খাঁচায় বিটকয়েন?

এটা তাই ঘটেছে যে আমি পেশাগতভাবে কম্পিউটার সিস্টেম এবং নেটওয়ার্কের একজন প্রশাসক (সংক্ষেপে: সিস্টেম প্রশাসক), এবং আমি 10 বছরেরও বেশি সময় ধরে অধ্যাপককে বলার সুযোগ পেয়েছি। বিভিন্ন ধরনের সিস্টেমের কার্যক্রম, যার জন্য [চরম] নিরাপত্তা ব্যবস্থা প্রয়োজন। এটাও ঘটেছে যে কিছু সময় আগে আমি এটি আকর্ষণীয় খুঁজে পেয়েছি বিটকয়েন, এবং শুধুমাত্র এটি ব্যবহারই করেনি, বরং একজন ডেভেলপারের দৃষ্টিকোণ থেকে বিটকয়েন নেটওয়ার্কের (ওরফে p2p) স্বাধীনভাবে কীভাবে কাজ করতে হয় তা শিখতে বেশ কয়েকটি মাইক্রো-পরিষেবাও চালু করেছে (আমি অবশ্যই তাদের মধ্যে একজন। dev, তাই, আমি পাশ দিয়ে যাচ্ছিলাম)। কিন্তু আমি উন্নয়নের কথা বলছি না, আমি অ্যাপ্লিকেশনের জন্য একটি নিরাপদ এবং দক্ষ পরিবেশের কথা বলছি।

আর্থিক প্রযুক্তি (fintech) তথ্য নিরাপত্তার পাশে যান (আমি অসীম পেতে) এবং প্রথমটি দ্বিতীয়টি ছাড়া কাজ করতে পারে, তবে দীর্ঘ সময়ের জন্য নয়। এই কারণেই আমি আমার অভিজ্ঞতা এবং আমি যে সরঞ্জামগুলি ব্যবহার করি সেগুলির সেট শেয়ার করতে চাই, যার মধ্যে উভয়ই রয়েছে৷ fintech, এবং আমি অসীম পেতে, এবং একই সময়ে, এবং একটি বিস্তৃত বা সম্পূর্ণ ভিন্ন উদ্দেশ্যে ব্যবহার করা যেতে পারে। এই নিবন্ধে আমি আপনাকে বিটকয়েন সম্পর্কে তেমন কিছু বলব না, তবে আর্থিক (এবং কেবল নয়) পরিষেবাগুলির বিকাশ এবং পরিচালনার জন্য অবকাঠামো মডেল সম্পর্কে বলব - এক কথায়, সেই পরিষেবাগুলি যেখানে "বি" গুরুত্বপূর্ণ। এটি বিটকয়েন এক্সচেঞ্জ এবং বিটকয়েনের সাথে কোন ভাবেই সংযুক্ত নয় এমন একটি ছোট কোম্পানির পরিষেবার সবচেয়ে সাধারণ কর্পোরেট চিড়িয়াখানা উভয় ক্ষেত্রেই প্রযোজ্য।

আমি উল্লেখ করতে চাই যে আমি নীতির সমর্থক "এটি বোকা সরল রাখুন" и "কমই বেশি", অতএব, নিবন্ধ এবং এতে যা বর্ণিত হয়েছে উভয়েরই বৈশিষ্ট্য থাকবে যা এই নীতিগুলি সম্পর্কে।

কাল্পনিক দৃশ্যকল্প: আসুন বিটকয়েন এক্সচেঞ্জারের উদাহরণ ব্যবহার করে সবকিছু দেখি। আমরা বিটকয়েন এবং ব্যাক এর জন্য রুবেল, ডলার, ইউরোর বিনিময় চালু করার সিদ্ধান্ত নিয়েছি এবং আমাদের কাছে ইতিমধ্যেই একটি কার্যকরী সমাধান আছে, কিন্তু অন্যান্য ডিজিটাল অর্থ যেমন কিউই এবং ওয়েবমানি, যেমন আমরা সমস্ত আইনি সমস্যা বন্ধ করে দিয়েছি, আমাদের কাছে একটি রেডিমেড অ্যাপ্লিকেশন রয়েছে যা রুবেল, ডলার এবং ইউরো এবং অন্যান্য পেমেন্ট সিস্টেমের জন্য পেমেন্ট গেটওয়ে হিসাবে কাজ করে। এটি আমাদের ব্যাঙ্ক অ্যাকাউন্টগুলির সাথে সংযুক্ত এবং আমাদের শেষ অ্যাপ্লিকেশনগুলির জন্য কিছু ধরণের API রয়েছে৷ আমাদের একটি ওয়েব অ্যাপ্লিকেশনও রয়েছে যা ব্যবহারকারীদের জন্য একটি এক্সচেঞ্জার হিসাবে কাজ করে, ভাল, একটি সাধারণ কিউই বা ওয়েবমনি অ্যাকাউন্টের মতো - একটি অ্যাকাউন্ট তৈরি করুন, একটি কার্ড যোগ করুন, ইত্যাদি৷ স্থানীয় এলাকায় REST API এর মাধ্যমে হলেও এটি আমাদের গেটওয়ে অ্যাপ্লিকেশনের সাথে যোগাযোগ করে। এবং তাই আমরা বিটকয়েনগুলিকে সংযুক্ত করার এবং একই সাথে পরিকাঠামো আপগ্রেড করার সিদ্ধান্ত নিয়েছি, কারণ... প্রাথমিকভাবে, টেবিলের নীচে অফিসের ভার্চুয়ালবক্সগুলিতে সবকিছু তাড়াহুড়ো করে রাখা হয়েছিল... সাইটটি ব্যবহার করা শুরু হয়েছিল, এবং আমরা আপটাইম এবং কর্মক্ষমতা নিয়ে উদ্বিগ্ন হতে শুরু করি।

সুতরাং, মূল জিনিস দিয়ে শুরু করা যাক - একটি সার্ভার নির্বাচন করা। কারণ আমাদের উদাহরণে ব্যবসাটি ছোট এবং আমরা যে হোস্টারকে (OVH) বেছে নেব তাকে বিশ্বাস করি বাজেট বিকল্প যেটিতে মূল .iso ইমেজ থেকে সিস্টেমটি ইনস্টল করা অসম্ভব, তবে এটি কোন ব্যাপার না, আইটি নিরাপত্তা বিভাগ অবশ্যই ইনস্টল করা চিত্রটি বিশ্লেষণ করবে। এবং যখন আমরা বড় হব, আমরা সীমিত শারীরিক অ্যাক্সেসের সাথে তালা এবং চাবির নীচে আমাদের নিজস্ব পায়খানা ভাড়া করব এবং সম্ভবত আমরা আমাদের নিজস্ব ডিসি তৈরি করব। যাই হোক না কেন, এটি মনে রাখা উচিত যে হার্ডওয়্যার ভাড়া নেওয়ার সময় এবং রেডিমেড ইমেজগুলি ইনস্টল করার সময়, আপনার সিস্টেমে একটি "হোস্টার থেকে ট্রোজান" ঝুলে থাকার সম্ভাবনা রয়েছে, যা বেশিরভাগ ক্ষেত্রে আপনার উপর গুপ্তচরবৃত্তি করার উদ্দেশ্যে নয়। কিন্তু আরো সুবিধাজনক ব্যবস্থাপনা টুল সার্ভার অফার.

