seguridad con configuración de panadero solo

Question

seguridad con configuración de panadero solo

- 8
- 254 2019-01-30
He visto amuchagente mencionar las configuraciones detezospara hornear. Laideageneral seríaejecutar unpuñado denodos FE,probablemente dispersosgeográficamente,y luegotener unnodoprivado que se conecte solo a susnodos FE. Y siesposible,elnodoprivado usaría un libromayorpara operaciones de horneado/firma.

Un sistema así seríaeconómicamenteinviableparamí. También soy lo suficientementeitinerante comoparanopoder configurar un sistema doméstico. Poreso,queríapreguntar acerca deideasgenerales sobre la seguridad demi configuración.

Ejecuto un solonodoen un VPS. Seejecutaen modoprivado y suspares son solo lospares TF. Elnodo habla con unfirmante que seejecutaen otro VPS através de una redprivada. El cortafuegos delfirmanteestá completamentebloqueadoexceptoporelpuerto delfirmante queelegí y ssh soloestá disponible através de unamáquina detúnel quetambiénesparte de la redprivada.

El cortafuegos delfirmante solopermite conexiones alpuerto delfirmante desdeelnodo VPS cuyo IPestáincluidoen la listablanca. Debido aesto,no sentí quefueranecesario configurar la autenticación delfirmante.

Elfirmantefirmaparami dirección de delegado y la dirección de delegado contiene suficientestezzies (y unpocomáspara respirar)paraponer los depósitospara PRESERVED_CYCLES como resultado de estimado-rights.py script.

El resto de lostezzies vivenen una cuenta originadaen otro lugar que delega ami delegado,con las claves de cuenta almacenadasen un libromayor.

Algunaspreguntas:

¿Suena como una configuración razonablemente segura?

¿Algún agujero o algo queme falte?

¿La conexión solo a losnodos TFes suficientepara darme una altaprobabilidad de que losbloques que horneo sepropaguen através de la red demanera rápida y seinyecten con éxito?

Puntos debonificación: ¿Alguien sabe si hay unaplantilla de cadena debloques de AWSen proceso,similar a la que haypara Ethereum? Consulte: Uso del Plantilla de AWS Blockchainpara Ethereum

(Estapreguntatiene un diagrama de la configuraciónexacta queeseconómicamenteinviableparamí dado que solo soy unpanaderoen solitario)
I've seen a lot of people mention tezos setups for baking. The general idea would be to run a handful of FE nodes, likely geographically dispersed, and then having a private node which connects to just your FE nodes. And if possible, the private node would use a Ledger for baking/signing operations.

Such a system would be economically infeasible for me. I'm also itinerant enough that I can't just setup a home system. So I wanted to ask about general thoughts regarding the security of my setup.

I run a single node in a VPS. It runs in private mode and its peers are only the TF peers. The node talks to a signer running in another VPS via a private network. The signer's firewall is completely blocked off except for the signer port I chose and ssh is only available via a tunnel machine that is also part of the private network.

The the signer's firewall only allows connections to the signer port from the node VPS who's IP I whitelisted. Because of this, I didn't feel it was necessary to setup signer authentication.

The signer signs for my delegate address and the delegate address contains just enough tezzies (and a little extra for breathing room) to put up the deposits for PRESERVED_CYCLES as output by the estimated-rights.py script.

The rest of the tezzies live in an originated account elsewhere that delegates to my delegate, with the account keys stored on a Ledger.

A few questions:

Does this sound like a reasonably secure setup?

Any holes or anything I'm missing?

Is connecting to just the TF nodes enough to give me a high probability that blocks I bake are propagated through the network quickly and successfully injected?

Bonus points: Does anyone know if there is an AWS blockchain template in the works, similar to how there is for Ethereum? See: Using the AWS Blockchain Template for Ethereum

(This question has a diagram of the exact setup that is economically infeasible for me given that I am just a solo baker)
ledger hsm setup solo-baking

2 respuestas

votos

- 3
- 2019-01-30
El cortafuegos delfirmante solopermite conexiones alpuerto delfirmante desdeelnodo VPS cuya IPestáen la listablanca.Debido aesto,no sentí quefueranecesario configurar la autenticación delfirmante.

