> For the complete documentation index, see [llms.txt](https://docs.dotone.online/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.dotone.online/documentation/dat-wan-asmart-chyn-or-dotone-smart-chain-docs/aatbarsnj/aymn-sazy-aatbarsnj-ha-or-dotone-smart-chain-docs.md). # ایمن سازی اعتبارسنج ها | Dotone Smart Chain Docs هر اعتبارسنج دات‌وان بهتر است عملیات خود را به‌صورت مستقل اجرا کند. هرچه چیدمان زیرساختی اعتبارسنج‌ها متنوع‌تر باشد، تاب‌آوری کلی شبکه نیز بیشتر می‌شود. با توجه به سرمایه و مسئولیتی که در راه‌اندازی یک اعتبارسنج وجود دارد، محافظت از نود در برابر حملات **DoS** و **DDoS** یک انتخاب اختیاری نیست؛ بلکه یکی از الزامات اصلی عملیات اعتبارسنجی است. ## معماری Sentry Node؛ محافظت در برابر DDoS موثرترین راه برای محافظت از اعتبارسنج در برابر حملات مستقیم شبکه، استفاده از معماری **Sentry Node** است. در این ساختار، نود اعتبارسنج شما هرگز به‌صورت مستقیم در معرض اینترنت عمومی قرار نمی‌گیرد. در عوض، یک یا چند Sentry Node؛ که همان Full Nodeهای استاندارد دات‌وان هستند؛ به‌عنوان واسطه میان اعتبارسنج و شبکه گسترده‌تر P2P عمل می‌کنند. ویژگی‌های کلیدی این معماری: * Sentry Nodeها در فضای IP خصوصی فعالیت می‌کنند و مانع دیده‌شدن مستقیم اعتبارسنج می‌شوند. * در صورت هدف قرار گرفتن، Sentry Nodeها به‌سرعت قابل استقرار مجدد هستند و می‌توان IP آن‌ها را تغییر داد. * پیشنهاد بلاک‌ها و رأی‌های اعتبارسنج، از طریق لایه Sentry به‌صورت قابل اتکا به شبکه می‌رسد. * هویت و موقعیت اعتبارسنج شما از دید Peerهای عمومی پنهان می‌ماند. {% stepper %} {% step %} ## مرحله ۱؛ راه‌اندازی نودها یک شبکه خصوصی ایجاد کنید که شامل نود اعتبارسنج و یک یا چند Sentry Node باشد. برای استقرار هر نود، راهنمای راه‌اندازی Full Node را دنبال کنید. اتصال‌های trusted را فقط میان اعتبارسنج و Sentry Nodeهای خودش تنظیم کنید. {% hint style="warning" %} ⚠️ **هشدار:** تحت هیچ شرایطی RPC endpointهای اعتبارسنج خود را در معرض شبکه عمومی قرار ندهید. {% endhint %} {% endstep %} {% step %} ## مرحله ۲؛ افزودن Sentry Nodeها به‌عنوان Static Peer به کنسول هر Sentry Node متصل شوید و برای دریافت اطلاعات `enode` آن، دستور زیر را اجرا کنید: ```bash admin.nodeInfo.enode ``` خروجی، یک URL از نوع `enode` با ساختاری مشابه زیر خواهد بود: ```bash enode://f2da64f49c30a0038bba3391f40805d531510c473ec2bcc7c201631ba003c6f16fa09e03308e48f87d21c0fed1e4e0bc53428047f6dcf34da344d3f5bb69373b@[::]:30306?discport=0 ``` **نکته:** `[::]` نشان‌دهنده آدرس localhost یعنی `127.0.0.1` است. اگر Sentry Nodeها داخل یک شبکه محلی هستند، IP درست هر میزبان را با استفاده از `ifconfig` پیدا کنید. اگر Sentry Nodeها روی سرورهای خارجی قرار دارند، از IP عمومی آن‌ها در URL مربوط به `enode` استفاده کنید. پس از جایگزین کردن `[::]` با IP درست، ورودی‌های `enode` را به فایل `config.toml` نود اعتبارسنج اضافه کنید: ```toml # پنهان کردن اعتبارسنج از public discovery NoDiscovery = true # اتصال فقط به Sentry Nodeها StaticNodes = [ "enode://f2da64f49c30a0038bba3391f40805d531510c473ec2bcc7c201631ba003c6f16fa09e03308e48f87d21c0fed1e4e0bc53428047f6dcf34da344d3f5bb69373b@[10.1.1.1]:30306", "enode://{sentry-node-2-enode}@[10.1.1.2]:30306" ] ``` قرار دادن مقدار زیر: ```toml NoDiscovery = true ``` باعث می‌شود اعتبارسنج شما خودش را به شبکه عمومی P2P معرفی نکند و فقط از طریق Sentry Nodeهایی که به‌صورت مشخص تعریف شده‌اند ارتباط بگیرد. {% endstep %} {% step %} ## مرحله ۳؛ بررسی اتصال‌ها به کنسول نود اعتبارسنج متصل شوید و فعال بودن اتصال به Sentry Nodeها را بررسی