সার্ভার ইনস্টলেশন

এখানে সবকিছু সহজ. আমরা আমাদের প্রয়োজন অনুসারে হার্ডওয়্যার নির্বাচন করি। তারপর FreeBSD ইমেজ সিলেক্ট করুন। ঠিক আছে, অথবা আমরা (অন্য হোস্টার এবং আমাদের নিজস্ব হার্ডওয়্যারের ক্ষেত্রে) IPMI এর মাধ্যমে বা একটি মনিটরের মাধ্যমে সংযোগ করি এবং .iso FreeBSD ইমেজটিকে ডাউনলোডে ফিড করি। একটি অর্কেস্ট্রাল সেটআপের জন্য আমি ব্যবহার করি Ansible и mfsbsd. একমাত্র জিনিস, কিমসুফির সাথে আমাদের ক্ষেত্রে, আমরা বেছে নিয়েছি কাস্টম ইনস্টলেশন মিররের দুটি ডিস্কের জন্য শুধুমাত্র বুট এবং /হোম পার্টিশন "খোলা" রাখার জন্য, বাকি ডিস্ক স্পেস এনক্রিপ্ট করা হবে, তবে পরবর্তীতে আরও কিছু।

সিস্টেমের ইনস্টলেশন একটি স্ট্যান্ডার্ড উপায়ে ঘটে, আমি এই বিষয়ে চিন্তা করব না, আমি কেবল লক্ষ্য করব যে অপারেশন শুরু করার আগে এটি মনোযোগ দেওয়ার মতো শক্ত এটি অফার করে এমন বিকল্পগুলি bsdinstaller ইনস্টলেশনের শেষে (যদি আপনি নিজেই সিস্টেমটি ইনস্টল করেন):

আছে ভাল উপাদান এই বিষয়ে, আমি এখানে সংক্ষিপ্তভাবে এটি পুনরাবৃত্তি করব।

ইতিমধ্যে ইনস্টল করা সিস্টেমে উপরে উল্লিখিত পরামিতিগুলি সক্ষম করাও সম্ভব। এটি করার জন্য, আপনাকে বুটলোডার ফাইল সম্পাদনা করতে হবে এবং কার্নেল পরামিতি সক্রিয় করতে হবে। *EE বিএসডিতে এরকম একজন সম্পাদক

# ee /etc/rc.conf

...
#sec hard
clear_tmp_enable="YES"
syslogd_flags="-ss"    
sendmail_enable="NONE"

# ee /etc/sysctl.conf

...
#sec hard
security.bsd.see_other_uids=0
security.bsd.see_other_gids=0
security.bsd.unprivileged_read_msgbuf=0
security.bsd.unprivileged_proc_debug=0
kern.randompid=$(jot -r 1 9999)
security.bsd.stack_guard_page=1

আপনি সিস্টেমের সর্বশেষ সংস্করণ ইনস্টল করা আছে তা নিশ্চিত করা উচিত, এবং সব আপডেট এবং আপগ্রেড সঞ্চালন. আমাদের ক্ষেত্রে, উদাহরণস্বরূপ, সর্বশেষ সংস্করণে একটি আপগ্রেড প্রয়োজন, কারণ... প্রাক-ইনস্টলেশন ছবি ছয় মাস থেকে এক বছর পিছিয়ে যায়। ঠিক আছে, সেখানে আমরা SSH পোর্টটিকে ডিফল্ট থেকে ভিন্ন কিছুতে পরিবর্তন করি, কী প্রমাণীকরণ যোগ করি এবং পাসওয়ার্ড প্রমাণীকরণ নিষ্ক্রিয় করি।

তারপর আমরা কনফিগার করি aide, সিস্টেম কনফিগারেশন ফাইলের অবস্থা নিরীক্ষণ। আপনি বিস্তারিত আরো পড়তে পারেন এখানে.

pkg install aide

এবং আমাদের crontab সম্পাদনা করুন

crontab -e

06 01 * * 0-6 /root/chkaide.sh

#! /bin/sh
#chkaide.sh
MYDATE=`date +%Y-%m-%d`
MYFILENAME="Aide-"$MYDATE.txt
/bin/echo "Aide check !! `date`" > /tmp/$MYFILENAME
/usr/local/bin/aide --check > /tmp/myAide.txt
/bin/cat /tmp/myAide.txt|/usr/bin/grep -v failed >> /tmp/$MYFILENAME
/bin/echo "**************************************" >> /tmp/$MYFILENAME
/usr/bin/tail -20 /tmp/myAide.txt >> /tmp/$MYFILENAME
/bin/echo "****************DONE******************" >> /tmp/$MYFILENAME

চালু করা সিস্টেম অডিটিং

sysrc auditd_enable=YES

# service auditd start

এই বিষয়টি কীভাবে পরিচালনা করবেন তা পুরোপুরি বর্ণনা করা হয়েছে নির্দেশিকা.

এখন আমরা রিবুট করি এবং সার্ভারে সফ্টওয়্যারটিতে এগিয়ে যাই। প্রতিটি সার্ভার পাত্রে বা সম্পূর্ণ ভার্চুয়াল মেশিনের জন্য একটি হাইপারভাইজার। অতএব, এটা গুরুত্বপূর্ণ যে প্রসেসর VT-x এবং EPT সমর্থন করে যদি আমরা সম্পূর্ণ ভার্চুয়ালাইজেশন ব্যবহার করার পরিকল্পনা করি।

কন্টেইনার এবং ভার্চুয়াল মেশিন পরিচালনা করতে আমি ব্যবহার করি সিবিএসডি থেকে olevole, আমি এই বিস্ময়কর উপযোগিতা জন্য তার আরো স্বাস্থ্য এবং আশীর্বাদ কামনা করি!

