Si estás ejecutando tus nodos o planeas ejecutar en los nodos de la red principal, ten en cuenta que el peor escenario es que alguien robe tus claves. Porque si ejecutan un nodo con tus claves, y la red detecta 2 señales con la misma clave, tus fondos pueden desaparecer, ya que es una de las principales penalizaciones.
El enfoque de esta breve guía es proteger sus claves (archivos pem) en los nodos de servidor Linux.
No profundizo en cómo hacer todas las reglas, puedes «googlearlas» o preguntar en Elrond Validators Telegram. Cuando apliques todos los cambios en el sistema, ten cuidado de no negarte el acceso a ti mismo, siempre puedes mantener otra sesión ssh abierta como acceso de respaldo.
Abordaré el problema en dos entornos de riesgo diferentes, el lado del servidor y el lado del cliente (la máquina desde la que se está conectando al servidor).
Riesgos del lado del servidor
Lo que necesitamos aquí es asegurarnos de que sea realmente difícil para alguien acceder al servidor en sí. Sigo algunas reglas:
Sin política de root
Siempre cree un usuario secundario, puede nombrarlo «elrond» y agregarlo al grupo sudo. Denegar el acceso a root en ssh. Hágalo con cuidado y siempre con otra sesión ssh abierta por si acaso.
Deshabilitar VNC
Permita solo el acceso ssh al servidor. Desactive todos los demás servicios de acceso remoto como VNC. Por lo general, si alquila un VPS o un servidor bare metal, tiene un panel de control en el sitio web del proveedor y puede deshabilitar el acceso VNC o similar desde allí.
Cambiar el puerto ssh y habilitar el firewall
No use el puerto 22 predeterminado, puede cambiarlo fácilmente siguiendo esta guía.
Siempre configure ufw para denegar todas las entradas y permita solo el puerto ssh que personalice
Certificados RSA
Cree una clave rsa desde su máquina cliente e instálela en el servidor. Es una forma más segura de acceder a su servidor que los inicios de sesión con contraseña (predeterminado). Si no lo hace nunca, tenga paciencia e intente fallar hasta que lo tenga. Tenga en cuenta que el certificado se crea desde el lado del cliente y que instala en el servidor solo la clave pública del certificado. Crear un certificado desde clientes Mac o Linux es muy fácil, desde Windows y Putty puede ser más complicado, pero es una regla de seguridad importante. Siempre cree los certificados con frase de contraseña.
Sin Balanzas PEM
Por lo general, keygenerator creará un par de archivos .pem, uno es la clave privada de su nodo y el otro una billetera donde recibirá las recompensas (initialBalancesSk.pem). Debe mantener los archivos pem del nodo en el servidor y no es necesario que guarde allí el de Balances, estos pueden estar en el lado del cliente o en una copia de seguridad USB cifrada.
Riesgos del lado del cliente
Quizás sea la parte más importante, ya que normalmente es más fácil acceder a su máquina Windows que a su servidor Linux.
Máquina de acceso exclusivo
Si nos conectamos a nuestro servidor desde nuestra máquina Windows diaria, el riesgo es alto ya que podemos tener software espía, rastreadores de pulsaciones de teclas, etc. La solución más obvia es tener una «computadora portátil vieja», borrarla e instalar un sistema limpio en ella (prefiero el escritorio Linux). No lo use nunca para navegar por la web, solo para conexiones ssh a sus servidores. Si no tiene otra «computadora portátil antigua», aún puede usar la máquina virtual o las soluciones de arranque dual.
Riesgo de VPN y wifi
Intenta acceder a tus servidores siempre mediante un servicio VPN como NordVPN, especialmente para evitar el riesgo de que te pirateen tu router WiFi. Este es un problema que hay que evitar, porque normalmente no es tan difícil escuchar el tráfico wifi.
Copias de seguridad cifradas de PEM
Como sabe que necesita copias de seguridad de sus claves de nodo, tenga cuidado de dónde y cómo las guarda. Si prefiere tenerlos en una carpeta en su máquina cliente, guárdelos siempre como un archivo encriptado .zip o .tar.gz, con contraseña segura y encriptación aes256. Puede hacerlo desde el lado del servidor, antes de descargarlo a su máquina.
Otra solución es crear una unidad USB encriptada y ponerla en ella. Si utiliza el cliente de Windows, Mac o Linux O.S. puede buscar soluciones al hacerlo.
Solo guardo archivos pem sin cifrar en el lado del servidor.
—————————————————————————
Si tienes más consejos de seguridad para agregar, contribuye aquí con un comentario.
Nos vemos en Elrond Validators Telegram