1. 首页
  2. 文档
  3. IPFS集群 | IPFS Cluster
  4. 用户文档 | User Documentation
  5. 安全

安全

本节探讨运行IPFS集群时的一些安全注意事项。

在保护对系统的访问时,要考虑IPFS集群中有四种类型的终结点。

内部端点

IPFS集群对等节点使用libp2p加密的流(secio)进行相互通信。默认情况下,此流受共享集群密钥 保护(使用libp2p  专用网络功能)。

端点由cluster.listen_multiaddress 配置密钥控制  ,默认为  /ip4/0.0.0.0/tcp/9096 并表示与其他对等节点建立通信的侦听地址(通过远程RPC调用和共识协议)。

该  共享秘密  通过锁定该端点,以便只保存秘密集群对等节点可以通信控制授权。

如果  secret 配置值为空,则不会阻止任何人将RPC命令发送到集群RPC终端,从而控制集群和IPFS守护程序(至少在pin / unpin / pin ls和swarm connect operations中是这样的。) 因此,当没有设置cluster.secret时,IPFS群集管理员应该小心保持此端点不可访问第三方。

HTTP API端点

IPFS集群对等节点默认提供可以使用SSL配置的HTTP API端点。它还提供了一个libp2p API端点,它可以重用集群libp2p主机或专门配置的libp2p主机。

这些端点由  restapi.http_listen_multiaddress (默认  /ip4/127.0.0.1/tcp/9094)和 restapi.libp2p_listen_multiaddress (如果是特定的  private_key 并  id 在restapi 部分中配置  )控制。

请注意,当重新使用集群libp2p主机来提供libp2p API端点(侦听  0.0.0.0)时,端点将由集群密钥 自动进行身份验证  。

两个端点都支持基本身份验证,  但默认情况下未经身份验证。

访问这些端点允许完全控制IPFS群集,因此当它们打开到localhost之外时,应该对它们进行充分保护。可配置的SSL或libp2p端点提供的安全通道以及基本身份验证允许安全地使用这些端点进行远程管理。

IPFS和IPFS代理端点

IPFS集群对等节点使用IPFS HTTP API(默认情况下,通过普通的,未经身份验证的HTTP)与IPFS守护程序(通常在localhost上运行)进行通信  /ip4/127.0.0.1/tcp/9095

IPFS集群对等节点还提供未经ipfshttp.proxy_listen_multiaddress 身份验证的HTTP IPFS代理端点,由默认选项控制 /ip4/127.0.0.1/tcp/9095

访问任何这些端点意味着在一定程度上控制IPFS守护程序和IPFS集群。因此它们localhost 默认运行  。

这篇文章对你有帮助吗?

我们要如何帮助您?