পাত্রে? আবার ডকারই বা কি?

কিন্তু না. ফ্রিবিএসডি জেল কন্টেইনারাইজেশনের জন্য একটি চমৎকার টুল, কিন্তু উল্লেখ করা হয়েছে cbsd এই পাত্রে অর্কেস্ট্রেট করা, যা কোষ বলা হয়।

খাঁচাটি বিভিন্ন উদ্দেশ্যে অবকাঠামো নির্মাণের জন্য একটি অত্যন্ত কার্যকর সমাধান, যেখানে ব্যক্তিগত পরিষেবা বা প্রক্রিয়াগুলির সম্পূর্ণ বিচ্ছিন্নতা শেষ পর্যন্ত প্রয়োজন। মূলত, এটি হোস্ট সিস্টেমের একটি ক্লোন, তবে এটির জন্য সম্পূর্ণ হার্ডওয়্যার ভার্চুয়ালাইজেশনের প্রয়োজন নেই। এবং এর জন্য ধন্যবাদ, সংস্থানগুলি "অতিথি ওএস" তে ব্যয় করা হয় না, তবে কেবল যে কাজটি করা হচ্ছে তার জন্য। যখন কোষগুলি অভ্যন্তরীণ প্রয়োজনের জন্য ব্যবহার করা হয়, তখন এটি সর্বোত্তম সম্পদ ব্যবহারের জন্য একটি খুব সুবিধাজনক সমাধান - একটি হার্ডওয়্যার সার্ভারে একগুচ্ছ কক্ষ প্রতিটি প্রয়োজনে সম্পূর্ণ সার্ভার সম্পদ ব্যবহার করতে পারে। বিবেচনা করে যে সাধারণত বিভিন্ন সাবসার্ভিসের অতিরিক্ত প্রয়োজন। বিভিন্ন সময়ে সম্পদ, আপনি একটি সার্ভার থেকে সর্বোচ্চ কর্মক্ষমতা নিষ্কাশন করতে পারেন যদি আপনি সঠিকভাবে পরিকল্পনা এবং সার্ভারের মধ্যে কোষের ভারসাম্য বজায় রাখেন। প্রয়োজনে, কোষগুলিকে ব্যবহৃত সম্পদের উপর সীমাবদ্ধতাও দেওয়া যেতে পারে।

সম্পূর্ণ ভার্চুয়ালাইজেশন সম্পর্কে কি?

আমি যতদূর জানি cbsd কাজ সমর্থন করে bhyve এবং XEN হাইপারভাইজার। আমি দ্বিতীয়টি কখনও ব্যবহার করিনি, তবে প্রথমটি তুলনামূলকভাবে নতুন ফ্রিবিএসডি থেকে হাইপারভাইজার. আমরা ব্যবহারের একটি উদাহরণ দেখব bhyve নীচের উদাহরণে।

হোস্ট এনভায়রনমেন্ট ইনস্টল এবং কনফিগার করা

আমরা FS ব্যবহার করি ZFS. এটি সার্ভার স্পেস পরিচালনার জন্য একটি অত্যন্ত শক্তিশালী টুল। ZFS-কে ধন্যবাদ, আপনি সরাসরি ডিস্ক থেকে বিভিন্ন কনফিগারেশনের অ্যারে তৈরি করতে পারেন, গতিশীলভাবে "হট" স্থান প্রসারিত করতে পারেন, মৃত ডিস্ক পরিবর্তন করতে পারেন, স্ন্যাপশটগুলি পরিচালনা করতে পারেন এবং আরও অনেক কিছু, যা নিবন্ধগুলির একটি সম্পূর্ণ সিরিজে বর্ণনা করা যেতে পারে। আসুন আমাদের সার্ভার এবং এর ডিস্কে ফিরে আসি। ইনস্টলেশনের শুরুতে, আমরা এনক্রিপ্ট করা পার্টিশনের জন্য ডিস্কে ফাঁকা জায়গা রেখেছিলাম। কেন এমন হল? এটি যাতে সিস্টেমটি স্বয়ংক্রিয়ভাবে জেগে ওঠে এবং SSH এর মাধ্যমে শোনে।

gpart add -t freebsd-zfs /dev/ada0

/dev/ada0p4 added!

অবশিষ্ট স্থানে একটি ডিস্ক পার্টিশন যোগ করুন

geli init /dev/ada0p4

আমাদের এনক্রিপশন পাসওয়ার্ড লিখুন

geli attach /dev/ada0p4

আমরা আবার পাসওয়ার্ড লিখি এবং আমাদের একটি ডিভাইস আছে /dev/ada0p4.eli - এটি আমাদের এনক্রিপ্ট করা স্থান। তারপর আমরা /dev/ada1 এবং অ্যারের বাকি ডিস্কগুলির জন্য একই পুনরাবৃত্তি করি। এবং আমরা একটি নতুন তৈরি করি জেডএফএস পুল.

zpool create vms mirror /dev/ada0p4.eli /dev/ada1p4.eli /dev/ada3p4.eli - আচ্ছা, আমাদের ন্যূনতম যুদ্ধ কিট প্রস্তুত আছে। তিনটির মধ্যে একটি ব্যর্থ হলে ডিস্কের একটি মিরর করা অ্যারে।

একটি নতুন "পুলে" একটি ডেটাসেট তৈরি করা হচ্ছে

zfs create vms/jails

pkg install cbsd — আমরা একটি দল চালু করেছি এবং আমাদের কোষগুলির জন্য ব্যবস্থাপনা সেট আপ করেছি।

পরে cbsd ইনস্টল করা, এটি আরম্ভ করা প্রয়োজন:

# env workdir="/vms/jails" /usr/local/cbsd/sudoexec/initenv

ঠিক আছে, আমরা একগুচ্ছ প্রশ্নের উত্তর দিই, বেশিরভাগই ডিফল্ট উত্তর সহ।

*আপনি যদি এনক্রিপশন ব্যবহার করেন, তাহলে ডেমনটি গুরুত্বপূর্ণ cbsdd স্বয়ংক্রিয়ভাবে শুরু হয় না যতক্ষণ না আপনি ডিস্কগুলি ম্যানুয়ালি বা স্বয়ংক্রিয়ভাবে ডিক্রিপ্ট না করেন (আমাদের উদাহরণে এটি zabbix দ্বারা করা হয়)

