Von Null auf Witness, Teil 1: Vorbereitungen

Nachdem @rexthetech mit seiner Serie "Zero to Witness" eine wunderbare Anleitung geschrieben hat, wird es Zeit dies jetzt auszuprobieren. Hier die Links zu den 11 Teilen:

Part 1: We need a big computer
Part 2: Connecting to the server
Part 3: Securing the server
Part 4: Enabling certificate authentication
Part 5: Downloading the blockchain
Part 6: Unpacking the blockchain and configuring Steem
Part 7: Starting and syncing Steem
Part 8: Witness responsibilities
Part 9: Generating witness keys
Part 10: Witness Up!
Part 11: Publishing the Price Feed

In diesem und den noch folgenden 1-2 Beiträgen werde ich meine Erfahrungen mitschreiben. Ob ich den finalen Befehl der den Witness letztendlich aktiviert ausführe, weiß ich jetzt noch nicht. Jedenfalls soll eine leicht nachvollziehbare deutsche Anleitung entstehen, denn so etwas gibt es wohl nicht, zumindest keine die auf dem aktuellen Stand wäre.

Danke an @blockseater für How to be Witness, denn die Preise für einen in Part 1 erforderlichen Server waren mir zu hoch, mit einem VPS für unter 20,-- Euro/Monat sieht die Geschichte schon besser aus.

Also los geht's, mieten wir unseren Server bei Contabo:

Der Cloud VPS L kostet inkl. MwSt. 17,84 € pro Monat, die fettgedruckten 14,99 ist der Nettopreis. Ich nehme keine zusätzlichen Add-Ons und bleibe vorerst auch bei der bewährten Ubuntu 20.04 Version. Für die Einrichtung des VPS wird eine voraussichtliche Dauer von 3 Stunden angegeben, bei mir dauerte es nur 8 Minuten.

Das Kind bekommt einen Namen

Wie bei jeder Geburt, geben wir unserem Kind zuerst einen Namen. Der Hintergrund, ein Name tippt sich nicht nur leichter als eine IP-Adresse, er lässt sich auch leichter merken. Die Möglichkeit kannte ich noch nicht, sehr praktisch - Danke an @rexthetech für den Tipp.

Dazu mit

sudo nano /etc/hosts

die zuständige Datei öffnen, dort eine neue Zeile mit der IP des VPS und den gewünschten Namen einfügen.

Die IP ist im Begrüßungsmail und natürlich auch im Kundenaccount zu finden.

Erster Login

Mit ssh root@witness wird die Verbindung aufgebaut.

Beim ersten Login kommt die Meldung Are you sure you want to continue connecting (yes/no)? weil der PC diese IP noch nicht kennt. Einfach mit yes bestätigen und schon sind wir auf unserem brandneuen Server:

Wow - das ging schnell, wunderbar!

System Update

Zuerst aktualisieren wir unseren Server:

apt update
apt upgrade

Diesmal wurde ein neuer Kernel installiert, zu erkennen an der Ausgabe Setting up linux-modules-5.4.0-125-generic, wobei 5.4.0-125 die neu installierte Version ist. Mit uname -r können wir uns den aktuell laufenden Kernel anzeigen lassen. Aktuell läuft noch 5.4.0-105.

Nach jedem Systemupdate ist es ratsam, insbesondere wenn ein neuer Kernel installiert wurde, den Server mit shutdown -r now neu zu starten. Die SSH Verbindung wird dabei unterbrochen, nach 1-2 Minuten sollte der Server wieder online sein.

Neuen User anlegen

Für alltägliche Aufgaben nutzen wir nicht den Superuser root sondern erstellen dafür einen neuen User, @rexthetech hat diesen in seiner Anleitung steem genannt, so bleibe ich dabei.

adduser steem

Damit der neue User sudo ausführen darf:

usermod -aG sudo steem

Zertifikat-Authentifizierung einrichten

Dazu öffnen wir ein neues Terminal auf dem PC.

ssh-keygen -t ed25519 -f ~/.ssh/id_witness

Dieser Befehl erzeugt die nötigen Schlüssel, im Verzeichnis ~/.ssh befinden sich danach zwei neue Dateien, id_witness mit dem privaten und id_witness.pub mit dem public Schlüssel.

Der Public-Key muss jetzt nur noch auf den VPS hochgeladen werden, dies erledigt:

ssh-copy-id -i ~/.ssh/id_witness.pub steem@witness

Dieser Befehl schreibt den Key von id_witness.pub in die Datei ~/.ssh/authorized_keys am VPS.

So sieht es im Terminal aus:

Jetzt sagen wir dem System noch, welchen Schlüssel es für die Verbindung verwenden soll.

nano ~/.ssh/config

In die config Datei schreiben wir folgende zwei Zeilen:

Host witness
    IdentityFile ~/.ssh/id_witness

Mit Strg-O Änderung speichern und mit Strg-X editor verlassen.

Zertifikat-Authentifizierung testen

Hat alles geklappt, wird nach ssh steem@witness beim ersten Login das Passwort für den vorher mittels ssh-keygen generierten Key abgefragt und danach die Verbindung hergestellt.

Snapshoot erstellen

Die nächsten Schritte sind etwas triggy, wir deaktivieren den Passwort-Login und auch den Superuser root lassen wir nicht mehr auf den Server. Ein guter Zeitpunkt zuerst einen Snapshoot zu machen, falls etwas schief laufen sollte.

Die Funktion ist im Kundenaccount bei Contabo unter "VPS-Steuerung" zu finden.

Passwort-Authentifizierung deaktivieren

sudo nano /etc/ssh/sshd_config

In der Datei sshd_config den Punkt PasswordAuthentication suchen und von no auf yes setzen, ggf. # am Beginn der Zeile löschen. Um den Login von Superuser root zu verhindern, ganz am Ende PermitRootLogin ebenfalls auf no setzen.

Speichern und Nano schließen. Um die Änderung wirksam werden zu lassen:

sudo systemctl restart ssh

Ein kleiner Test in einem 2ten Terminal am PC:

Yes - passt! Es wird nicht mehr nach einem Passwort gefragt, sondern die Verbindung sofort abgelehnt. ssh root@wintness gibt ebenfalls eine Fehlermeldung aus.

Firewall einrichten

Installation mit:

sudo apt install ufw

SSH und Port 2001 erlauben:

sudo ufw default deny
sudo ufw allow OpenSSH
sudo ufw allow 2001/tcp

Firewall aktivieren:

sudo ufw enable

Status prüfen:

sudo ufw status

Ausgabe:

Pause!

So, jetzt sind wir startklar! Part 1 bis 4 aus @rexthetech Anleitung sind erledigt, als nächstes bringen wir die Chain zum Laufen - doch zuerst haben wir uns eine Pause verdient.