Appearance
Solana 验证器安全最佳实践
作为 Ubuntu 计算机的系统管理员,需要具备系统的专业技术知识及最佳安全实践。以下列表应能帮助您入门,并被视为确保系统安全的最低要求。
保持系统更新
确保定期更新 Ubuntu 系统中的软件包。过时的软件包可能包含已知的安全漏洞,黑客可能会利用这些漏洞。一个好的做法是至少每周更新一次。要更新你的系统,请执行以下操作:
sudo apt update
sudo apt upgrade
不要将你的取款密钥存储在验证器机器上。
您的取款密钥赋予运维人员对投票账户的完全控制权。这是高度敏感的信息,不应存储在验证器本身上。
对于取款密钥管理,有多种选择。一些操作员选择使用硬件钱包或纸钱包来保存取款密钥对。另一种选择是多重签名,其中多重签名的每个密钥都是一个硬件钱包或纸钱包。无论您选择哪种方式,请确保授权的取款密钥被安全存储,并且它是在一台可信的计算机(而非您的验证器计算机)上生成的。
再次强调,取款密钥对任何时候都不应存储在您的验证器上。
不要以 Root 用户身份运行 Solana 验证器。
以root用户身份运行应用程序可能会让初期设置变得更容易,但这是一种不好的做法。
如果您的系统中存在漏洞,当 Solana 应用程序以root
用户身份运行时,黑客可能获得完全访问权限。因此,建议您参考设置说明,创建一个名为sol
的用户,并以sol
用户身份运行应用程序。这样可以更好地限制潜在的安全风险,提高系统的安全性。
关闭未使用的端口
你的系统应关闭所有不需要对外开放的端口。一个常见的关闭端口的防火墙是ufw
(简易防火墙)。你可以在Digital Ocean找到使用ufw
的指南。
使用 fail2ban 防止暴力攻击
fail2ban 是一款网络安全工具,它会检查您的日志中是否存在可疑的登录尝试,并在多次尝试后禁止这些IP地址。这将有助于减轻针对您服务器的暴力破解攻击。
默认设置应该可以通过简单安装 fail2ban
即可开箱即用:
sudo apt install fail2ban
不要使用密码认证进行 SSH 登录
除了安装 fail2ban
外,还建议禁用基于密码的SSH访问认证。推荐使用SSH密钥认证方式。