NEO共識節點推薦搭建步驟

目錄

1 共識節點推薦搭建步驟
1.1 遠程訪問
1.2 硬件1.3
1.3 密碼
2 SSH認證密鑰
3 服務供應商具體配置
4 Linux服務器配置
4.1 使用su時
4.2 以管理員身份登陸時
4.2.1 防火牆
4.2.2 自動安全更新
4.2.3 fail2ban
4.2.4 雙因素認證
4.2.5 監控
4.2.6 登陸成功郵件通知
4.2.7 Logwatch
4.2.8 黑名單USB和防火牆存儲
4.2.9 共識節點安裝與運行
4.3 其餘安全推薦

共識節點推薦搭建步驟

遠程訪問
機器的遠程訪問僅限使用公鑰與Yubico4/NEO實體公鑰進行SSH認證。

硬件
出於安全考慮，節點不該在共享的機器上運行，而應在Deltalis, Equinix及A1 Arsenal等安全性較高的數據中心經過託管的方式運行。下列laaS供應商硬件配置可做爲2018年的理想配置參考。

由於共識節點有計算功能，所以應按期檢查網絡硬件要求以保證最優性能。

若是沒法進行託管，推薦laaS供應商與最低配置以下：

OVH EG-32
CPU: Intel Xeon E3-1270v6 – 4c/8t – 3.8GHz
RAM: 32GB DDR4 ECC 2133 MHz
SSD: softraid-1 2x450GB NVMe
NET: 1 Gbps
Packet Workhorse
CPU: Intel® Xeon E3-1240v5 – 4c/8t – 3.5GHz
RAM: 32 GB DDR3 ECC 1333 MHz
SSD: softraid-1 2x120GB Enterprise SSD
NET: 2 x 1 Gbps Bonded
Liquidweb
CPU: Intel Xeon E3-1275v6 – 4c/8t – 3.8GHz
RAM: 32 GB DDR4 ECC
SSD: softraid-1 2x240GB Enterprise SSD
NET: 1 Gbps

密碼
使用密碼管理工具存放本次搭建過程當中所需的每一個密碼（推薦使用Lastpass和Dashlane），全部服務均應啓用雙因素認證和實體密鑰（若有）。

全部密碼均應設置高強度密碼（使用此 lastpass方案）。

SSH認證密鑰

僅限使用公鑰訪問SSH認證可起到密鑰保護的做用，因此咱們要求使用實體OpenPGP智能卡進行SSH認證。咱們推薦使用Ubikey 4。有關Yubikey PGP的更多性能請參考官方文檔.

• 完整Windows指南
• 完整Linux/MacOS指南

更改默認管理員PIN碼 12345678 與PIN碼 123456 爲可記憶的安全密碼。

將您的私鑰添加到智能卡激活的認證代理服務後，gpg-agent就會與gpg2綁定——這是咱們推薦的步驟。

服務供應商具體配置

打開供應商防火牆（不在OS設置中），設置爲屏蔽所有，端口2二、20333與10333除外。如有其餘服務共享同一帳戶，請務必確保將節點放置在反關聯性羣組中。

Linux服務器配置

需給每一個節點在兩個轄區分別配置2個管理員。每一個管理員都應有一個能夠登陸系統的專屬用戶和一個(SSH無權訪問的）第三方共識用戶，而且僅可經過該第三方共識用戶訪問共識節點的私鑰（注意本指南使用的Ubuntu版本是16.04 LTS）。

首次登陸時，設置一個強效根密碼，但僅在遺失sudo密碼（或進行撤銷操做）時才需使用根密碼；

su (sudo su on Ubuntu)
passwd

仍在使用su時
Ubuntu更新包：

apt-get update
apt-get upgrade

CentOS：

yum update

添加管理員用戶（兩個管理員重複操做）：

useradd -m node
mkdir /home/node/.ssh
chmod 700 /home/node/.ssh

本指南是基於bash編制的，因此在shell下拉列表中將bash設爲偏好值：

usermod -s /bin/bash node

從管理員的 ssh-add -L中將Yubikey公鑰複製到authorized_keys：

vim /home/node/.ssh/authorized_keys

許可設置:

chmod 400 /home/node/.ssh/authorized_keys
chown node:node /home/node -R

設置管理員密碼（這就是sudo密碼）：

passwd node

接下來咱們就能夠設置管理員的sudo了，添加 %sudo 羣組，註釋非 root的任何其餘羣組時使用#：

visudo

文件格式以下：

# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"
​
# Host alias specification
​
# User alias specification
​
# Cmnd alias specification
​
# User privilege specification
root    ALL=(ALL:ALL) ALL
​
# Members of the admin group may gain root privileges
#%admin ALL=(ALL) ALL
​
# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL
​
# See sudoers(5) for more information on "#include" directives:
​
#includedir /etc/sudoers.d