**আমি থেকেও NAT ব্যবহার করি না cbsd, এবং আমি নিজেই এটি কনফিগার করি pf.

# sysrc pf_enable=YES

# ee /etc/pf.conf

IF_PUBLIC="em0"
IP_PUBLIC="1.23.34.56"
JAIL_IP_POOL="192.168.0.0/24"

#WHITE_CL="{ 127.0.0.1 }"

icmp_types="echoreq"

set limit { states 20000, frags 20000, src-nodes 20000 }
set skip on lo0
scrub in all

#NAT for jails
nat pass on $IF_PUBLIC from $JAIL_IP_POOL to any -> $IP_PUBLIC

## Bitcoin network port forward
IP_JAIL="192.168.0.1"
PORT_JAIL="{8333}"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

# service pf start

# pfctl -f /etc/pf.conf

ফায়ারওয়াল নীতিগুলি সেট আপ করাও একটি পৃথক বিষয়, তাই আমি সমস্ত ব্লক নীতি সেট আপ এবং সাদা তালিকা সেট আপ করার গভীরে যাব না, আপনি এটি পড়ে এটি করতে পারেন অফিসিয়াল ডকুমেন্টেশন অথবা Google-এ উপলভ্য বিপুল সংখ্যক নিবন্ধের যেকোনো একটি।

আচ্ছা... আমরা সিবিএসডি ইনস্টল করেছি, আমাদের প্রথম ওয়ার্কহরস তৈরি করার সময় এসেছে - খাঁচাবন্দি বিটকয়েন রাক্ষস!

cbsd jconstruct-tui

এখানে আমরা সেল তৈরির ডায়ালগ দেখতে পাচ্ছি। সমস্ত মান সেট করার পরে, আসুন তৈরি করি!

আপনার প্রথম ঘর তৈরি করার সময়, আপনার ঘরের বেস হিসাবে কী ব্যবহার করবেন তা বেছে নেওয়া উচিত। আমি কমান্ড দিয়ে FreeBSD সংগ্রহস্থল থেকে একটি বিতরণ নির্বাচন করি repo. এই পছন্দটি শুধুমাত্র একটি নির্দিষ্ট সংস্করণের প্রথম ঘর তৈরি করার সময় তৈরি করা হয় (আপনি হোস্ট সংস্করণের চেয়ে পুরানো যেকোনো সংস্করণের ঘর হোস্ট করতে পারেন)।

সবকিছু ইনস্টল করার পরে, আমরা খাঁচা চালু!

# cbsd jstart bitcoind

কিন্তু খাঁচায় সফটওয়্যার ইন্সটল করতে হবে।

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind

jexec bitcoind সেল কনসোলে প্রবেশ করতে

এবং ইতিমধ্যেই ঘরের ভিতরে আমরা সফ্টওয়্যারটি তার নির্ভরতা সহ ইনস্টল করি (আমাদের হোস্ট সিস্টেম পরিষ্কার থাকে)

bitcoind:/@[15:25] # pkg install bitcoin-daemon bitcoin-utils

bitcoind:/@[15:30] # sysrc bitcoind_enable=YES

bitcoind:/@[15:30] # service bitcoind start

খাঁচায় বিটকয়েন আছে, কিন্তু আমাদের পরিচয় গোপন রাখতে হবে কারণ আমরা TOP নেটওয়ার্কের মাধ্যমে কিছু খাঁচায় সংযোগ করতে চাই। সাধারণভাবে, আমরা শুধুমাত্র একটি প্রক্সির মাধ্যমে সন্দেহজনক সফ্টওয়্যার সহ বেশিরভাগ সেল চালানোর পরিকল্পনা করি। ধন্যবাদ pf আপনি স্থানীয় নেটওয়ার্কে IP ঠিকানাগুলির একটি নির্দিষ্ট পরিসরের জন্য NAT নিষ্ক্রিয় করতে পারেন এবং শুধুমাত্র আমাদের TOR নোডের জন্য NAT-কে অনুমতি দিতে পারেন। এইভাবে, ম্যালওয়্যার কোষে প্রবেশ করলেও, এটি সম্ভবত বাইরের বিশ্বের সাথে যোগাযোগ করবে না, এবং যদি এটি করে তবে এটি আমাদের সার্ভারের আইপি প্রকাশ করবে না। অতএব, আমরা একটি ".onion" পরিষেবা হিসাবে এবং পৃথক কোষে ইন্টারনেট অ্যাক্সেস করার জন্য একটি প্রক্সি হিসাবে পরিষেবাগুলিকে "ফরোয়ার্ড" করার জন্য আরেকটি সেল তৈরি করি৷

# cbsd jsconstruct-tui

# cbsd jstart tor

# jexec tor

tor:/@[15:38] # pkg install tor

tor:/@[15:38] # sysrc tor_enable=YES

tor:/@[15:38] # ee /usr/local/etc/tor/torrc

একটি স্থানীয় ঠিকানায় শোনার জন্য সেট করুন (সমস্ত কক্ষের জন্য উপলব্ধ)

SOCKSPort 192.168.0.2:9050

পরিপূর্ণ সুখের জন্য আমাদের আর কী দরকার? হ্যাঁ, আমাদের ওয়েবের জন্য আমাদের একটি পরিষেবা দরকার, হতে পারে একাধিক৷ আসুন nginx চালু করি, যা একটি বিপরীত-প্রক্সি হিসাবে কাজ করবে এবং Let’s Encrypt সার্টিফিকেট পুনর্নবীকরণের যত্ন নেবে

# cbsd jsconstruct-tui

# cbsd jstart nginx-rev

# jexec nginx-rev

nginx-rev:/@[15:47] # pkg install nginx py36-certbot

এবং তাই আমরা একটি খাঁচায় 150 এমবি নির্ভরতা রেখেছি। এবং হোস্ট এখনও পরিষ্কার.

