Биткойн в клетка?

Така се случи, че по професия съм администратор на компютърни системи и мрежи (накратко: системен администратор) и имах възможността да кажа на проф. малко повече от 10 години. дейностите на голямо разнообразие от системи, включително такива, които изискват [екстремни] мерки за сигурност. Случвало се е и преди време да ми стане интересно биткойн, и не само го използва, но и стартира няколко микро-услуги, за да се научи как да работи самостоятелно с биткойн мрежата (известна още като p2p все пак) от гледна точка на разработчик (разбира се, аз съм един от тези dev, значи минавах). Но аз не говоря за развитие, а за безопасна и ефективна среда за приложения.

Финансова технология (fintech) преминете към информационна сигурност (инфосек) и първият може да работи без втория, но не за дълго. Ето защо искам да споделя опита си и набора от инструменти, които използвам, който включва и двете fintechИ инфосек, и в същото време, и може да се използва и за по-широка или напълно различна цел. В тази статия ще ви разкажа не толкова за биткойн, колкото за инфраструктурния модел за развитие и функциониране на финансови (и не само) услуги - с една дума, тези услуги, при които „Б“ има значение. Това се отнася както за биткойн борсата, така и за най-типичния корпоративен зоопарк от услуги на малка компания, която по никакъв начин не е свързана с биткойн.

Държа да отбележа, че съм привърженик на принципите "бъди глупаво просто" и "по-малко е повече", следователно както статията, така и това, което е описано в нея, ще имат свойствата, за които се отнасят тези принципи.

Въображаем сценарий: Нека да разгледаме всичко на примера на биткойн обменник. Решихме да стартираме обмена на рубли, долари, евро за биткойни и обратно и вече имаме работещо решение, но за други цифрови пари като qiwi и webmoney, т.е. Затворихме всички правни въпроси, имаме готово приложение, което служи като шлюз за плащане за рубли, долари и евро и други платежни системи. Той е свързан с нашите банкови сметки и има някакъв вид API за нашите крайни приложения. Имаме и уеб приложение, което действа като обменник за потребителите, добре, като типичен qiwi или webmoney акаунт - създайте акаунт, добавете карта и т.н. Той комуникира с нашето приложение за шлюз, макар и чрез REST API в локалната област. И така решихме да свържем биткойни и в същото време да надградим инфраструктурата, защото... Първоначално всичко беше поставено набързо във виртуални кутии в офиса под масата... сайтът започна да се използва и започнахме да се тревожим за времето на работа и производителността.

И така, нека започнем с основното нещо - изборът на сървър. защото бизнесът в нашия пример е малък и ние се доверяваме на хостера (OVH), който ще изберем бюджетна опция при които е невъзможно системата да се инсталира от оригиналния .iso образ, но няма значение, отделът за ИТ сигурност определено ще анализира инсталирания образ. И когато пораснем, ще наемем наш собствен килер под ключ с ограничен физически достъп и може би ще изградим собствен DC. Във всеки случай си струва да запомните, че когато наемате хардуер и инсталирате готови изображения, има шанс да имате „троянски кон от хостера“, който виси на вашата система, който в повечето случаи не е предназначен да ви шпионира но да предлага по-удобни инструменти за управление на сървъра.

Сървърна инсталация

Тук всичко е просто. Избираме хардуера, който отговаря на нашите нужди. След това изберете изображението на FreeBSD. Е, или се свързваме (в случай на друг хостинг и наш собствен хардуер) чрез IPMI или с монитор и захранваме .iso FreeBSD изображението в изтеглянето. За оркестрова настройка, която използвам Ansible и mfsbsd. Единственото нещо, в нашия случай с кимсуфи, избрахме персонализирана инсталация за да могат двата диска в огледалото да имат „отворени“ само boot и /home дяловете, останалата част от дисковото пространство ще бъде криптирана, но повече за това по-късно.

Инсталирането на системата става по стандартен начин, няма да се спирам на това, само ще отбележа, че преди да започнете работа, си струва да обърнете внимание закалка опции, които предлага bsdinstaller в края на инсталацията (ако инсталирате системата сами):

Има добър материал по тази тема ще го повторя накратко тук.

