RustMinerSystem

Документация

Обязательная безопасность RustMinerSystem

Выполните обязательные проверки безопасности RustMinerSystem перед production-запуском: админ-доступ, SSH, firewall, двухэтапная проверка, надежные учетные данные и источники скриптов.

Обязательная безопасность

После запуска RustMinerSystem админ-вход, SSH-доступ, proxy-порты и локальная конфигурация напрямую влияют на подключение майнеров и безопасность fee-конфигурации. Выполните эти проверки до подключения production-майнеров.

Одна пропущенная настройка может привести к захвату админ-панели, изменению портов, подмене адресов кошельков или компрометации сервера. Используйте принцип: открывать только нужные порты, разрешать только доверенные источники и не держать стандартный вход в админ-панель открытым постоянно.

Чек-лист перед production

  • Измените стандартный логин и пароль админ-панели. Не используйте повторно пароли от SSH, облачного аккаунта или аккаунта пула.
  • Включите двухэтапную проверку входа и надежно сохраните способ восстановления.
  • Настройте сложный безопасный адрес доступа вместо постоянного использования стандартного входа.
  • В security group или системном firewall разрешите только нужные порты.
  • Разрешайте SSH только с доверенных IP; закрывайте публичный SSH, когда удаленное обслуживание не требуется.
  • Разрешайте Web-порт админ-панели только с доверенных IP, через VPN или reverse proxy access control; временный доступ закрывайте после использования.
  • Запускайте только официальные скрипты, бинарные файлы и команды обслуживания, которые вы проверили.
  • Создайте резервные копии конфигурации proxy-портов, сертификатов, KENC-ключей, безопасных адресов доступа и данных восстановления двухэтапной проверки.

Правила открытия портов

Тип порта Рекомендация
SSH-порт Стандартный 22 часто сканируется. В production разрешайте только офисные IP, VPN или bastion host. По возможности используйте вход по ключу и не полагайтесь на слабые пароли.
Web-порт админ-панели Не держите его полностью открытым в интернет. Лучше использовать IP allowlist в security group, VPN, reverse proxy access control или временные правила доступа.
Proxy-порты майнинга Открывайте только порты, которые реально используют майнеры. Регулярно проверяйте майнеры онлайн, число подключений, reject rate и подозрительные IP-источники.
HTTPS / сертификаты Не передавайте приватные ключи сертификатов посторонним. После замены сертификата проверьте доступность админ-панели, app-входа или пользовательского портала.

Если во время диагностики вы временно открывали все порты, сразу верните минимальный набор разрешающих правил после уточнения нужного списка портов. Не используйте правило “разрешить все порты” как постоянную production-политику.

Безопасность SSH

После установки операционной системы проверьте, действительно ли SSH должен быть доступен из интернета. Если он нужен только иногда, держите SSH закрытым в cloud security group и временно разрешайте доверенный IP на время обслуживания.

Если SSH должен оставаться доступным:

  1. Используйте надежные пароли или вход по ключу.
  2. Не используйте SSH-пароль повторно для админ-панели или облачного провайдера.
  3. Разрешайте SSH только с доверенных IP-источников.
  4. Проверяйте записи входа и повторяющиеся неудачные попытки.
  5. После обслуживания убедитесь, что правила security group соответствуют нужной политике.

Безопасность Web-админки

Злоумышленники могут пытаться открыть Web-админку и изменить конфигурацию. Сразу после установки войдите в админ-панель и выполните следующие действия:

  1. Измените стандартный логин и пароль.
  2. Настройте сложный безопасный адрес доступа.
  3. Включите двухэтапную проверку и проверьте повторный вход после выхода из аккаунта.
  4. Убедитесь, что Web-порт админ-панели доступен только доверенным источникам.

Если админ-панель должна быть доступна из интернета, используйте как минимум IP allowlist в security group. Более безопасный вариант - доступ через VPN, bastion host или reverse proxy access control.

Учетные данные и безопасный адрес

Учетные данные админ-панели, безопасные адреса доступа и SSH-пароли должны быть сложными. Не используйте простые комбинации букв и цифр, название проекта, домен, телефон, дату рождения, распространенные слова или предсказуемые пути.

Рекомендации:

  • Используйте пароли длиной не менее 16 символов.
  • Генерируйте и храните учетные данные в password manager.
  • Используйте разные пароли для разных систем.
  • Используйте случайный безопасный адрес доступа и не показывайте его в чатах, объявлениях или скриншотах.
  • Немедленно меняйте пароли и безопасные адреса после ухода сотрудников, утечки скриншотов или подозрения на раскрытие.

Источники скриптов и программ

Не запускайте на production-серверах неизвестные скрипты, бинарные файлы, cracked tools или one-click optimization команды. Неизвестные скрипты могут читать конфигурацию, подменять кошельки, менять proxy-порты, красть ключи или устанавливать постоянные backdoor-механизмы.

Используйте только официальные адреса релизов, доверенные репозитории, самостоятельно собранные программы или проверенные скрипты обслуживания. Перед запуском проверяйте содержимое команд, особенно если команда скачивает удаленный скрипт и сразу выполняет его.

Проверка после изменений

После изменения security group, firewall, админ-порта, безопасного адреса доступа, HTTPS-сертификата или двухэтапной проверки выполните проверку:

  • Новый вход в админ-панель доступен, а старый стандартный вход больше не работает.
  • Логин, пароль и двухэтапная проверка работают после повторного входа.
  • Недоверенные IP не могут открыть SSH и Web-порт админ-панели.
  • Майнеры все еще подключаются к proxy-портам майнинга.
  • Upstream-пул или PoolNode показывает подключения и хешрейт.
  • Настройки безопасности, конфигурация портов и сертификаты сохранены в резервной копии.

Если после изменения безопасности админ-панель недоступна, сначала проверьте security group, firewall, Web-порт и безопасный адрес доступа, затем откройте Админ-панель недоступна.