আসুন পরে nginx সেটআপে ফিরে আসি, আমাদের নোডেজ এবং রাস্টে আমাদের পেমেন্ট গেটওয়ের জন্য আরও দুটি সেল বাড়াতে হবে এবং একটি ওয়েব অ্যাপ্লিকেশন, যা কিছু কারণে Apache এবং PHP-এ রয়েছে এবং পরবর্তীটির জন্য একটি MySQL ডাটাবেসেরও প্রয়োজন।

# cbsd jsconstruct-tui

# cbsd jstart paygw

# jexec paygw

paygw:/@[15:55] # pkg install git node npm

paygw:/@[15:55] # curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh

...এবং আরও 380 MB প্যাকেজ বিচ্ছিন্ন

এর পরে, আমরা গিট দিয়ে আমাদের অ্যাপ্লিকেশনটি ডাউনলোড করি এবং এটি চালু করি।

# cbsd jsconstruct-tui

# cbsd jstart webapp

# jexec webapp

webapp:/@[16:02] # pkg install mariadb104-server apache24 php74 mod_php74 php74-pdo_mysql

450 MB প্যাকেজ। খাঁচার ভিতর.

এখানে আমরা ডেভেলপারকে SSH-এর মাধ্যমে সরাসরি ঘরে অ্যাক্সেস দিই, তারা সেখানে নিজেরাই সবকিছু করবে:

webapp:/@[16:02] # ee /etc/ssh/sshd_config

Port 2267 — ঘরের SSH পোর্টকে যেকোনো ইচ্ছামত পরিবর্তন করুন

webapp:/@[16:02] # sysrc sshd_enable=YES

webapp:/@[16:02] # service sshd start

ঠিক আছে, পরিষেবা চলছে, যা বাকি আছে তা হল নিয়ম যোগ করা pf ফায়ারওয়াল

আসুন দেখি আমাদের সেলগুলির আইপি কী এবং আমাদের "স্থানীয় এলাকা" সাধারণত কেমন দেখায়।

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind
     2  192.168.0.2     tor.space.com                 /zroot/jails/jails/tor
     3  192.168.0.3     nginx-rev.space.com           /zroot/jails/jails/nginx-rev
     4  192.168.0.4     paygw.space.com               /zroot/jails/jails/paygw
     5  192.168.0.5     webapp.my.domain              /zroot/jails/jails/webapp

এবং একটি নিয়ম যোগ করুন

# ee /etc/pf.conf

## SSH for web-Devs
IP_JAIL="192.168.0.5"
PORT_JAIL="{ 2267 }"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

ঠিক আছে, যেহেতু আমরা এখানে আছি, আসুন বিপরীত-প্রক্সির জন্য একটি নিয়মও যোগ করি:

## web-ports for nginx-rev
IP_JAIL="192.168.0.3"
PORT_JAIL="{ 80, 443 }"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

# pfctl -f /etc/pf.conf

ওয়েল, এখন বিটকয়েন সম্পর্কে একটু

আমাদের যা আছে তা হল আমাদের একটি ওয়েব অ্যাপ্লিকেশন রয়েছে যা বাহ্যিকভাবে প্রকাশ করা হয় এবং এটি আমাদের পেমেন্ট গেটওয়েতে স্থানীয়ভাবে কথা বলে। এখন আমাদের বিটকয়েন নেটওয়ার্কের সাথে ইন্টারঅ্যাক্ট করার জন্য একটি কাজের পরিবেশ তৈরি করতে হবে - নোড bitcoind এটি শুধুমাত্র একটি ডেমন যা ব্লকচেইনের স্থানীয় কপি আপ টু ডেট রাখে। এই ডেমনটিতে RPC এবং ওয়ালেট কার্যকারিতা রয়েছে, তবে অ্যাপ্লিকেশন বিকাশের জন্য আরও সুবিধাজনক "র্যাপার" রয়েছে। শুরু করার জন্য, আমরা স্থাপন করার সিদ্ধান্ত নিয়েছে electrum একটি CLI ওয়ালেট। এই মানিব্যাগ আমরা এটিকে আমাদের বিটকয়েনগুলির জন্য "কোল্ড স্টোরেজ" হিসাবে ব্যবহার করব - সাধারণভাবে, সেই বিটকয়েনগুলিকে ব্যবহারকারীদের কাছে অ্যাক্সেসযোগ্য এবং সাধারণত সবার থেকে দূরে সিস্টেমের "বাইরে" সংরক্ষণ করতে হবে৷ এটিতে একটি GUIও রয়েছে, তাই আমরা আমাদের একই ওয়ালেট ব্যবহার করতে যাচ্ছি
ল্যাপটপ আপাতত আমরা পাবলিক সার্ভারের সাথে ইলেক্ট্রাম ব্যবহার করব, এবং পরে আমরা এটিকে অন্য ঘরে উত্থাপন করব ইলেক্ট্রমএক্সযাতে কারও উপর নির্ভর না হয়।

# cbsd jsconstruct-tui

# cbsd jstart electrum

# jexec electrum

electrum:/@[8:45] # pkg install py36-electrum

আমাদের খাঁচায় আরও 700 এমবি সফ্টওয়্যার

electrum:/@[8:53] # adduser

Username: wallet
Full name: 
Uid (Leave empty for default): 
Login group [wallet]: 
Login group is wallet. Invite wallet into other groups? []: 
Login class [default]: 
Shell (sh csh tcsh nologin) [sh]: tcsh
Home directory [/home/wallet]: 
Home directory permissions (Leave empty for default): 
Use password-based authentication? [yes]: no
Lock out the account after creation? [no]: 
Username   : wallet
Password   : <disabled>
Full Name  : 
Uid        : 1001
Class      : 
Groups     : wallet 
Home       : /home/wallet
Home Mode  : 
Shell      : /bin/tcsh
Locked     : no
OK? (yes/no): yes
adduser: INFO: Successfully added (wallet) to the user database.
Add another user? (yes/no): no
Goodbye!
electrum:/@[8:53] # su wallet

electrum:/@[8:53] # su wallet

wallet@electrum:/ % electrum-3.6 create

{
    "msg": "Please keep your seed in a safe place; if you lose it, you will not be able to restore your wallet.",
    "path": "/usr/home/wallet/.electrum/wallets/default_wallet",
    "seed": "jealous win pig material ribbon young punch visual okay cactus random bird"
}

এখন আমরা একটি ওয়ালেট তৈরি করেছি।

wallet@electrum:/ % electrum-3.6 listaddresses

[
    "18WEhbjvMLGRMfwudzUrUd25U5C7uZYkzE",
    "14XHSejhxsZNDRtk4eFbqAX3L8rftzwQQU",
    "1KQXaN8RXiCN1ne9iYngUWAr6KJ6d4pPas",
    ...
    "1KeVcAwEYhk29qEyAfPwcBgF5mMMoy4qjw",
    "18VaUuSeBr6T2GwpSHYF3XyNgLyLCt1SWk"
]

wallet@electrum:/ % electrum-3.6 help

আমাদের অন-শৃঙ্খল এখন থেকে শুধুমাত্র সীমিত সংখ্যক লোকই ওয়ালেটের সাথে সংযোগ করতে পারবে। বাইরে থেকে এই কক্ষে অ্যাক্সেস না খোলার জন্য, SSH-এর মাধ্যমে সংযোগগুলি TOP (VPN-এর একটি বিকেন্দ্রীকৃত সংস্করণ) মাধ্যমে ঘটবে৷ আমরা ঘরে SSH চালু করি, কিন্তু হোস্টে আমাদের pf.conf স্পর্শ করি না।

electrum:/@[9:00] # sysrc sshd_enable=YES

electrum:/@[9:00] # service sshd start

এখন ওয়ালেটের ইন্টারনেট অ্যাক্সেস সহ সেলটি বন্ধ করা যাক। আসুন এটিকে অন্য একটি সাবনেট স্পেস থেকে একটি আইপি ঠিকানা দিই যা NATed নয়। প্রথমে পরিবর্তন করা যাক /etc/pf.conf হোস্ট উপর