Също така е възможно да активирате гореспоменатите параметри на вече инсталирана система. За да направите това, трябва да редактирате файла за зареждане и да активирате параметрите на ядрото. *ee е редактор като този в BSD

# ee /etc/rc.conf

...
#sec hard
clear_tmp_enable="YES"
syslogd_flags="-ss"    
sendmail_enable="NONE"

# ee /etc/sysctl.conf

...
#sec hard
security.bsd.see_other_uids=0
security.bsd.see_other_gids=0
security.bsd.unprivileged_read_msgbuf=0
security.bsd.unprivileged_proc_debug=0
kern.randompid=$(jot -r 1 9999)
security.bsd.stack_guard_page=1

Трябва също така да се уверите, че имате инсталирана най-новата версия на системата и извършете всички актуализации и надстройки. В нашия случай, например, е необходим ъпгрейд до най-новата версия, тъй като... изображенията преди инсталирането изостават с шест месеца до една година. Е, там променяме SSH порта на нещо различно от този по подразбиране, добавяме удостоверяване с ключ и деактивираме удостоверяване с парола.

След това конфигурираме aide, следене на състоянието на системните конфигурационни файлове. Можете да прочетете по-подробно тук.

pkg install aide

и редактирайте нашия crontab

crontab -e

06 01 * * 0-6 /root/chkaide.sh

#! /bin/sh
#chkaide.sh
MYDATE=`date +%Y-%m-%d`
MYFILENAME="Aide-"$MYDATE.txt
/bin/echo "Aide check !! `date`" > /tmp/$MYFILENAME
/usr/local/bin/aide --check > /tmp/myAide.txt
/bin/cat /tmp/myAide.txt|/usr/bin/grep -v failed >> /tmp/$MYFILENAME
/bin/echo "**************************************" >> /tmp/$MYFILENAME
/usr/bin/tail -20 /tmp/myAide.txt >> /tmp/$MYFILENAME
/bin/echo "****************DONE******************" >> /tmp/$MYFILENAME

Включи системен одит

sysrc auditd_enable=YES

# service auditd start

Как да администрирате този въпрос е перфектно описано в ръководство.

Сега рестартираме и продължаваме към софтуера на сървъра. Всеки сървър е хипервизор за контейнери или пълни виртуални машини. Затова е важно процесорът да поддържа VT-x и EPT, ако планираме да използваме пълна виртуализация.

За управление на контейнери и виртуални машини, които използвам cbsd от олевола, желая му повече здраве и благословия за тази прекрасна програма!

Контейнери? Пак докер или какво?

Но не. Затвори на FreeBSD е отличен инструмент за контейнеризиране, но споменатото cbsd да организира тези контейнери, които се наричат ​​клетки.

Клетката е изключително ефективно решение за изграждане на инфраструктура за различни цели, където в крайна сметка се изисква пълна изолация на отделни услуги или процеси. По същество това е клонинг на хост системата, но не изисква пълна хардуерна виртуализация. И благодарение на това ресурсите не се изразходват за „гост ОС“, а само за извършваната работа. Когато клетките се използват за вътрешни нужди, това е много удобно решение за оптимално използване на ресурсите - куп клетки на един хардуерен сървър може всяка поотделно да използва целия ресурс на сървъра, ако е необходимо. Като се има предвид, че обикновено различните подуслуги се нуждаят от допълнителни. ресурси по различно време, можете да извлечете максимална производителност от един сървър, ако правилно планирате и балансирате клетките между сървърите. Ако е необходимо, клетките могат да получат и ограничения за използвания ресурс.

Какво ще кажете за пълната виртуализация?

Доколкото знам cbsd подпомага работата bhyve и XEN хипервайзори. Втората никога не съм я ползвал, но първата е сравнително нова хипервизор от FreeBSD. Ще разгледаме пример за употреба bhyve в примера по-долу.

Инсталиране и конфигуриране на хост средата

Използваме FS ZFS. Това е изключително мощен инструмент за управление на сървърното пространство. Благодарение на ZFS можете директно да изграждате масиви от различни конфигурации от дискове, динамично „горещо“ разширяване на пространството, смяна на мъртви дискове, управление на моментни снимки и много, много повече, което може да бъде описано в цяла поредица от статии. Да се ​​върнем към нашия сървър и неговите дискове. В началото на инсталацията оставихме свободно място на дисковете за криптирани дялове. Защо така? Това е така, че системата да се събужда автоматично и да слуша чрез SSH.

gpart add -t freebsd-zfs /dev/ada0

/dev/ada0p4 added!

добавете дисков дял към оставащото пространство

geli init /dev/ada0p4

въведете нашата парола за криптиране

geli attach /dev/ada0p4

Въвеждаме отново паролата и имаме устройство /dev/ada0p4.eli - това е нашето криптирано пространство. След това повтаряме същото за /dev/ada1 и останалите дискове в масива. И създаваме нов ZFS басейн.

zpool create vms mirror /dev/ada0p4.eli /dev/ada1p4.eli /dev/ada3p4.eli - Добре, имаме готов минималният боен комплект. Огледален масив от дискове в случай, че един от трите се повреди.