將管理員添加到sudo羣組：

usermod -aG sudo node

需登陸並登出管理員帳戶後才能完成更新：

su -l node
exit

再回到su，如今設置爲僅可經過公鑰與管理員登陸SSH：

vim /etc/ssh/sshd_config

應添加下列行或在原有的基礎上修改爲以下形式，在AllowUsers中添加全部管理員並用空格鍵隔開：

X11Forwarding no
PermitRootLogin no
PasswordAuthentication no
AllowUsers node
LoginGraceTime 30
AllowTcpForwarding no
TCPKeepAlive no
AllowAgentForwarding no
DebianBanner no
Banner /etc/ssh/sshd-banner

設置SSH的法律聲明：

echo "WARNING:  Unauthorized access to this system is forbidden and will be
prosecuted by law. By accessing this system, you agree that your actions
may be monitored if unauthorized usage is suspected." >> /etc/ssh/sshd-banner

添加用戶運行共識節點：

useradd consensus
mkdir /home/consensus
chown consensus:consensus /home/consensus -R

爲共識節點建立一個很是強效的密碼，應可安全地被兩個管理員共享：

passwd consensus

su的最後一步就是以管理員身份登陸後重啓SSH。

sudo systemctl restart sshd.service

以管理員身份登陸時

防火牆
首先在Debian（Ubuntu）中安裝防火牆並鎖定節點：

sudo apt-get install ufw

CentOS:

sudo yum install epel-release
sudo yum install ufw

在vim /etc/default/ufw中將IPV6設爲yes，並設置爲僅容許使用端口：

sudo ufw default deny incoming
sudo ufw allow ssh
sudo ufw allow 10333
sudo ufw allow 20333
sudo ufw disable
sudo ufw enable

自動安全更新
Ubuntu:

sudo apt-get install unattended-upgrades
sudo vim /etc/apt/apt.conf.d/10periodic

更新以匹配：

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::AutocleanInterval "7";
APT::Periodic::Unattended-Upgrade "1";

禁止不安全的自動更新：

sudo vim /etc/apt/apt.conf.d/50unattended-upgrades

更新，未註釋的行有且僅有如下幾行：

Unattended-Upgrade::Allowed-Origins {
    "${distro_id}:${distro_codename}";
    "${distro_id}:${distro_codename}-security";
    "${distro_id}ESM:${distro_codename}";
};

CentOS：
安裝yum-cron並容許安全包更新：

sudo yum -y install yum-cron
sudo systemctl start yum-cron
sudo systemctl enable yum-cron
sudo nano /etc/yum/yum-cron.conf

更改設置以匹配：

update_cmd = security
apply_updates = yes
emit_via = email
email_to = YOUR_EMAIL_TO_RECEIVE_UPDATE_NOTIFICATIONS

有更新時，使用email_to功能插入你想發送提醒的郵件地址。

fail2ban

接下來咱們就來安裝fail2ban，這個工具可禁止防火牆上的可疑IP。該工具的默認值就可以使用，所以簡單的安裝就夠了。Ubuntu：

sudo apt-get install fail2ban

CentOS：

sudo yum install fail2ban

雙因素認證
將2FA與SSH的實體OpenPGP密鑰相結合是強效認證設置。在Ubuntu中使用下列代碼安裝：

sudo apt-get install libpam-google-authenticator

CentOS (啓用epel——同上）：

sudo yum install google-authenticator

安裝完畢後，以管理員身份運行指令時遵循每步指令，（回答y/y/y/n/y），先以管理員身份（兩個）進行這步操做，完成後再更新PAM得到2FA：

google-authenticator

接下來編輯SSH配置來得到2FA設置許可：

sudo vim /etc/pam.d/sshd

在文件結尾添加如下行：

auth required pam_google_authenticator.so

在Ubuntu中放入密碼提示的註釋行：

# Standard Un*x authentication.
#@include common-auth

CentOS：

#auth       substack     password-auth

編輯sshd_config文件要求進行2FA認證：

sudo vim /etc/ssh/sshd_config

編輯文件容許認證，並添加認證方法行：

ChallengeResponseAuthentication yes
AuthenticationMethods publickey,password publickey,keyboard-interactive