Daría la vuelta aesto.Bloqueetodas las conexionesentrantes alfirmante y,en su lugar,haga queelfirmante se conecte al TF.Deesamanera,notiene quepreocuparse de que unnodomaliciosointente conectarse con sufirmante através de ataques comoel secuestro de IP.

The the signer's firewall only allows connections to the signer port from the node VPS who's IP I whitelisted. Because of this, I didn't feel it was necessary to setup signer authentication.

I would flip this. Block all incoming connections to the signer and instead have the signer connect to the TF. That way you don't have to worry about a malicious node trying to connect to your signer through attacks such as IP hijacking.
- Noestoy seguro deentenderesto.Elfirmante debe aceptar solicitudesparafirmar.Elfirmanteen síno se conecta anada,solo responde a las solicitudes defirma.
  
  I'm not sure I understand this. The signer needs to accept requests to sign. The signer itself doesn't connect to anything, it only responds to signing requests.
  - 3
  - 2019-01-31
  - lostdorje
- Estoestáen elnivel de conexión.Elfirmante debeemitir la solicitud.Significa quepotencialmentepuedeestar detrás de un NAT,como unenrutador doméstico,ynoesnecesario abrirningúnpuertopara queelfirmante sea accesible desdeelmundoexterior. Estono afecta laformaen que seemiten las solicitudes defirma.Solo afecta a quiéninicia la conexión TCP.
  
  This is on the connection level. The signer should issue the request. It means that it can potentially be behind a NAT, such as a home router, and you don't need to open any port to make the signer accessible from the outside world. This doesn't affect how signing requests are issued. It only affects who initiates the TCP connection.
  - 1
  - 2019-02-01
  - adrian

Luke Youngblood · Accepted Answer · 2019-01-30

6

2019-01-30

El cortafuegos delfirmante solopermite conexiones alpuerto delfirmante desdeelnodo VPS cuyo IPestáincluidoen la listablanca. Debido aesto,no sentí quefueranecesario configurar la autenticación delfirmante.

Esteeselprincipalproblema de seguridad quetendría. Engeneral,su configuraciónesbastante segura,sinembargo,losprincipales riesgos son:

Debido a queelfirmantenotiene autenticación,cualquiera quepuedainiciar sesiónen su sistema de horneado de algunamanerapuedefirmarmensajes conelfirmante remoto,incluida latransferencia del saldo de sufianza/depósito.
La claveprivada de sufirmantetambiénpodría correrel riesgo deejecutarseen un VPS,ya quemuchos de losproveedores de VPSnoprotegen adecuadamente contra los ataques de canal lateral,lo quepodríapermitir queelproveedor de VPS u otro cliente veael contenido de lamemoria. de su VM yexponer la claveprivada.

Otrométodo seguro quepuede ser debajo costo:

Obtenga unpequeño servidor Linux quepuedaejecutaren casa. Estapodría ser una PC usada siempre quetenga 2 GB dememoria omás y suficienteespacioen discopara la cadena debloques (actualmente 73 GB aenero de 2019).
Utilice un libromayorpara almacenar sus clavesprivadas.
Haga queelpanadero se conecteen --private-mode a losnodos de arranque TF como ya loestá haciendo,utilizando la conexión a Internet de su hogar.

¡Gracias!Ah,estábien,debería configurar la autenticación.Yjusto sobre la claveprivada,después deingresar la contraseña de la clave,permaneceráen lamemoria sin cifrar. Acerca delpequeño servidor Linux,mi IP seproporciona através de DHCP y cambia amenudopor cualquiermotivo debido ami proveedor de Internet.¿Esta IP cambiantenoes unproblemapara otrosnodos (losnodos TF) que seponenen contacto conmi nodo?

Thanks! Ah, ok yeah I should setup authentication. And right about the private key, after I enter the password for the key it will live in memory unencrypted. About the small Linux server, my IP is provided via DHCP and changes often for whatever reason due to my internet provider. This changing IP isn't a problem for other nodes (the TF nodes) contacting my node?
- 1
- 2019-01-30
- lostdorje
Siestá usando `--private-mode`,sus conexiones sontodas salientes detodosmodos (sunodobloqueará cualquier conexiónentranteinesperada)por lo quetener una dirección IP dinámicano será unproblema.

If you're using `--private-mode` your connections are all outbound anyway (your node will block any unexpected inbound connections) so having a dynamic IP address won't be a problem.
- 1
- 2019-01-30
- Luke Youngblood