Създаване на набор от данни в нов „пул“

zfs create vms/jails

pkg install cbsd — създадохме екип и създадохме управление на нашите клетки.

След cbsd инсталиран, трябва да се инициализира:

# env workdir="/vms/jails" /usr/local/cbsd/sudoexec/initenv

Е, ние отговаряме на куп въпроси, предимно с отговори по подразбиране.

*Ако използвате криптиране, важно е демонът cbsdd не стартира автоматично, докато не дешифрирате дисковете ръчно или автоматично (в нашия пример това се прави от zabbix)

**Аз също не използвам NAT от cbsdи го конфигурирам сам в pf.

# sysrc pf_enable=YES

# ee /etc/pf.conf

IF_PUBLIC="em0"
IP_PUBLIC="1.23.34.56"
JAIL_IP_POOL="192.168.0.0/24"

#WHITE_CL="{ 127.0.0.1 }"

icmp_types="echoreq"

set limit { states 20000, frags 20000, src-nodes 20000 }
set skip on lo0
scrub in all

#NAT for jails
nat pass on $IF_PUBLIC from $JAIL_IP_POOL to any -> $IP_PUBLIC

## Bitcoin network port forward
IP_JAIL="192.168.0.1"
PORT_JAIL="{8333}"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

# service pf start

# pfctl -f /etc/pf.conf

Настройването на политики за защитна стена също е отделна тема, така че няма да навлизам дълбоко в настройката на политиката БЛОКИРАНЕ НА ВСИЧКИ и настройката на бели списъци, можете да направите това, като прочетете официална документация или някоя от огромния брой статии, налични в Google.

Е... инсталирали сме cbsd, време е да създадем нашия първи работен кон - биткойн демона в клетка!

cbsd jconstruct-tui

Тук виждаме диалоговия прозорец за създаване на клетка. След като всички стойности са зададени, нека създаваме!

Когато създавате първата си клетка, трябва да изберете какво да използвате като основа за клетките. Избирам дистрибуция от хранилището на FreeBSD с командата repo. Този избор се прави само при създаване на първата клетка от конкретна версия (можете да хоствате клетки от всяка версия, която е по-стара от хост версията).

След като всичко е инсталирано, пускаме клетката!

# cbsd jstart bitcoind

Но трябва да инсталираме софтуер в клетката.

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind

jexec bitcoind за да влезете в клетъчната конзола

и вече вътре в клетката инсталираме софтуера с неговите зависимости (нашата хост система остава чиста)

bitcoind:/@[15:25] # pkg install bitcoin-daemon bitcoin-utils

bitcoind:/@[15:30] # sysrc bitcoind_enable=YES

bitcoind:/@[15:30] # service bitcoind start

В клетката има биткойн, но се нуждаем от анонимност, защото искаме да се свържем с някои клетки чрез ТОП мрежата. Като цяло планираме да управляваме повечето клетки с подозрителен софтуер само чрез прокси. Благодарение на pf Можете да деактивирате NAT за определен диапазон от IP адреси в локалната мрежа и да разрешите NAT само за нашия TOR възел. По този начин, дори ако зловреден софтуер попадне в клетката, той най-вероятно няма да комуникира с външния свят и ако го направи, няма да разкрие IP адреса на нашия сървър. Затова създаваме друга клетка за „препращане“ на услуги като услуга „.onion“ и като прокси за достъп до интернет до отделни клетки.

# cbsd jsconstruct-tui

# cbsd jstart tor

# jexec tor

tor:/@[15:38] # pkg install tor

tor:/@[15:38] # sysrc tor_enable=YES

tor:/@[15:38] # ee /usr/local/etc/tor/torrc

Задайте слушане на локален адрес (достъпно за всички клетки)

SOCKSPort 192.168.0.2:9050

Какво друго ни трябва за пълно щастие? Да, имаме нужда от услуга за нашата мрежа, може би повече от една. Нека стартираме nginx, който ще действа като обратен прокси и ще се грижи за подновяването на Let's Encrypt сертификати

# cbsd jsconstruct-tui

# cbsd jstart nginx-rev

# jexec nginx-rev

nginx-rev:/@[15:47] # pkg install nginx py36-certbot

И така поставихме 150 MB зависимости в клетка. И домакинът все още е чист.

