本頁面使用機器翻譯自英語，可能包含錯誤或不清楚的語言。如需最準確的信息，請參閱英文原文。由於更新頻繁，部分內容可能與英文原文有出入。請加入我們在 Crowdin 上的努力，幫助我們改進本頁面的翻譯。 (Crowdin translation page, Contributing guide)

節點安全

節點安全是安全區塊鏈網絡的一個重要方面。 根據節點的類型，操作員需要注意安全性。

• 共識節點（CN）：CN 負責提出和驗證新區塊。 被入侵的 CN 可以創建惡意區塊或破壞區塊鏈。 當然，少數節點的不當行為會被 BFT 共識所阻止。 不過，它們仍可能導致壞塊或輪換，從而降低網絡的穩定性。 因此，核心小區運營商應負責任地維護其節點。
• 代理節點（PN）：PN 代表 CN 與互聯網上的節點通信。 雖然 PN 本身不會簽署區塊，但 PN 的安全漏洞會破壞網絡。 其 P2P 密鑰可用於連接 CN 的限制性網絡。 被入侵的 PN 還能使垃圾郵件過濾器等交易過濾失效。
• 端點節點（EN）：EN 為應用程序提供對網絡的公共訪問。 雖然 EN 無權操縱區塊，但 EN 的安全漏洞會帶來信任問題。 被入侵的 EN 可以提供虛假信息，包括區塊數據和賬戶狀態。 如果應用程序直接連接到 EN，它就會放棄或審查傳入的交易。

安全行動

儘可能遵循最佳安全實踐。 僅舉幾例：

• 及時更新操作系統和安裝的軟件。
• 通過禁用遠程 root 登錄、關閉基於密碼的登錄和選擇公鑰身份驗證來增強 SSH 的安全性。
• 始終在專用機器上運行節點。 為了降低通過供應鏈攻擊惡意軟件的風險，請不要安裝其他軟件，尤其是連接互聯網的軟件。 機器或虛擬機只能用於節點操作。
• 安裝防火牆。 儘量減少開放端口，並將維護和操作員 IP 地址列入白名單。 打開 SSH、RPC 或調試端口時要小心。 對於 CN 和 PN，p2p 端口應僅限於明確的對等 CN 和 PN IP 列表。 即使 p2p 協議棧存在漏洞，攻擊機會也會被有效阻止或限制在已知節點範圍內。
• 優先考慮雲安全。 當節點在雲虛擬機上運行時，應根據雲提供商的最佳實踐妥善管理雲賬戶（如 AWS IAM 角色）。 雲賬戶可能無法訪問 SSH，但可以複製磁盤內容或打開串行控制檯。

鑰匙安全

節點主要管理兩種加密密鑰。

• 節點密鑰或 p2p 密鑰：32 字節的 secp256k1 ECDSA 私鑰。 它用於 p2p rlpx 通信和區塊簽名。
• BLS 節點密鑰：32 字節 BLS12-381 私有密鑰。 它用於簽署區塊中的 RANDAO 字段。

由於簽名必須在無人值守的情況下自動進行，這些密鑰必須存儲在磁盤上或通過命令行輸入。 此時，節點安全對於保護密鑰不被盜至關重要。

今後，節點可支持將密鑰存儲在外部提供商（如密鑰管理系統（KMS）或硬件安全模塊（HSM））中。 需要注意的是，即使有了這些密鑰管理機制，節點安全仍然很重要。 雖然密鑰無法複製，但被入侵的節點仍可啟動惡意有效載荷的簽名。 除了鑰匙失竊，鑰匙丟失也是需要管理的風險之一。 建議將節點密鑰備份到加密的密鑰存儲文件中，並保存在離線存儲器中。