# ee /etc/pf.conf

JAIL_IP_POOL="192.168.0.0/24" এটা পরিবর্তন করা যাক JAIL_IP_POOL="192.168.0.0/25", এইভাবে সমস্ত ঠিকানা 192.168.0.126-255 ইন্টারনেটে সরাসরি অ্যাক্সেস থাকবে না। এক ধরনের সফটওয়্যার "এয়ার-গ্যাপ" নেটওয়ার্ক। আর ন্যাটের নিয়ম আগের মতোই রয়ে গেছে

nat pass on $IF_PUBLIC from $JAIL_IP_POOL to any -> $IP_PUBLIC

নিয়ম ওভারলোডিং

# pfctl -f /etc/pf.conf

এখন আমাদের সেল নিতে

# cbsd jconfig jname=electrum

jset mode=quiet jname=electrum ip4_addr="192.168.0.200"
Remove old IP: /sbin/ifconfig em0 inet 192.168.0.6 -alias
Setup new IP: /sbin/ifconfig em0 inet 192.168.0.200 alias
ip4_addr: 192.168.0.200

হুম, কিন্তু এখন সিস্টেম নিজেই আমাদের জন্য কাজ করা বন্ধ করবে. যাইহোক, আমরা একটি সিস্টেম প্রক্সি নির্দিষ্ট করতে পারি। কিন্তু একটা জিনিস আছে, TOR এ এটি একটি SOCKS5 প্রক্সি, এবং সুবিধার জন্য আমরা একটি HTTP প্রক্সিও চাই।

# cbsd jsconstruct-tui

# cbsd jstart polipo

# jexec polipo

polipo:/@[9:28] # pkg install polipo

polipo:/@[9:28] # ee /usr/local/etc/polipo/config

socksParentProxy = "192.168.0.2:9050"
socksProxyType = socks5

polipo:/@[9:42] # sysrc polipo_enable=YES

polipo:/@[9:43] # service polipo start

ঠিক আছে, এখন আমাদের সিস্টেমে দুটি প্রক্সি সার্ভার রয়েছে এবং উভয়ই TOR এর মাধ্যমে আউটপুট: socks5://192.168.0.2:9050 এবং http://192.168.0.6:8123

এখন আমরা আমাদের ওয়ালেট পরিবেশ কনফিগার করতে পারি

# jexec electrum

electrum:/@[9:45] # su wallet

wallet@electrum:/ % ee ~/.cshrc

#in the end of file proxy config
setenv http_proxy http://192.168.0.6:8123
setenv https_proxy http://192.168.0.6:8123

ওয়েল, এখন শেল একটি প্রক্সি অধীনে থেকে কাজ করবে. যদি আমরা প্যাকেজ ইনস্টল করতে চাই, তাহলে আমাদের যোগ করা উচিত /usr/local/etc/pkg.conf খাঁচার মূলের নিচ থেকে

pkg_env: {
               http_proxy: "http://my_proxy_ip:8123",
           }

ঠিক আছে, এখন ওয়ালেট সেলে আমাদের SSH পরিষেবার ঠিকানা হিসাবে TOR লুকানো পরিষেবা যুক্ত করার সময়।

# jexec tor

tor:/@[9:59] # ee /usr/local/etc/tor/torrc

HiddenServiceDir /var/db/tor/electrum/
HiddenServicePort 22 192.168.0.200:22

tor:/@[10:01] # mkdir /var/db/tor/electrum

tor:/@[10:01] # chown -R _tor:_tor /var/db/tor/electrum

tor:/@[10:01] # chmod 700 /var/db/tor/electrum

tor:/@[10:03] # service tor restart

tor:/@[10:04] # cat /var/db/tor/electrum/hostname

mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion

এই আমাদের সংযোগ ঠিকানা. স্থানীয় মেশিন থেকে চেক করা যাক. কিন্তু প্রথমে আমাদের SSH কী যোগ করতে হবে:

wallet@electrum:/ % mkdir ~/.ssh

wallet@electrum:/ % ee ~/.ssh/authorized_keys

ecdsa-sha2-nistp521 AAAAE2VjZHNhLXNoYTItbmlzdHA1MjEAAAAIbmlzdHA1MjEAAACFBAG9Fk2Lqi4GQ8EXZrsH3EgSrVIQPQaAlS38MmJLBabihv9KHIDGXH7r018hxqLNNGbaJWO/wrWk7sG4T0yLHAbdQAFsMYof9kjoyuG56z0XZ8qaD/X/AjrhLMsIoBbUNj0AzxjKNlPJL4NbHsFwbmxGulKS0PdAD5oLcTQi/VnNdU7iFw== user@local

ভাল, একটি লিনাক্স ক্লায়েন্ট মেশিন থেকে

user@local ~$ nano ~/.ssh/config

#remote electrum wallet
Host remotebtc
        User wallet
        Port 22
        Hostname mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion
        ProxyCommand /bin/ncat --proxy localhost:9050 --proxy-type socks5 %h %p

এর সাথে সংযোগ দিন (এটি কাজ করার জন্য, আপনার একটি স্থানীয় TOR ডেমন প্রয়োজন যা 9050 এ শোনে)

user@local ~$ ssh remotebtc

The authenticity of host 'mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion (<no hostip for proxy command>)' can't be established.
ECDSA key fingerprint is SHA256:iW8FKjhVF4yyOZB1z4sBkzyvCM+evQ9cCL/EuWm0Du4.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion' (ECDSA) to the list of known hosts.
FreeBSD 12.1-RELEASE-p1 GENERIC 
To save disk space in your home directory, compress files you rarely
use with "gzip filename".
        -- Dru <[email protected]>
wallet@electrum:~ % logout

সফলতার !