Нека се върнем към настройката на nginx по-късно, трябва да издигнем още две клетки за нашия платежен шлюз на nodejs и rust и уеб приложение, което по някаква причина е в Apache и PHP, а последното също изисква MySQL база данни.

# cbsd jsconstruct-tui

# cbsd jstart paygw

# jexec paygw

paygw:/@[15:55] # pkg install git node npm

paygw:/@[15:55] # curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh

...и още 380 MB изолирани пакети

След това изтегляме нашето приложение с git и го стартираме.

# cbsd jsconstruct-tui

# cbsd jstart webapp

# jexec webapp

webapp:/@[16:02] # pkg install mariadb104-server apache24 php74 mod_php74 php74-pdo_mysql

450 MB пакети. в клетка.

тук даваме на програмиста достъп чрез SSH директно до клетката, те ще направят всичко там сами:

webapp:/@[16:02] # ee /etc/ssh/sshd_config

Port 2267 — променете SSH порта на клетката на произволен

webapp:/@[16:02] # sysrc sshd_enable=YES

webapp:/@[16:02] # service sshd start

Е, услугата работи, остава само да добавите правилото pf защитна стена

Нека видим какво IP имат нашите клетки и как изглежда нашата „локална зона“ като цяло.

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind
     2  192.168.0.2     tor.space.com                 /zroot/jails/jails/tor
     3  192.168.0.3     nginx-rev.space.com           /zroot/jails/jails/nginx-rev
     4  192.168.0.4     paygw.space.com               /zroot/jails/jails/paygw
     5  192.168.0.5     webapp.my.domain              /zroot/jails/jails/webapp

и добавете правило

# ee /etc/pf.conf

## SSH for web-Devs
IP_JAIL="192.168.0.5"
PORT_JAIL="{ 2267 }"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

Е, след като сме тук, нека добавим и правило за обратен прокси:

## web-ports for nginx-rev
IP_JAIL="192.168.0.3"
PORT_JAIL="{ 80, 443 }"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

# pfctl -f /etc/pf.conf

Е, сега малко за биткойните

Това, което имаме, е, че имаме уеб приложение, което е изложено външно и комуникира локално с нашия платежен портал. Сега трябва да подготвим работна среда за взаимодействие със самата биткойн мрежа - възелът bitcoind това е просто демон, който поддържа локалното копие на блокчейна актуално. Този демон има функционалност за RPC и портфейл, но има по-удобни „опаковки“ за разработка на приложения. Като начало решихме да поставим electrum е CLI портфейл. Този портфейл ще го използваме като „хладилно хранилище“ за нашите биткойни - като цяло тези биткойни, които ще трябва да се съхраняват „извън“ системата, достъпна за потребителите и като цяло далеч от всички. Освен това има GUI, така че ще използваме същия портфейл на нашия
лаптопи. Засега ще използваме Electrum с публични сървъри, а по-късно ще го вдигнем в друга клетка ElectrumXза да не зависи изобщо от никого.

# cbsd jsconstruct-tui

# cbsd jstart electrum

# jexec electrum

electrum:/@[8:45] # pkg install py36-electrum

още 700 MB софтуер в нашата клетка

electrum:/@[8:53] # adduser

Username: wallet
Full name: 
Uid (Leave empty for default): 
Login group [wallet]: 
Login group is wallet. Invite wallet into other groups? []: 
Login class [default]: 
Shell (sh csh tcsh nologin) [sh]: tcsh
Home directory [/home/wallet]: 
Home directory permissions (Leave empty for default): 
Use password-based authentication? [yes]: no
Lock out the account after creation? [no]: 
Username   : wallet
Password   : <disabled>
Full Name  : 
Uid        : 1001
Class      : 
Groups     : wallet 
Home       : /home/wallet
Home Mode  : 
Shell      : /bin/tcsh
Locked     : no
OK? (yes/no): yes
adduser: INFO: Successfully added (wallet) to the user database.
Add another user? (yes/no): no
Goodbye!
electrum:/@[8:53] # su wallet

electrum:/@[8:53] # su wallet

wallet@electrum:/ % electrum-3.6 create

{
    "msg": "Please keep your seed in a safe place; if you lose it, you will not be able to restore your wallet.",
    "path": "/usr/home/wallet/.electrum/wallets/default_wallet",
    "seed": "jealous win pig material ribbon young punch visual okay cactus random bird"
}

Сега имаме създаден портфейл.

