Segurança com Solo Baker Setup

Question

Segurança com Solo Baker Setup

- 8
- 254 2019-01-30
Eujá vimuitaspessoasmencionam as configurações de Tezospara assar. Aideiageral seria administrar umpunhado denós de Fe,provavelmentegeograficamente dispersose,em seguida,ter umnóprivado que se conecta a apenas seusnós Fe. E,sepossível,onóprivado usaria um livropara operações de assinatura/assinatura.

Tal sistema seriaeconomicamenteinviávelparamim. Eutambém souitinerante o suficientepara queeunãopossa simplesmente configurar um sistema doméstico. Entãoeu queriaperguntar sobrepensamentosgerais sobre a segurança daminha configuração.

Euexecuto um úniconóem um VPS. Ele éexecutadonomodoprivadoe seuspares são apenas ospares TF. Onófala com um signatárioem execuçãoem outro VPSpormeio de uma redeprivada. Ofirewall do signatário é completamentebloqueado,excetopara aporta do signatário queeuescolhie SSH sóestá disponível através de umamáquina detúnel quetambémfazparte da redeprivada.

Ofirewall do signatário sópermite conexõespara aporta do signatário donó VPS que é o IPi Whitelisted. Por causa disso,não senti queeranecessáriopara configurar a autenticação do signatário.

O signatário sinaispara omeuendereço delegadoe oendereço delegado contém apenas Teoszzies suficientes (e umpoucoextrapara a respiração)para colocar os depósitosparapreserved_cycles como saídapelo estimado- direitos.py script.

O resto dos Tezziesmoramem uma conta originadaem outro lugar que delega aomeu delegado,com as chaves da conta armazenadaem um livro.

Algumasperguntas:

Isso soa como uma configuração razoavelmente segura?

qualquerburaco ou qualquer coisa queeuestejafaltando?

está se conectando a apenas osnós do TF o suficienteparame dar uma altaprobabilidade que osblocos queeu cozer sãopropagados através da rede deforma rápidae com sucessoinjetada?

BÔNUS Pontos: Alguém sabe se há ummodelo debloqueio da AWSnostrabalhos,semelhante a como hápara Ethereum? Veja: Usando o Modelo deblockchain AWSparaethere

(Esta questãotem um diagrama da configuraçãoexata que éeconomicamenteinviávelparamim queeu sou apenas umpadeiro solo)
I've seen a lot of people mention tezos setups for baking. The general idea would be to run a handful of FE nodes, likely geographically dispersed, and then having a private node which connects to just your FE nodes. And if possible, the private node would use a Ledger for baking/signing operations.

Such a system would be economically infeasible for me. I'm also itinerant enough that I can't just setup a home system. So I wanted to ask about general thoughts regarding the security of my setup.

I run a single node in a VPS. It runs in private mode and its peers are only the TF peers. The node talks to a signer running in another VPS via a private network. The signer's firewall is completely blocked off except for the signer port I chose and ssh is only available via a tunnel machine that is also part of the private network.

The the signer's firewall only allows connections to the signer port from the node VPS who's IP I whitelisted. Because of this, I didn't feel it was necessary to setup signer authentication.

The signer signs for my delegate address and the delegate address contains just enough tezzies (and a little extra for breathing room) to put up the deposits for PRESERVED_CYCLES as output by the estimated-rights.py script.

The rest of the tezzies live in an originated account elsewhere that delegates to my delegate, with the account keys stored on a Ledger.

A few questions:

Does this sound like a reasonably secure setup?

Any holes or anything I'm missing?

Is connecting to just the TF nodes enough to give me a high probability that blocks I bake are propagated through the network quickly and successfully injected?

Bonus points: Does anyone know if there is an AWS blockchain template in the works, similar to how there is for Ethereum? See: Using the AWS Blockchain Template for Ethereum

(This question has a diagram of the exact setup that is economically infeasible for me given that I am just a solo baker)
ledger hsm setup solo-baking

2 respostas

votos

- 3
- 2019-01-30
.
Ofirewall do signatário sópermite conexõespara aporta do signatário donó VPS que é o IPi Whitelisted.Por causa disso,não senti queeranecessáriopara configurar a autenticação do signatário.

