by 慢雾安全团队 & Joinsec Team
- 审计超级节点在公网暴露服务的安全状况,查找传统安全中的常见安全问题
- 审计超级节点架构的抗 DDoS 能力
- 针对 EOS 特性,进行定制化载荷攻击测试,检测整体框架壮硕性
- 查找可造成整个节点停止出块的漏洞问题
- 架构缺陷造成的单点阻塞攻击就能导致节点瘫痪的问题
- 服务错误配置导致服务器可被远程攻击及控制的问题
- 节点敏感信息泄露(特别是服务器 SSH 连接私钥在 GitHub 上泄漏)等问题
审计以节点自我审计为主(许多敏感的服务器与操作不应该直接暴露给第三方,需要依赖节点自我审计),安全团队提供职业的指导与协作配合,这样达到最高效及最全面的效果。
- BP 服务器是否达到与外网的充分隔离,保证若有外网恶意攻击不会直接影响BP服务器出块
- BP 是否多链路设计,防止出现单点故障(或针对单点的 DDoS )导致 BP 无法与其他节点同步
- 节点是否有必要的安全加固(如是否在一些核心通信节点外围正确的部署高防抵御 DDoS 攻击,以及适当的部署 HIDS)
- 是否有对非必要的节点 RPC 服务进行限制
- 若开启 RPC 服务,是否有禁用不必要的
wallet_plugin、wallet_api_plugin及producer_api_plugin - RPC 是否启用 SSL
- Active 多签密钥是否配置正确
- 是否开启日志记录,有条件下是否有开启更多安全日志记录插件等
- max-clients 参数配置是否合理,是否易遭受 P2P 连接打满连接数,导致无法同步
- 是否使用非 root 权限启动节点程序
- 是否更改 SSH 服务默认端口,服务器 SSH 是否配置白名单,并且设置只允许 key(并对 key 加密)登录,禁止密码登录
- 服务器提供商是否是优质的安全供应商,构建基础设施安全需要耗费巨量经费与精力,若选择一些小型服务商及可能出现服务器被攻击就被服务商主动断网的情况。所以站在巨人的肩膀上是个非常高性价比与安全的选择,经过测试目前 UCloud、AWS、Google Cloud 等拥有非常好的抗攻击与攻击后自我恢复能力。
- 节点公网 IP 真实开放端口服务审计,防止运维人员未正确配置服务与安全规则导致脆弱点暴露。
- 审计节点对抗全网扫描,隐藏真实公网IP的能力。比如 BP 节点是否使用默认端口配置(如使用默认端口 8888、9876 这类特征端口等)导致容易被全网扫描定位,及攻击利用(目前我们已经知道有部分测试节点遭遇了 RPC 扫描与恶意调用)。
- 审计节点敏感信息是否在公网上泄漏,如在 GitHub 上暴露等。
- 审计 RPC 端口是否可进行恶意调用。
- 若节点部署除 EOS 主程序外的其他程序,则针对第三方程序进行针对性脆弱性攻防审计。
- 审计节点是否有定制合适的应急响应方案。
- 针对 P2P 端口的 Layer4 层的抗 UDP Flood 、TCP Flood 等(含各种主流反射型攻击)进行实战型测试。利用真实的攻击流量,来检验节点的的稳定性。
- 针对 RPC 端口的 Layer7 层的抗 CC 攻击进行实战型测试。利用大量攻击节点高并发请求消耗服务器性能来检测节点稳定性。
在此非常感谢
- HelloEOS
- EOS Asia
- EOS Store
- EOSBIXIN
- EOS Pacific
- UnlimitedEOS
- EOS Cannon
- EOSpace
- Blockgenic
- EOSeco
- EOSLaoMao
- OneChain
- EOS Store
- EOS Beijing
- MotionEOS
- EOSvillage
- EOS AntPool
- EOS Gravity
等社区节点参与到节点安全测试中,为社区安全积累了宝贵的数据。