wallet@electrum:/ % electrum-3.6 listaddresses

[
    "18WEhbjvMLGRMfwudzUrUd25U5C7uZYkzE",
    "14XHSejhxsZNDRtk4eFbqAX3L8rftzwQQU",
    "1KQXaN8RXiCN1ne9iYngUWAr6KJ6d4pPas",
    ...
    "1KeVcAwEYhk29qEyAfPwcBgF5mMMoy4qjw",
    "18VaUuSeBr6T2GwpSHYF3XyNgLyLCt1SWk"
]

wallet@electrum:/ % electrum-3.6 help

На нашия на верига Отсега нататък само ограничен брой хора ще могат да се свързват с портфейла. За да не се отваря достъп до тази клетка отвън, връзките чрез SSH ще се осъществяват чрез TOP (децентрализирана версия на VPN). Стартираме SSH в клетката, но не докосваме нашия pf.conf на хоста.

electrum:/@[9:00] # sysrc sshd_enable=YES

electrum:/@[9:00] # service sshd start

Сега нека изключим клетката с интернет достъпа на портфейла. Нека му дадем IP адрес от друго подмрежово пространство, което не е NATed. Първо да се променим /etc/pf.conf на хоста

# ee /etc/pf.conf

JAIL_IP_POOL="192.168.0.0/24" нека го променим на JAIL_IP_POOL="192.168.0.0/25", като по този начин всички адреси 192.168.0.126-255 няма да имат директен достъп до интернет. Един вид софтуерна „въздушна междина“ мрежа. И NAT правилото остава такова, каквото беше

nat pass on $IF_PUBLIC from $JAIL_IP_POOL to any -> $IP_PUBLIC

Претоварване на правилата

# pfctl -f /etc/pf.conf

Сега да вземем нашата клетка

# cbsd jconfig jname=electrum

jset mode=quiet jname=electrum ip4_addr="192.168.0.200"
Remove old IP: /sbin/ifconfig em0 inet 192.168.0.6 -alias
Setup new IP: /sbin/ifconfig em0 inet 192.168.0.200 alias
ip4_addr: 192.168.0.200

Хм, но сега самата система ще спре да работи за нас. Въпреки това можем да посочим системен прокси. Но има едно нещо, на TOR това е SOCKS5 прокси и за удобство бихме искали и HTTP прокси.

# cbsd jsconstruct-tui

# cbsd jstart polipo

# jexec polipo

polipo:/@[9:28] # pkg install polipo

polipo:/@[9:28] # ee /usr/local/etc/polipo/config

socksParentProxy = "192.168.0.2:9050"
socksProxyType = socks5

polipo:/@[9:42] # sysrc polipo_enable=YES

polipo:/@[9:43] # service polipo start

Е, сега има два прокси сървъра в нашата система и двата излизат чрез TOR: socks5://192.168.0.2:9050 и http://192.168.0.6:8123

Сега можем да конфигурираме нашата среда на портфейла

# jexec electrum

electrum:/@[9:45] # su wallet

wallet@electrum:/ % ee ~/.cshrc

#in the end of file proxy config
setenv http_proxy http://192.168.0.6:8123
setenv https_proxy http://192.168.0.6:8123

Е, сега обвивката ще работи от под прокси. Ако искаме да инсталираме пакети, тогава трябва да добавим към /usr/local/etc/pkg.conf изпод корена на клетката

pkg_env: {
               http_proxy: "http://my_proxy_ip:8123",
           }

Е, сега е време да добавим скритата услуга TOR като адрес на нашата SSH услуга в клетката на портфейла.

# jexec tor

tor:/@[9:59] # ee /usr/local/etc/tor/torrc

HiddenServiceDir /var/db/tor/electrum/
HiddenServicePort 22 192.168.0.200:22

tor:/@[10:01] # mkdir /var/db/tor/electrum

tor:/@[10:01] # chown -R _tor:_tor /var/db/tor/electrum

tor:/@[10:01] # chmod 700 /var/db/tor/electrum

tor:/@[10:03] # service tor restart

tor:/@[10:04] # cat /var/db/tor/electrum/hostname

mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion

Това е нашият адрес за връзка. Да проверим от локалната машина. Но първо трябва да добавим нашия SSH ключ:

wallet@electrum:/ % mkdir ~/.ssh

wallet@electrum:/ % ee ~/.ssh/authorized_keys

ecdsa-sha2-nistp521 AAAAE2VjZHNhLXNoYTItbmlzdHA1MjEAAAAIbmlzdHA1MjEAAACFBAG9Fk2Lqi4GQ8EXZrsH3EgSrVIQPQaAlS38MmJLBabihv9KHIDGXH7r018hxqLNNGbaJWO/wrWk7sG4T0yLHAbdQAFsMYof9kjoyuG56z0XZ8qaD/X/AjrhLMsIoBbUNj0AzxjKNlPJL4NbHsFwbmxGulKS0PdAD5oLcTQi/VnNdU7iFw== user@local