Eu viriaisso.Bloqueietodas as conexões recebidaspara o signatárioe,em vez disso,tenha o signatário se conectar ao TF.Dessaforma,vocênãoprecisa sepreocupar com umnómaliciosotentando se conectar ao seu signatário através de ataques como o IP seqüestrando.

The the signer's firewall only allows connections to the signer port from the node VPS who's IP I whitelisted. Because of this, I didn't feel it was necessary to setup signer authentication.

I would flip this. Block all incoming connections to the signer and instead have the signer connect to the TF. That way you don't have to worry about a malicious node trying to connect to your signer through attacks such as IP hijacking.
- fonte
- adrian
- Nãotenho certeza seentendiisso.O signatárioprecisa aceitar solicitaçõespara assinar.O signatárioem sinão se conecta anada,responde apenas às solicitações de assinatura.
  
  I'm not sure I understand this. The signer needs to accept requests to sign. The signer itself doesn't connect to anything, it only responds to signing requests.
  - 3
  - 2019-01-31
  - lostdorje
- Issoestánonível de conexão.O signatário deveemitir opedido.Isso significa quepodepotencialmenteestar atrás de um NAT,como um roteadorem casa,e vocênãoprecisa abrirnenhumportoparatornar o signatário acessível apartir domundoexterior. Issonão afeta como as solicitações de assinatura sãoemitidas.Afeta apenas queminicia a conexão TCP.
  
  This is on the connection level. The signer should issue the request. It means that it can potentially be behind a NAT, such as a home router, and you don't need to open any port to make the signer accessible from the outside world. This doesn't affect how signing requests are issued. It only affects who initiates the TCP connection.
  - 1
  - 2019-02-01
  - adrian

Luke Youngblood · Accepted Answer · 2019-01-30

6

2019-01-30

.
Ofirewall do signatário sópermite conexõespara aporta do signatário donó VPS que é o IPi Whitelisted. Por causa disso,não senti queeranecessáriopara configurar a autenticação do signatário.

Esta é aprincipalpreocupação de segurança queeuteria. Emgeral,sua configuração ébastante segura,noentanto,osprincipais riscos são:

porque o signatárionãotem autenticação,qualquerpessoa quepossafazer loginno seu sistema de cozimento de algumaformapode assinarmensagens com o assinante remoto,incluindo atransferência de saldo do seu vínculo/depósito.
A chaveprivadano seu signatertambémpodeestarem riscoem execuçãoem um VPS,já quemuitos dosprovedores VPSnãoprotegem corretamente contra ataques de canal lateral,o quepodepermitir que oprovedor VPS ou outro cliente visualize o conteúdo damemória da sua VMe expõe a chaveprivada.

Outrométodo seguro quepode serbaixo custo:

Obtenha umpequeno servidor Linux que vocêpode correrem casa. Estepoderia ser um PC usado,desde que vocêtenha 2 GB dememória oumaise espaçoem disco suficientepara oblockchain (atualmente 73 GB apartir dejaneiro de 2019).
Use um ledgerpara armazenar suas chavesprivadas.
Tem o Baker Connectem - Modo Privado para osnós deinicialização TF como vocêjáestáfazendo,usando sua conexão deinternetem casa.

Obrigado!Ah,ok,sim,eu deveria configurar a autenticação.E certo sobre a chaveprivada,depois deentrarna senhapara a chave,viveránamemórianão criptografada. Sobre opequeno servidor Linux,meu IP éfornecido via DHCPe mudançasmuitas vezespor qualquermotivo devido aomeuprovedor de Internet.Essamudança de IPnão é umproblemapara outrosnós (osnós TF) contatandomeunó?

Thanks! Ah, ok yeah I should setup authentication. And right about the private key, after I enter the password for the key it will live in memory unencrypted. About the small Linux server, my IP is provided via DHCP and changes often for whatever reason due to my internet provider. This changing IP isn't a problem for other nodes (the TF nodes) contacting my node?
- 1
- 2019-01-30
- lostdorje
Se vocêestiver usando '--Private-Mode',suas conexões sãotodas de saída de qualquermaneira (seunóbloqueará quaisquer conexõesinesperadas deentrada),portanto,ter umendereço IP dinâmiconão será umproblema.

If you're using `--private-mode` your connections are all outbound anyway (your node will block any unexpected inbound connections) so having a dynamic IP address won't be a problem.
- 1
- 2019-01-30
- Luke Youngblood