Para sa pagpapatibay ng iyong server
Last updated
Last updated
Sa iyong client machine (halimbawa, ang iyong laptop), buksan ang iyong terminal (sa Mac) o Windows Powershell (sa Windows) at patakbuhin ang sumusunod:
Pindutin ang Enter
at mag-set ng isang password upang i-encrypt ang iyong SSH private key.
Ang inaasahang output:
Samantalang nananatili ang pribadong bahagi ng SSH keypair sa iyong laptop, kailangan nating idagdag ang pampublikong bahagi ng key sa iyong Node.
Sa iyong laptop, patakbuhin ito:
Ilagay ang password ng iyong NUC device kapag hiningi.
Maaari mong gawing mas mahirap para sa mga attacker na ma-access ang iyong node sa pamamagitan ng pagbabago ng iyong SSH port mula sa default na port 22.
Pumili ng isang bilang ng port sa pagitan ng 1024–49151 at suriin na hindi ito ginagamit sa pamamagitan ng pagpapatupad ng:
Inaasahang output: Wala. Halimbawa, Kung walang output, ibig sabihin na ang iyong piniling port ay malaya gamitin.
Susunod, babaguhin natin ang numero ng iyong SSH port at patitigilin ang remote password login nang sabay.
I-takbo ang sumusunod na command upang buksan ang file ng konfigurasyon ng SSH server.
Hanapin ang linya na Port 22
sa file. Baguhin ito sa iyong napiling numero ng port at pagkatapos tanggalin ang #
prefix (kung mayroon) upang i-uncomment ang linya.
I-uncomment ang #AuthorizedKeysFile
kung ito ay naka-comment (sa pamamagitan ng pagtanggal ng # sa unahan nito)
Baguhin ang KbdInteractiveAuthentication yes
sa KbdInteractiveAuthentication no
at i-uncomment (sa pamamagitan ng pagtanggal ng #
sa unahan nito)
Baguhin ang PasswordAuthentication yes
sa PasswordAuthentication no
at i-uncomment (sa pamamagitan ng pagtanggal ng #
sa unahan nito)
Baguhin ang #PermitRootLogin prohibit-password
sa PermitRootLogin no
, tanggalin ang #
prefix.
Kapag tapos ka na, i-save gamit ang Ctrl+O
at Enter
, pagkatapos mag-exit gamit ang Ctrl+X
.
Ngayon ay i-restart natin ang SSH server upang ma-register ang bagong mga setting:
Ngayon ay maaari mo nang ma-access ang iyong node sa malayo gamit ang iyong SSH private key lamang.
Ang command para sa iyong SSH connection ay babaguhin nang kaunti mula noon sa:
Ang mga pangunahing patakaran na ipapatupad natin ay ang mga sumusunod:
I-deny ang lahat ng papasok na trapiko bilang default
Payagan ang lahat ng lumalabas na trapiko bilang default
Payagan ang papasok na trapiko sa pamamagitan ng port <iyong_piniling_SSH_port> para sa SSH access
Payagan ang papasok na trapiko sa pamamagitan ng port 30303 para sa Nethermind upang makakonekta sa iba pang mga node
Payagan ang papasok na trapiko sa pamamagitan ng port 9000 para sa Teku upang makakonekta sa iba pang mga node
Payagan ang papasok na trapiko sa pamamagitan ng port 3000 para sa Grafana upang maipakita ang mga monitoring dashboard para sa iyong node
Sa mga konfigurasyong ito, mabibigyan mo ng harang ang lahat ngunit apat na posibleng bukas para sa mga potensyal na attacker na pumasok.
Ang mga Port 30303 at 9000 ay gagamitin ng Nethermind at Teku. Gagawa tayo ng mga account ng user na may disabled na root access para sa mga serbisyong ito.
Ang Port 3000 ay ma-access lamang sa loob ng iyong lokal na network (halimbawa, hindi ito inilalantad sa pampublikong internet).
Ang iyong piniling SSH port ay naka-seguro ng iyong SSH private key kaya't halos imposibleng buwagin ang access.
Pagkatapos paganahin ang firewall, suriin ang mga konfigurasyon bago magpatuloy.
You should see something similar to the screenshot below:
Kahit na ang pagkakaroon natin ng SSH key access ay nangangahulugang kailangan ng isang mananalakay ng 25 milyong taon upang masubukan ang lahat ng mga kombinasyon, halina’t gumawa ng mas mahirap pa para sa kanila - sa pamamagitan ng pag-limit sa bilang ng mga pagtatangka sa bawat IP address sa 5 subok at pag-block sa kanila pagkatapos.
Mag-install ng software:
Buksan ang configuration file:
Idagdag ang sumusunod na nilalaman sa configuration file:
Kapag tapos ka na, i-save at i-exit gamit ang Ctrl+O
at Enter
, pagkatapos Ctrl+X
.
Sa wakas, i-restart ang service:
Idagdag ang sumusunod na nilalaman sa configuration file:
Kapag tapos ka na, i-save at i-exit gamit ang Ctrl+O
at Enter
, pagkatapos Ctrl+X
.
Sa wakas, i-restart ang service:
Kung nakakita ka ng mga sumusunod na babala, magpatuloy sa susunod na hakbang.
Kung ang iyong aparato ay tiyak na konektado sa isang pinagmumulan ng kuryente, baguhin ang file na 50unattended-upgrades
nang direkta.
Hanapin ang sumusunod na linya at alisin ang //
na nasa unahan upang ito ay maging epektibo.