Е, от Linux клиентска машина

user@local ~$ nano ~/.ssh/config

#remote electrum wallet
Host remotebtc
        User wallet
        Port 22
        Hostname mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion
        ProxyCommand /bin/ncat --proxy localhost:9050 --proxy-type socks5 %h %p

Нека се свържем (За да работи това, имате нужда от локален TOR демон, който слуша 9050)

user@local ~$ ssh remotebtc

The authenticity of host 'mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion (<no hostip for proxy command>)' can't be established.
ECDSA key fingerprint is SHA256:iW8FKjhVF4yyOZB1z4sBkzyvCM+evQ9cCL/EuWm0Du4.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion' (ECDSA) to the list of known hosts.
FreeBSD 12.1-RELEASE-p1 GENERIC 
To save disk space in your home directory, compress files you rarely
use with "gzip filename".
        -- Dru <[email protected]>
wallet@electrum:~ % logout

Успех!

За да работим с незабавни и микроплащания, се нуждаем и от възел Светкавична мрежа, всъщност това ще бъде нашият основен работен инструмент с биткойн. U*c-мълниякойто ще използваме като демон е Плъгин Sparko, който е пълноценен HTTP (REST) ​​интерфейс и ви позволява да работите както с транзакции извън веригата, така и с транзакции във веригата. c-lightning необходими за функциониране bitcoind но да.

*Има различни реализации на протокола Lightning Network на различни езици. От тези, които тествахме, c-lightning (написан на C) изглеждаше най-стабилен и ресурсно ефективен

# cbsd jsconstruct-tui

# cbsd jstart cln

# jexec cln

lightning:/@[10:23] # adduser

Username: lightning
...

lightning:/@[10:24] # pkg install git

lightning:/@[10:23] # su lightning

cd ~ && git clone https://github.com/ElementsProject/lightning

lightning@lightning:~ % exit

lightning:/@[10:30] # cd /home/lightning/lightning/

lightning:/home/lightning/lightning@[10:31] # pkg install autoconf automake gettext git gmp gmake libtool python python3 sqlite3 libsodium py36-mako bash bitcoin-utils

lightning:/home/lightning/lightning@[10:34] # ./configure && gmake && gmake install

Докато всичко необходимо е компилирано и инсталирано, нека създадем RPC потребител за lightningd в bitcoind

# jexec bitcoind

bitcoind:/@[10:36] # ee /usr/local/etc/bitcoin.conf

rpcbind=192.168.0.1
rpcuser=test
rpcpassword=test
#allow only c-lightning
rpcallowip=192.168.0.7/32

bitcoind:/@[10:39] # service bitcoind restart

Моето хаотично превключване между клетките се оказва не толкова хаотично, ако обърнете внимание на полезността tmux, което ви позволява да създавате множество терминални подсесии в рамките на една сесия. Аналогов: screen

Така че не искаме да разкриваме истинския IP на нашия възел и искаме да извършваме всички финансови транзакции през TOP. Следователно друг .onion не е необходим.

# jexec tor

tor:/@[9:59] # ee /usr/local/etc/tor/torrc

HiddenServiceDir /var/db/tor/cln/
HiddenServicePort 9735 192.168.0.7:9735

tor:/@[10:01] # mkdir /var/db/tor/cln

tor:/@[10:01] # chown -R _tor:_tor /var/db/tor/cln

tor:/@[10:01] # chmod 700 /var/db/tor/cln

tor:/@[10:03] # service tor restart

tor:/@[10:04] # cat /var/db/tor/cln/hostname

en5wbkavnytti334jc5uzaudkansypfs6aguv6kech4hbzpcz2ove3yd.onion

Сега нека създадем конфигурация за c-lightning

lightning:/home/lightning/lightning@[10:31] # su lightning

lightning@lightning:~ % mkdir .lightning

lightning@lightning:~ % ee .lightning/config

alias=My-LN-Node
bind-addr=192.168.0.7:9735
rgb=ff0000
announce-addr=en5wbkavnytti334jc5uzaudkansypfs6aguv6kech4hbzpcz2ove3yd.onion:9735
network=bitcoin
log-level=info
fee-base=0
fee-per-satoshi=1
proxy=192.168.0.2:9050
log-file=/home/lightning/.lightning/c-lightning.log
min-capacity-sat=200000

