原文鏈接:
https://github.com/slowmist/eos-bp-nodes-security-checklist/blob/master/audit.md
by 慢霧安全團隊 & Joinsec Team
參考:EOS超級節點安全執行指南
1.1 架構審計
- BP 服務器是否達到與外網的充分隔離,保證若有外網惡意攻擊不會直接影響BP服務器出塊
- BP 是否多鏈路設計,防止出現單點故障(或針對單點的 DDoS )導致 BP 無法與其他節點同步
- 節點是否有必要的安全加固(如是否在一些核心通信節點外圍正確的部署高防抵禦 DDoS 攻擊,以及適當的部署 HIDS)
1.2 RPC 安全審計
- 是否有對非必要的節點 RPC 服務進行限制
- 若開啟 RPC 服務,是否有禁用不必要的 wallet_plugin、wallet_api_plugin及producer_api_plugin
- RPC 是否啟用 SSL
1.3 安全配置審計
- Active 多籤密鑰是否配置正確
- 是否開啟日誌記錄,有條件下是否有開啟更多安全日誌記錄插件等
- max-clients 參數配置是否合理,是否易遭受 P2P 連接打滿連接數,導致無法同步
- 是否使用非 root 權限啟動節點程序
- 是否更改 SSH 服務默認端口,服務器 SSH 是否配置白名單,並且設置只允許 key(並對 key 加密)登錄,禁止密碼登錄
2. 安全團隊審計
2.1 基礎設施審計
- 服務器提供商是否是優質的安全供應商,構建基礎設施安全需要耗費巨量經費與精力,若選擇一些小型服務商及可能出現服務器被攻擊就被服務商主動斷網的情況。所以站在巨人的肩膀上是個非常高性價比與安全的選擇,經過測試目前 UCloud、AWS、Google Cloud 等擁有非常好的抗攻擊與攻擊後自我恢復能力。
- 節點公網 IP 真實開放端口服務審計,防止運維人員未正確配置服務與安全規則導致脆弱點暴露。
2.2 節點脆弱性審計
- 審計節點對抗全網掃描,隱藏真實公網IP的能力。比如 BP 節點是否使用默認端口配置(如使用默認端口 8888、9876 這類特徵端口等)導致容易被全網掃描定位,及攻擊利用(目前我們已經知道有部分測試節點遭遇了 RPC 掃描與惡意調用)。
- 審計節點敏感信息是否在公網上洩漏,如在 GitHub 上暴露等。
- 審計 RPC 端口是否可進行惡意調用。
- 若節點部署除 EOS 主程序外的其他程序,則針對第三方程序進行針對性脆弱性攻防審計。
- 審計節點是否有定製合適的應急響應方案。
2.3 抗 DDoS 能力審計
- 針對 P2P 端口的 Layer4 層的抗 UDP Flood 、TCP Flood 等(含各種主流反射型攻擊)進行實戰型測試。利用真實的攻擊流量,來檢驗節點的的穩定性。
- 針對 RPC 端口的 Layer7 層的抗 CC 攻擊進行實戰型測試。利用大量攻擊節點高併發請求消耗服務器性能來檢測節點穩定性。
致謝
在此非常感謝
- HelloEOS
- EOS Asia
- EOSBIXIN
- EOS Pacific
- UnlimitedEOS
- EOS Cannon
- EOSpace
- Blockgenic
- EOSeco
- EOSLaoMao
- OneChain
等社區節點參與到節點安全測試中,為社區安全積累了寶貴的數據。
= END =
閱讀更多 IMEOS 的文章