重啓SSHD服務：

sudo systemctl restart sshd.service

在保持當前SSH窗口運行的同時打開另外一個窗口，並登陸以確認設置能正確運行。

監視
保持對共識節點的監視對於發現問題及改善NEO項目而言是相當重要的。咱們僅會經過SSH通道安裝並訪問網絡數據庫（保留防火牆攔截設置）。

安裝預購建靜態版本（以減小攻擊面並杜毫不必要的依賴性）：

bash <(curl -Ss https://my-netdata.io/kickstart-static64.sh)

訪問方法是建立SSH通道並打開瀏覽器訪問localhost：19999：

ssh -f node@SERVERIP -L 19999:SERVERIP:19999 -N

登陸成功郵件通知

sudo apt-get install mailutils

CentOS：

sudo yum install mailx

編輯默認bash檔案：

sudo vim /etc/profile

在文件結尾添加如下行，編輯郵箱使其可接收登陸通知：

SIP="$(echo $SSH_CONNECTION | cut -d " " -f 1)"
SHOSTNAME=$(hostname)
SNOW=$(date +"%e %b %Y, %a %r")
echo 'Someone from '$SIP' logged into '$SHOSTNAME' on '$SNOW'.' | mail -s 'SSH Login Notification' 'YOUR@EMAIL.HERE'

Logwatch
在Ubuntu上配置logwatch以發送節點的平常活動總結（一般無活動）：

sudo apt-get install logwatch

CentOS：

sudo yum install logwatch

如今添加cron job將總結髮送到你的郵箱：

sudo vim /etc/cron.daily/00logwatch

將默認執行命令變動爲：

/usr/sbin/logwatch --output mail --mailto YOUR@EMAIL.HERE --detail high

黑名單USB與防火牆存儲
咱們會把不須要的模塊放入黑名單以減小攻擊面，WiFi和藍牙一般已經與服務器內核切斷了（需驗證！），所以僅需關閉USB存儲。

sudo vi /etc/modprobe.d/blacklist.conf

添加如下行：

blacklist usb-storage
blacklist firewire-core

安裝並運行共識節點
在Unbuntu上安裝前提條件：

sudo apt-get install unzip sqlite3 libsqlite3-dev libleveldb-dev libunwind-dev

CentOS：

sudo yum install unzip leveldb-devel libunwind-devel

以共識節點用戶的身份登陸：

su consensus
cd ~

在發行版中下載、驗證校驗和、解壓最新版neo-cli客戶端：

wget https://github.com/neo-project/neo-cli/releases/download/v2.5.2/neo-cli-YOURDISTRIBUTION.zip
sha256sum neo-cli-YOURDISTRIBUTION.zip
unzip neo-cli-YOURDISTRIBUTION.zip
cd neo-cli
chmod u+x neo-cli

複製節點運行的設置（測試網或主網）：

mv protocol.json protocol.json.back
cp protocol.testnet.json protocol.json

若是這是首次操做，你須要給共識節點建立錢包：

./neo-cli
neo> create wallet /home/consensus/cn_wallet.json
password: SOMESTRONGPASSWORD
password: SOMESTRONGPASSWORD

複製start_consensus腳本：

cd ~
wget https://raw.githubusercontent.com/CityOfZion/standards/master/assets/nodes/start_consensus.sh
chmod u+x start_consensus.sh

編輯目錄使其與你的錢包文件地址及密碼匹配。如今就能夠在supervisord的控制下在Ubuntu上運行了：

sudo apt-get install supervisor

CentOS：

sudo yum install supervisor

配置supervisord以執行start_consensus（在須要的狀況下編輯文件）：

wget https://raw.githubusercontent.com/CityOfZion/standards/master/assets/nodes/supervisord.conf
chmod 700 supervisord.conf
cp supervisord.conf /etc/supervisord.conf
sudo supervisord

添加初始腳本以便在系統重啓時自動運行。

這就是所有步驟，如今登出服務器並僅在必須部署更新或檢測到惡意行爲時再從新登陸。

其餘安全推薦

• GRUB密碼
• 磁盤加密
• 開啓TCP SYN Cookie功能（net.ipv4.tcp_syncookies = 1 -> /etc/sysctl.conf）

原文翻譯自CoZ：https://github.com/CityOfZion...