# sparko plugin
# https://github.com/fiatjaf/lightningd-gjson-rpc/tree/master/cmd/sparko

sparko-host=192.168.0.7
sparko-port=9737

sparko-tls-path=sparko-tls

#sparko-login=mywalletusername:mywalletpassword

#sparko-keys=masterkey;secretread:+listchannels,+listnodes;secretwrite:+invoice,+listinvoices,+delinvoice,+decodepay,+waitpay,+waitinvoice
sparko-keys=masterkey;secretread:+listchannels,+listnodes;ultrawrite:+invoice,+listinvoices,+delinvoice,+decodepay,+waitpay,+waitinvoice
# for the example above the initialization logs (mixed with lightningd logs) should print something like

lightning@lightning:~ % mkdir .lightning/plugins

lightning@lightning:~ % cd .lightning/plugins/

lightning@lightning:~/.lightning/plugins:% fetch https://github.com/fiatjaf/sparko/releases/download/v0.2.1/sparko_full_freebsd_amd64

lightning@lightning:~/.lightning/plugins % mkdir ~/.lightning/sparko-tls

lightning@lightning:~/.lightning/sparko-tls % cd ~/.lightning/sparko-tls

lightning@lightning:~/.lightning/sparko-tls % openssl genrsa -out key.pem 2048

lightning@lightning:~/.lightning/sparko-tls % openssl req -new -x509 -sha256 -key key.pem -out cert.pem -days 3650

lightning@lightning:~/.lightning/plugins % chmod +x sparko_full_freebsd_amd64

lightning@lightning:~/.lightning/plugins % mv sparko_full_freebsd_amd64 sparko

lightning@lightning:~/.lightning/plugins % cd ~

трябва също така да създадете конфигурационен файл за bitcoin-cli, помощна програма, която комуникира с bitcoind

lightning@lightning:~ % mkdir .bitcoin

lightning@lightning:~ % ee .bitcoin/bitcoin.conf

rpcconnect=192.168.0.1
rpcuser=test
rpcpassword=test

проверка

lightning@lightning:~ % bitcoin-cli echo "test"

[
  "test"
]

стартиране lightningd

lightning@lightning:~ % lightningd --daemon

Себе си lightningd можете да контролирате помощната програма lightning-cli, например:

lightning-cli newaddr вземете адреса за ново входящо плащане

{
   "address": "bc1q2n2ffq3lplhme8jufcxahfrnfhruwjgx3c78pv",
   "bech32": "bc1q2n2ffq3lplhme8jufcxahfrnfhruwjgx3c78pv"
}

lightning-cli withdraw bc1jufcxahfrnfhruwjgx3cq2n2ffq3lplhme878pv all изпрати всички пари в портфейла на адреса (всички адреси във веригата)

Също така команди за операции извън веригата lightning-cli invoice, lightning-cli listinvoices, lightning-cli pay и така нататък.

Е, за комуникация с приложението имаме REST Api

curl -k https://192.168.0.7:9737/rpc -d '{"method": "pay", "params": ["lnbc..."]}' -H 'X-Access masterkey'

Сумирайте

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind
     2  192.168.0.2     tor.space.com                 /zroot/jails/jails/tor
     3  192.168.0.3     nginx-rev.space.com           /zroot/jails/jails/nginx-rev
     4  192.168.0.4     paygw.space.com               /zroot/jails/jails/paygw
     5  192.168.0.5     webapp.my.domain              /zroot/jails/jails/webapp
     7  192.168.0.200   electrum.space.com            /zroot/jails/jails/electrum
     8  192.168.0.6     polipo.space.com              /zroot/jails/jails/polipo
     9  192.168.0.7     lightning.space.com           /zroot/jails/jails/cln

Имаме набор от контейнери, всеки със собствено ниво на достъп както от, така и към локалната мрежа.