তাত্ক্ষণিক এবং মাইক্রো-পেমেন্টের সাথে কাজ করার জন্য, আমাদের একটি নোডেরও প্রয়োজন বাজ নেটওয়ার্ক, আসলে, এটি হবে বিটকয়েনের সাথে আমাদের প্রধান কাজের টুল। ইউ*সি-বজ্রপাতযা আমরা একটি ডেমন হিসাবে ব্যবহার করতে যাচ্ছি স্পার্কো প্লাগইন, যা একটি পূর্ণাঙ্গ HTTP (REST) ​​ইন্টারফেস এবং আপনাকে অফ-চেইন এবং অন-চেইন উভয় লেনদেনের সাথে কাজ করতে দেয়। c-lightning কাজ করার জন্য প্রয়োজনীয় bitcoind তবে হ্যাঁ.

*বিভিন্ন ভাষায় লাইটনিং নেটওয়ার্ক প্রোটোকলের বিভিন্ন বাস্তবায়ন রয়েছে। আমরা যেগুলি পরীক্ষা করেছি তার মধ্যে সি-লাইটনিং (সি তে লেখা) সবচেয়ে স্থিতিশীল এবং সম্পদ-দক্ষ বলে মনে হয়েছিল

# cbsd jsconstruct-tui

# cbsd jstart cln

# jexec cln

lightning:/@[10:23] # adduser

Username: lightning
...

lightning:/@[10:24] # pkg install git

lightning:/@[10:23] # su lightning

cd ~ && git clone https://github.com/ElementsProject/lightning

lightning@lightning:~ % exit

lightning:/@[10:30] # cd /home/lightning/lightning/

lightning:/home/lightning/lightning@[10:31] # pkg install autoconf automake gettext git gmp gmake libtool python python3 sqlite3 libsodium py36-mako bash bitcoin-utils

lightning:/home/lightning/lightning@[10:34] # ./configure && gmake && gmake install

প্রয়োজনীয় সবকিছু কম্পাইল এবং ইনস্টল করা হলেও, এর জন্য একটি RPC ব্যবহারকারী তৈরি করা যাক lightningd в bitcoind

# jexec bitcoind

bitcoind:/@[10:36] # ee /usr/local/etc/bitcoin.conf

rpcbind=192.168.0.1
rpcuser=test
rpcpassword=test
#allow only c-lightning
rpcallowip=192.168.0.7/32

bitcoind:/@[10:39] # service bitcoind restart

কক্ষের মধ্যে আমার বিশৃঙ্খল স্যুইচিং এত বিশৃঙ্খল হবে না যদি আপনি ইউটিলিটি নোট করেন tmux, যা আপনাকে একটি সেশনের মধ্যে একাধিক টার্মিনাল সাব-সেশন তৈরি করতে দেয়। অ্যানালগ: screen

সুতরাং, আমরা আমাদের নোডের আসল আইপি প্রকাশ করতে চাই না এবং আমরা TOP এর মাধ্যমে সমস্ত আর্থিক লেনদেন পরিচালনা করতে চাই। তাই অন্য পেঁয়াজের প্রয়োজন নেই।

# jexec tor

tor:/@[9:59] # ee /usr/local/etc/tor/torrc

HiddenServiceDir /var/db/tor/cln/
HiddenServicePort 9735 192.168.0.7:9735

tor:/@[10:01] # mkdir /var/db/tor/cln

tor:/@[10:01] # chown -R _tor:_tor /var/db/tor/cln

tor:/@[10:01] # chmod 700 /var/db/tor/cln

tor:/@[10:03] # service tor restart

tor:/@[10:04] # cat /var/db/tor/cln/hostname

en5wbkavnytti334jc5uzaudkansypfs6aguv6kech4hbzpcz2ove3yd.onion

এখন সি-লাইটনিংয়ের জন্য একটি কনফিগারেশন তৈরি করা যাক

lightning:/home/lightning/lightning@[10:31] # su lightning

lightning@lightning:~ % mkdir .lightning

lightning@lightning:~ % ee .lightning/config

alias=My-LN-Node
bind-addr=192.168.0.7:9735
rgb=ff0000
announce-addr=en5wbkavnytti334jc5uzaudkansypfs6aguv6kech4hbzpcz2ove3yd.onion:9735
network=bitcoin
log-level=info
fee-base=0
fee-per-satoshi=1
proxy=192.168.0.2:9050
log-file=/home/lightning/.lightning/c-lightning.log
min-capacity-sat=200000

# sparko plugin
# https://github.com/fiatjaf/lightningd-gjson-rpc/tree/master/cmd/sparko

sparko-host=192.168.0.7
sparko-port=9737

sparko-tls-path=sparko-tls

#sparko-login=mywalletusername:mywalletpassword

#sparko-keys=masterkey;secretread:+listchannels,+listnodes;secretwrite:+invoice,+listinvoices,+delinvoice,+decodepay,+waitpay,+waitinvoice
sparko-keys=masterkey;secretread:+listchannels,+listnodes;ultrawrite:+invoice,+listinvoices,+delinvoice,+decodepay,+waitpay,+waitinvoice
# for the example above the initialization logs (mixed with lightningd logs) should print something like

lightning@lightning:~ % mkdir .lightning/plugins

lightning@lightning:~ % cd .lightning/plugins/

lightning@lightning:~/.lightning/plugins:% fetch https://github.com/fiatjaf/sparko/releases/download/v0.2.1/sparko_full_freebsd_amd64

lightning@lightning:~/.lightning/plugins % mkdir ~/.lightning/sparko-tls

lightning@lightning:~/.lightning/sparko-tls % cd ~/.lightning/sparko-tls

lightning@lightning:~/.lightning/sparko-tls % openssl genrsa -out key.pem 2048

lightning@lightning:~/.lightning/sparko-tls % openssl req -new -x509 -sha256 -key key.pem -out cert.pem -days 3650

lightning@lightning:~/.lightning/plugins % chmod +x sparko_full_freebsd_amd64

lightning@lightning:~/.lightning/plugins % mv sparko_full_freebsd_amd64 sparko

lightning@lightning:~/.lightning/plugins % cd ~

আপনাকে bitcoin-cli-এর জন্য একটি কনফিগারেশন ফাইলও তৈরি করতে হবে, একটি ইউটিলিটি যা যোগাযোগ করে bitcoind

lightning@lightning:~ % mkdir .bitcoin

lightning@lightning:~ % ee .bitcoin/bitcoin.conf

rpcconnect=192.168.0.1
rpcuser=test
rpcpassword=test

চেক

lightning@lightning:~ % bitcoin-cli echo "test"

