Sécurité avec Solo Baker Setup

Question

Sécurité avec Solo Baker Setup

- 8
- 254 2019-01-30
J'ai vubeaucoup degensmentionnent des configurations de Tezospour la cuisson. L'idéegénérale serait d'exécuter unepoignée denœuds Fe,probablement disperséegéographiquement,puis avec unnœudprivé qui se connecte à vosnœuds de votre Fe. Et sipossible,lenœudprivé utiliserait ungrand livrepour les opérations de cuisson/de signature.

Untel système serait économiquementinfaisablepourmoi. Je suis également assezitinérantpour queje nepuissepas simplement configurer un système à domicile. Je voulais doncposer des questions sur lespenséesgénérales concernant la sécurité dema configuration.

i Exécution d'un seulnoeud dans un VPS. Ilfonctionneen modeprivéet sespairsne sont que lespairs TF. Lenœudparle à un signataireexécutant dans un autre VPS via un réseauprivé. Lepare-feu du signataireest complètementbloqué à l'exception duport de signataire quej'ai choisiet SSHest uniquement disponible via unemachine àtunnel quifait égalementpartie du réseauprivé.

Lepare-feu du signatairen'autorise que les connexions auport de signataire àpartir dunœud VPS IPi Whitelisted. Pour cette raison,je n'aipaseu raison de configurer l'authentification du signataire.

Le signataire signe demon adresse de délégationet l'adresse déléguée contientjuste assez detextes (et unpeupluspour la salle de respiration)pourmettreen place les dépôts de conservation_cycles comme sortiepar le estimé-rights.py script.

Le reste destongies vivent dans un compte d'origine ailleurs qui déléguent àmon délégué,avec les clés de compte stockées sur ungrand livre.

Quelques questions:

Est-ce que cela sonne comme une configuration raisonnablement sécurisée?

destrous outout ce quime manque?

se connecte àjuste lesnœuds de TF suffisammentpourme donner uneprobabilité élevée que lesblocs queje bloque sontpropagés àtravers le réseau rapidementet avec succès?

Pointsbonus: Est-ce que quelqu'un sait s'il y a unmodèle deblocage AWS dans lestravaux,semblable à lafaçon dontil y apour Ethereum? Voir: Utiliser le Modèle AWS Blockchainpour Ethereum

(Cette question a un diagramme de la configurationexacte quiest économiquementinfaisablepourmoi donnée queje suisjuste unboulanger solo)
I've seen a lot of people mention tezos setups for baking. The general idea would be to run a handful of FE nodes, likely geographically dispersed, and then having a private node which connects to just your FE nodes. And if possible, the private node would use a Ledger for baking/signing operations.

Such a system would be economically infeasible for me. I'm also itinerant enough that I can't just setup a home system. So I wanted to ask about general thoughts regarding the security of my setup.

I run a single node in a VPS. It runs in private mode and its peers are only the TF peers. The node talks to a signer running in another VPS via a private network. The signer's firewall is completely blocked off except for the signer port I chose and ssh is only available via a tunnel machine that is also part of the private network.

The the signer's firewall only allows connections to the signer port from the node VPS who's IP I whitelisted. Because of this, I didn't feel it was necessary to setup signer authentication.

The signer signs for my delegate address and the delegate address contains just enough tezzies (and a little extra for breathing room) to put up the deposits for PRESERVED_CYCLES as output by the estimated-rights.py script.

The rest of the tezzies live in an originated account elsewhere that delegates to my delegate, with the account keys stored on a Ledger.

A few questions:

Does this sound like a reasonably secure setup?

Any holes or anything I'm missing?

Is connecting to just the TF nodes enough to give me a high probability that blocks I bake are propagated through the network quickly and successfully injected?

Bonus points: Does anyone know if there is an AWS blockchain template in the works, similar to how there is for Ethereum? See: Using the AWS Blockchain Template for Ethereum

(This question has a diagram of the exact setup that is economically infeasible for me given that I am just a solo baker)
ledger hsm setup solo-baking

2 réponses

votes

- 3
- 2019-01-30
Lepare-feu du signatairen'autorise que les connexions auport de signataire àpartir dunœud VPS IPi Whitelisted.Pour cette raison,je n'aipaseu raison de configurer l'authentification du signataire.