# zfs list

NAME                    USED  AVAIL  REFER  MOUNTPOINT
zroot                   279G  1.48T    88K  /zroot
zroot/ROOT             1.89G  1.48T    88K  none
zroot/ROOT/default     1.89G  17.6G  1.89G  /
zroot/home               88K  1.48T    88K  /home
zroot/jails             277G  1.48T   404M  /zroot/jails
zroot/jails/bitcoind    190G  1.48T   190G  /zroot/jails/jails-data/bitcoind-data
zroot/jails/cln         653M  1.48T   653M  /zroot/jails/jails-data/cln-data
zroot/jails/electrum    703M  1.48T   703M  /zroot/jails/jails-data/electrum-data
zroot/jails/nginx-rev   190M  1.48T   190M  /zroot/jails/jails-data/nginx-rev-data
zroot/jails/paygw      82.4G  1.48T  82.4G  /zroot/jails/jails-data/paygw-data
zroot/jails/polipo     57.6M  1.48T  57.6M  /zroot/jails/jails-data/polipo-data
zroot/jails/tor        81.5M  1.48T  81.5M  /zroot/jails/jails-data/tor-data
zroot/jails/webapp      360M  1.48T   360M  /zroot/jails/jails-data/webapp-data

Както можете да видите, bitcoind заема всичките 190 GB пространство. Ами ако имаме нужда от друг възел за тестване? Тук ZFS идва на помощ. С помощ cbsd jclone old=bitcoind new=bitcoind-clone host_hostname=clonedbtc.space.com можете да създадете моментна снимка и да прикачите нова клетка към тази моментна снимка. Новата клетка ще има собствено пространство, но само разликата между текущото състояние и оригинала ще бъде взета предвид във файловата система (ще спестим поне 190 GB)

Всяка клетка е отделен ZFS набор от данни и това е изключително удобно. ZFS също позволява правете различни други страхотни неща, като изпращане на моментни снимки чрез SSH. Няма да го описваме, вече има много.

Заслужава да се отбележи и необходимостта от дистанционно наблюдение на хоста, за тези цели имаме Zabbix.

B - безопасност

По отношение на сигурността, нека започнем от ключовите принципи в контекста на инфраструктурата:

Конфиденциалност - Стандартните инструменти на UNIX-подобните системи осигуряват прилагането на този принцип. Логически отделяме достъпа до всеки логически обособен елемент от системата – клетка. Достъпът се осигурява чрез стандартно удостоверяване на потребителя с помощта на личните ключове на потребителите. Цялата комуникация между и до крайните клетки се извършва в криптирана форма. Благодарение на дисковото криптиране не е нужно да се тревожим за безопасността на данните, когато сменяме диск или мигрираме към друг сървър. Единственият критичен достъп е достъпът до хост системата, тъй като такъв достъп обикновено осигурява достъп до данни в контейнери.

интегритет „Прилагането на този принцип става на няколко различни нива. Първо, важно е да се отбележи, че в случай на сървърен хардуер, ECC памет, ZFS вече „извън кутията“ се грижи за целостта на данните на ниво информационни битове. Незабавните моментни снимки ви позволяват да правите резервни копия по всяко време в движение. Удобните инструменти за експорт/импорт на клетки правят клетъчната репликация лесна.

наличност - Това вече не е задължително. Зависи от степента на вашата слава и факта, че имате хейтъри. В нашия пример гарантирахме, че портфейлът е достъпен изключително от ТОП мрежата. Ако е необходимо, можете да блокирате всичко на защитната стена и да разрешите достъп до сървъра изключително през тунели (TOR или VPN е друг въпрос). Така сървърът ще бъде максимално изолиран от външния свят и само ние самите ще можем да повлияем на неговата наличност.

Невъзможност за отказ - И това зависи от по-нататъшната работа и спазването на правилните политики за потребителски права, достъп и т.н. Но с правилния подход всички действия на потребителите се проверяват и благодарение на криптографските решения е възможно недвусмислено да се идентифицира кой е извършил определени действия и кога.

Разбира се, описаната конфигурация не е абсолютен пример за това как трябва да бъде винаги, тя е по-скоро един пример за това как може да бъде, като същевременно запазва много гъвкави възможности за мащабиране и персонализиране.

Какво ще кажете за пълната виртуализация?

Относно пълната виртуализация с помощта на cbsd можете прочетете тук. Просто ще добавя това за работа bhyve Трябва да активирате някои опции на ядрото.

# cat /etc/rc.conf

...
kld_list="vmm if_tap if_bridge nmdm"
...

# cat /boot/loader.conf

...
vmm_load="YES"
...

Така че, ако изведнъж ви се наложи да стартирате докер, тогава инсталирайте някакъв debian и тръгвайте!

Това е всичко

Предполагам, че това е всичко, което исках да споделя. Ако сте харесали статията, можете да ми изпратите малко биткойни - bc1qu7lhf45xw83ddll5mnzte6ahju8ktkeu6qhttc. Ако искате да опитате клетки в действие и да имате малко биткойни, можете да отидете на my домашен любимец-проект.

Източник: www.habr.com