کنید: ```bash admin.peers ``` در خروجی باید جزئیات هر Sentry Node تنظیم‌شده را ببینید. اگر یکی از Sentry Nodeها نمایش داده نمی‌شود، موارد زیر را بررسی کنید: * URL مربوط به `enode` * آدرس IP * تنظیمات پورت اتصال {% endstep %} {% endstepper %} ## تنظیمات فایروال قوانین درست فایروال برای جلوگیری از دسترسی غیرمجاز به نود اعتبارسنج ضروری هستند. کلاینت `geth` دات‌وان برای عملکردهای مختلف از چند پورت استفاده می‌کند: | پورت | پروتکل | کاربرد | اقدام پیشنهادی | | ----- | --------- | ----------------------------- | ------------------------------------------------------------ | | 30303 | TCP + UDP | Listener شبکه P2P و کشف نودها | **باز باشد**؛ برای مشارکت در شبکه ضروری است | | 8545 | TCP | JSON-RPC API | **از بیرون مسدود شود**؛ هرگز در معرض دسترسی عمومی قرار نگیرد | | 8546 | TCP | WebSocket API | **از بیرون مسدود شود**؛ فقط برای استفاده داخلی | ## قوانین اجرایی برای حفظ امنیت نود، این قوانین باید اعمال شوند: * ترافیک ورودی و خروجی روی پورت `30303` برای اتصال P2P مجاز باشد. * هرگونه دسترسی خارجی به پورت‌های `8545` و `8546` در سطح فایروال مسدود شود. * اگر از معماری Sentry Node استفاده می‌کنید، دسترسی P2P روی نود اعتبارسنج فقط به IP آدرس‌های Sentry Nodeهای خودتان محدود شود. * اگر ماژول HTTP برای راه‌اندازی شما ضروری نیست، آن را به‌طور کامل غیرفعال کنید. ## چک‌لیست امنیتی پیش از فعال شدن روی Mainnet، موارد زیر را بررسی کنید: * نود اعتبارسنج به‌صورت مستقیم از اینترنت عمومی قابل دسترسی نیست. * Sentry Nodeها راه‌اندازی شده‌اند و به‌عنوان peerهای فعال تأیید شده‌اند. * مقدار `NoDiscovery = true` در فایل `config.toml` اعتبارسنج تنظیم شده است. * پورت‌های RPC، یعنی `8545` و `8546`، در سطح فایروال مسدود شده‌اند. * فایل‌های keystore به‌صورت امن و آفلاین بکاپ‌گیری شده‌اند. * رمزهای کلیدهای BLS و Consensus به‌شکل امن نگهداری می‌شوند و به‌صورت متن ساده روی سرور ذخیره نشده‌اند. * مانیتورینگ و هشداردهی برای آپ‌تایم و تعداد slashها فعال است. * نود پشتیبان اعتبارسنج آماده‌سازی شده و آماده استفاده است. ## اصول عمومی امنیت علاوه بر معماری Sentry و تنظیمات فایروال، رعایت موارد زیر به‌شدت توصیه می‌شود: ### مدیریت کلیدها کلیدهای خصوصی Consensus و BLS را روی فضای ذخیره‌سازی رمزنگاری‌شده نگهداری کنید. هرگز فایل‌های کلید را از طریق کانال‌های رمزنگاری‌نشده منتقل نکنید. برای استقرارهای عملیاتی و production، استفاده از **Hardware Security Module (HSM)** را در نظر بگیرید. ### کنترل دسترسی دسترسی SSH به نود اعتبارسنج و Sentry Nodeها را فقط به احراز هویت مبتنی بر کلید محدود کنید. ورود با رمز عبور را غیرفعال کنید. سطح دسترسی را به حداقل تعداد اپراتورهای قابل اعتماد محدود نگه دارید. ### سلامت نرم‌افزار باینری نود، سیستم‌عامل و وابستگی‌های نرم‌افزاری را همیشه به‌روز نگه دارید. اطلاعیه‌های نسخه‌های جدید دات‌وان را دنبال کنید و وصله‌های امنیتی را به‌موقع اعمال کنید. ### پاسخ به حادثه برای مواجهه با خرابی نود، احتمال افشای کلید، یا رویدادهای غیرمنتظره slashing، یک فرایند مکتوب و مشخص داشته باشید. باید بدانید در مواقع اضطراری چگونه نود را خاموش کنید و در صورت نیاز، اعتبارسنج را از وضعیت jail خارج کنید. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter: ``` GET https://docs.dotone.online/documentation/dat-wan-asmart-chyn-or-dotone-smart-chain-docs/aatbarsnj/aymn-sazy-aatbarsnj-ha-or-dotone-smart-chain-docs.md?ask=&goal= ``` `ask` is the immediate question: it should be specific, self-contained, and written in natural language. `goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.