Je retournerais cela.Bloqueztoutes les connexionsentrantes au signataireet disposezplutôt du signataire de vous connecter au TF.De cettefaçon,vousn'avezpas à vous soucier d'unnœudmalveillantessayant de vous connecter à votre signataire àtravers des attaquestelles que la détournement de lapropriétéintellectuelle.

The the signer's firewall only allows connections to the signer port from the node VPS who's IP I whitelisted. Because of this, I didn't feel it was necessary to setup signer authentication.

I would flip this. Block all incoming connections to the signer and instead have the signer connect to the TF. That way you don't have to worry about a malicious node trying to connect to your signer through attacks such as IP hijacking.
- Jene suispas sûr de comprendre cela.Le signataire doit accepter des demandes de signer.Le signataire lui-mêmene se connecte à rien,ilne répond que de la signature des demandes.
  
  I'm not sure I understand this. The signer needs to accept requests to sign. The signer itself doesn't connect to anything, it only responds to signing requests.
  - 3
  - 2019-01-31
  - lostdorje
- Ceciest auniveau de la connexion.Le signataire devrait émettre la demande.Cela signifie que celapeutpotentiellement être derrière un NAT,tel qu'un routeur à domicile,et vousn'avezpasbesoin d'ouvrir deportpour rendre le signataire accessible depuis lemondeextérieur. Celan'affectepas lamanière dont les demandes de signature sont émises.Celan'affecte que quiinitie la connexion TCP.
  
  This is on the connection level. The signer should issue the request. It means that it can potentially be behind a NAT, such as a home router, and you don't need to open any port to make the signer accessible from the outside world. This doesn't affect how signing requests are issued. It only affects who initiates the TCP connection.
  - 1
  - 2019-02-01
  - adrian

Luke Youngblood · Accepted Answer · 2019-01-30

6

2019-01-30

Lepare-feu du signatairen'autorise que les connexions auport de signataire àpartir dunœud VPS IPi Whitelisted. Pour cette raison,je n'aipaseu raison de configurer l'authentification du signataire.

C'est laprincipalepréoccupation de sécurité quej'aurais. Engénéral,votre configurationesttoutefois sécurisée,cependant,lesprincipaux risques sont les suivants:

Parce que le signatairen'a aucune authentification,quiconquepouvant se connecter à votre système de cuissonpeuten quelque sorte signer desmessages avec le signataire distant,y compris letransfert de solde de votre obligation/dépôt.
La cléprivée de votre signatairepourrait également êtreexposée à un risque defonctionnement sur un VPS,car denombreuxfournisseurs VPSne protègentpas correctement contre les attaques de canal latéraux,ce quipourraitpermettre aufournisseur VPS ou à un autre client de voir le contenu de lamémoire. de votre VMet exposez la cléprivée.

Une autreméthode sécuriséepouvant êtrefaible coût:

Obtenez unpetit serveur Linux que vouspouvezexécuter à lamaison. Celapourrait être un PC utilisétant que vous avez 2 Go demémoire oupluset suffisamment d'espace disquepour leblockchain (actuellement 73 Go àpartir dejanvier 2019).
Utilisez ungrand livrepour stocker vos clésprivées.
Demandez au Baker Connect dans - Modeprivé auxnœuds de démarrage TF,comme vous lefaites déjà,à l'aide de votre connexion Internet Home.

Merci!Ah,ok ouaisje dois configurer l'authentification.Et àpropos de la cléprivée,après avoirentré lemot depasse de la clé,il vivraen mémoirenon cryptée. Àpropos dupetit serveur Linux,mon IPestfourni via DHCPet change souventpour une raison quelconque due àmonfournisseur Internet.Cette adresse IP changeanten'est-ellepas unproblèmepour les autresnœuds (nœuds de TF)en contactantmonnœud?

Thanks! Ah, ok yeah I should setup authentication. And right about the private key, after I enter the password for the key it will live in memory unencrypted. About the small Linux server, my IP is provided via DHCP and changes often for whatever reason due to my internet provider. This changing IP isn't a problem for other nodes (the TF nodes) contacting my node?
- 1
- 2019-01-30
- lostdorje
Si vous utilisez `-private-Mode`,vos connexions sonttoutes sortantes detoutefaçon (votrenœudbloquera les connexionsentrantesinattendues) afin que d'une adresse IP dynamiquene soitpas unproblème.

If you're using `--private-mode` your connections are all outbound anyway (your node will block any unexpected inbound connections) so having a dynamic IP address won't be a problem.
- 1
- 2019-01-30
- Luke Youngblood