Skip to content

Solana 验证器安全最佳实践

作为 Ubuntu 计算机的系统管理员,需要具备系统的专业技术知识及最佳安全实践。以下列表应能帮助您入门,并被视为确保系统安全的最低要求。

保持系统更新

确保定期更新 Ubuntu 系统中的软件包。过时的软件包可能包含已知的安全漏洞,黑客可能会利用这些漏洞。一个好的做法是至少每周更新一次。要更新你的系统,请执行以下操作:

sudo apt update
sudo apt upgrade

不要将你的取款密钥存储在验证器机器上。

您的取款密钥赋予运维人员对投票账户的完全控制权。这是高度敏感的信息,不应存储在验证器本身上。

对于取款密钥管理,有多种选择。一些操作员选择使用硬件钱包或纸钱包来保存取款密钥对。另一种选择是多重签名,其中多重签名的每个密钥都是一个硬件钱包或纸钱包。无论您选择哪种方式,请确保授权的取款密钥被安全存储,并且它是在一台可信的计算机(而非您的验证器计算机)上生成的。

再次强调,取款密钥对任何时候都不应存储在您的验证器上。

不要以 Root 用户身份运行 Solana 验证器。

以root用户身份运行应用程序可能会让初期设置变得更容易,但这是一种不好的做法。

如果您的系统中存在漏洞,当 Solana 应用程序以root用户身份运行时,黑客可能获得完全访问权限。因此,建议您参考设置说明,创建一个名为sol的用户,并以sol用户身份运行应用程序。这样可以更好地限制潜在的安全风险,提高系统的安全性。

关闭未使用的端口

你的系统应关闭所有不需要对外开放的端口。一个常见的关闭端口的防火墙是ufw(简易防火墙)。你可以在Digital Ocean找到使用ufw的指南。

使用 fail2ban 防止暴力攻击

fail2ban 是一款网络安全工具,它会检查您的日志中是否存在可疑的登录尝试,并在多次尝试后禁止这些IP地址。这将有助于减轻针对您服务器的暴力破解攻击。

默认设置应该可以通过简单安装 fail2ban 即可开箱即用:

sudo apt install fail2ban

不要使用密码认证进行 SSH 登录

除了安装 fail2ban 外,还建议禁用基于密码的SSH访问认证。推荐使用SSH密钥认证方式。