( H1 s4 Z1 {
一般来说,做应用开发时我们所搭建的节点,主要用来做两个事情:* G" ]$ E+ s, z9 L
! Z* v; r1 @* ?4 Y4 }" O0 X
查询数据; \6 e/ \- L; R2 X
" Q! [6 x) G% c: B y6 N! e& b
广播交易+ u' T" Y' h/ h2 h u4 X n4 d$ f
; ]4 p3 R, J8 Z: Y
账户管理,最好在去中心化钱包中去做。将签名后的交易通过 sendRawTransaction 发送到我们搭建的节点上。
: Z% ?7 j" j& m. ]5 T4 U
0x03 rpcaddr 与 wsaddr
当这两个参数的值设为 0.0.0.0 时,将允许来自任何机器的 http 和 web socket 连接。
1 w8 r7 `0 t- n
这个时候如果在自己搭的 geth 节点上创建或导入钱包,并执行 personal.unlockAccount 命令,别人就可以通过开放的 http或 web socket 连接执行sendTransaction调用将钱包中的以太币资产转出。* a* [1 M. n6 d9 _2 i) O3 ^' J
0x04 对节点的进一步加固
SSH Tunnel0 h4 e* {& L) e/ r
* ~) C: @4 D6 x6 w# q6 W
通过下面的命令将远程调用限制于本地连接,这里将rpcaddr和 wsaddr 参数的值都设为了 127.0.0.1. u& t3 O/ h6 L
geth --datadir --cache 4096 data --rpc --rpcport 6666 --rpcaddr 127.0.0.1 --ws --wsaddr 127.0.0.1 --wsport 6667 --wsorigins "*"
* D' {2 F( P" U3 ^( S
其它机器要调用这个节点怎么办呢?可以通过 SSH Tunnel 建立该机器与节点机器间的可信连接。
Basic Auth% G& Q# f) \% I+ i
可以在节点服务器上搭建 nginx 服务器,配置相应的 basic auth,通过用户名密码来限制对 geth 节点 rpc 服务的调用。
成为第一个吐槽的人
