Quais são as melhores práticas para hospedar os nós de Tezos com RPCs expostos?
4 respostas
- votos
-
-
2019-02-06
Ou:
- nãoexponha o RPCem todos (!),ou
- Coloque umproxynafrente com uma clareiramáxima restritiva .
Claro,para um whitelist ajudar,vocênão deveincluirendpointspotencialmenteprejudiciaisem seu whitelist ... Mesmo osendpoints aparentementeinofensivospodem ser usadosparanegação de serviço,e algunspontosfinais são surpreendentementeprejudiciais.
-
-
-
2019-02-06
O quefazemospara TezRPC (quaispoderestezbox) sãoexecutados umproxyem cada servidor. Dentro desteproxy,vocêpodebloquear,restringire personalizarendpointspúblico voltados.
Atualmente,usamos umproxy leve construído com Nodejs,masirámudarpara umproxy deestilo NginX (melhor desempenho).
Aquiestá umexemplo de umproxy Node.js quebloqueia quasetodos osendpoints (ouvindo a API local RPCnaporta 8732):
var express = require('express'); var request = require('request'); var app = express(); var cors = require('cors') var apiServerHost = "http://localhost:8732"; app.use(cors()) app.use('/', function(req, res) { // Whitelist. Be afraid. if (req.url === '/chains/main/blocks/head' || req.url === '/chains/main/blocks/head/hash') { var url = apiServerHost + req.url; req.pipe(request(url)).pipe(res); } else { res.status(404).send('Not available'); } }); app.listen(process.env.PORT || 3000, function () { console.log('TZProxy running') })-
Então sua listanegra aquipermitirá osnovosendpointsnapergunta,porexemplo.:(
-
0- 2019-02-06
-
Tom
-
-
Euestava simplesmenteposando umexemplo de comoimplantar umproxypersonalizado,que é o que o usuárioestápedindo.Comomencionado,bloqueia "algunsendpoints".
-
- 0
- 2019-02-06
-
Stephen Andrews
-
-
Euestava realmentebrincando com seusnósmais cedo hoje,notoumuito longostempos de resposta ~ 700ms (da Europa).
-
- 0
- 2019-02-06
-
Matej maht0rz Šima
-
-
Simesperando que ointerruptornginx acelere-o
-
- 0
- 2019-02-06
-
Stephen Andrews
-
-
Propor uma abordagem da listanegra é certamentemenos segura do que usar uma lista depermissões restritiva.Uma vez que a questãoestá relacionada àmelhorprática,a respostapode sermelhorada alterando oexemplopara um whitelist,a abordagem da listanegratem muitas deficiências de segurança.Owaspotem umbom recursonestetópico https://www.owasp.org/index.php/input_validation_cheat_sheet
-
- 2
- 2019-02-06
-
xtzbaker
-
-
Stephen - Pode ser relacionado ageolocalizaçãotambém,masessenão é oprincipaltópico aqui.
-
- 0
- 2019-02-06
-
Matej maht0rz Šima
-
-
Eu atualizei oexemplopara usar um whitelist.Issoexcluiránovose novosendpoints ruins.Porexemplo,houve algumaideiapara adicionar [RPCs relacionados aoinstantâneo] (https://gitlab.com/nomadic-labs/tezos/commit/3345423ebaa9b5ebd3f075124EAA7F0B47ACAED3).Espero que os doisendpoints queeupermitisse são razoavelmente seguros ...
-
- 0
- 2019-07-04
-
Tom
-
-
-
-
2019-02-06
Uma das alternativas queeupoderiapensar,está usando
Conseil: https://github.com/cryptonomic/conseilNomeu humildeentendimento O que a Conseilfaz,éfornecer uma APIestendidanotopo de umnó de Tezos/RPC.Etalvez (?) Algumas característicasextras quepoderiampermitir ativar/desativarendpoints ou outrasmedidas de segurança.
-
Vocêpoderiaporfavorexpandir sua resposta?Obrigado!
-
- 1
- 2019-02-06
-
Ezy
-
-
Atualizou o comentário comexemplose explicação.
-
- 1
- 2019-02-06
-
Matej maht0rz Šima
-
-
-
-
2019-02-09
-
Seeu hospedarmeupróprionó,e. Como
Tezboxfaz,qual é amelhorpráticaem relação à acessibilidade de certosendpoints RPC?tzscanjá restringe determinadas chamadas,como descrito aqui .
Tezos docs Aconselhar como a seguinte:
com onovo Manejo dememória Atualizar ,osendpoints de RPC adicionaisestarão disponíveis,e podempossuir umperigo seexpostospublicamente sem saber.