[
  "test"
]

শুরু করা lightningd

lightning@lightning:~ % lightningd --daemon

নিজে lightningd আপনি ইউটিলিটি নিয়ন্ত্রণ করতে পারেন lightning-cliউদাহরণস্বরূপ,

lightning-cli newaddr একটি নতুন ইনকামিং পেমেন্ট জন্য ঠিকানা পান

{
   "address": "bc1q2n2ffq3lplhme8jufcxahfrnfhruwjgx3c78pv",
   "bech32": "bc1q2n2ffq3lplhme8jufcxahfrnfhruwjgx3c78pv"
}

lightning-cli withdraw bc1jufcxahfrnfhruwjgx3cq2n2ffq3lplhme878pv all মানিব্যাগের সমস্ত টাকা ঠিকানায় পাঠান (সকল অন-চেইন ঠিকানা)

এছাড়াও অফ-চেইন অপারেশনের জন্য কমান্ড lightning-cli invoice, lightning-cli listinvoices, lightning-cli pay এবং তাই

ঠিক আছে, অ্যাপ্লিকেশনের সাথে যোগাযোগের জন্য আমাদের একটি REST Api আছে

curl -k https://192.168.0.7:9737/rpc -d '{"method": "pay", "params": ["lnbc..."]}' -H 'X-Access masterkey'

আসুন পরিণাম সম্পর্কে ফলাফল

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind
     2  192.168.0.2     tor.space.com                 /zroot/jails/jails/tor
     3  192.168.0.3     nginx-rev.space.com           /zroot/jails/jails/nginx-rev
     4  192.168.0.4     paygw.space.com               /zroot/jails/jails/paygw
     5  192.168.0.5     webapp.my.domain              /zroot/jails/jails/webapp
     7  192.168.0.200   electrum.space.com            /zroot/jails/jails/electrum
     8  192.168.0.6     polipo.space.com              /zroot/jails/jails/polipo
     9  192.168.0.7     lightning.space.com           /zroot/jails/jails/cln

আমাদের কাছে কন্টেইনারগুলির একটি সেট রয়েছে, প্রতিটির নিজস্ব স্তরের অ্যাক্সেস স্থানীয় নেটওয়ার্ক থেকে এবং উভয়ই রয়েছে৷

# zfs list

NAME                    USED  AVAIL  REFER  MOUNTPOINT
zroot                   279G  1.48T    88K  /zroot
zroot/ROOT             1.89G  1.48T    88K  none
zroot/ROOT/default     1.89G  17.6G  1.89G  /
zroot/home               88K  1.48T    88K  /home
zroot/jails             277G  1.48T   404M  /zroot/jails
zroot/jails/bitcoind    190G  1.48T   190G  /zroot/jails/jails-data/bitcoind-data
zroot/jails/cln         653M  1.48T   653M  /zroot/jails/jails-data/cln-data
zroot/jails/electrum    703M  1.48T   703M  /zroot/jails/jails-data/electrum-data
zroot/jails/nginx-rev   190M  1.48T   190M  /zroot/jails/jails-data/nginx-rev-data
zroot/jails/paygw      82.4G  1.48T  82.4G  /zroot/jails/jails-data/paygw-data
zroot/jails/polipo     57.6M  1.48T  57.6M  /zroot/jails/jails-data/polipo-data
zroot/jails/tor        81.5M  1.48T  81.5M  /zroot/jails/jails-data/tor-data
zroot/jails/webapp      360M  1.48T   360M  /zroot/jails/jails-data/webapp-data

আপনি দেখতে পাচ্ছেন, বিটকয়েন্ড সমস্ত 190 গিগাবাইট জায়গা নেয়। আমাদের পরীক্ষার জন্য অন্য নোডের প্রয়োজন হলে কী হবে? এখানেই ZFS কাজে আসে। সাহায্যে cbsd jclone old=bitcoind new=bitcoind-clone host_hostname=clonedbtc.space.com আপনি একটি স্ন্যাপশট তৈরি করতে পারেন এবং এই স্ন্যাপশটে একটি নতুন সেল সংযুক্ত করতে পারেন৷ নতুন সেলের নিজস্ব স্থান থাকবে, তবে শুধুমাত্র বর্তমান অবস্থা এবং আসলটির মধ্যে পার্থক্যটি ফাইল সিস্টেমে বিবেচনা করা হবে (আমরা কমপক্ষে 190 গিগাবাইট সংরক্ষণ করব)

প্রতিটি সেল তার নিজস্ব ZFS ডেটাসেট, এবং এটি অত্যন্ত সুবিধাজনক। ZFS এছাড়াও অনুমতি দেয় SSH-এর মাধ্যমে স্ন্যাপশট পাঠানোর মতো অন্যান্য দুর্দান্ত জিনিসগুলি করুন। আমরা এটি বর্ণনা করব না, ইতিমধ্যে অনেক আছে।

হোস্টের দূরবর্তী পর্যবেক্ষণের প্রয়োজনীয়তাও লক্ষ করা উচিত, এই উদ্দেশ্যে আমাদের রয়েছে Zabbix.

বি - নিরাপত্তা

নিরাপত্তার বিষয়ে, অবকাঠামোর প্রসঙ্গে মূল নীতিগুলি থেকে শুরু করা যাক:

গোপনীয়তা — UNIX-এর মতো সিস্টেমের স্ট্যান্ডার্ড টুল এই নীতির বাস্তবায়ন নিশ্চিত করে। আমরা যৌক্তিকভাবে সিস্টেমের প্রতিটি যৌক্তিকভাবে পৃথক উপাদানের অ্যাক্সেসকে আলাদা করি - একটি সেল। ব্যবহারকারীদের ব্যক্তিগত কী ব্যবহার করে স্ট্যান্ডার্ড ব্যবহারকারী প্রমাণীকরণের মাধ্যমে অ্যাক্সেস প্রদান করা হয়। কক্ষের মধ্যে এবং শেষ কক্ষের সমস্ত যোগাযোগ এনক্রিপ্ট করা আকারে ঘটে। ডিস্ক এনক্রিপশনের জন্য ধন্যবাদ, একটি ডিস্ক প্রতিস্থাপন বা অন্য সার্ভারে স্থানান্তর করার সময় আমাদের ডেটার নিরাপত্তার বিষয়ে চিন্তা করতে হবে না। একমাত্র গুরুত্বপূর্ণ অ্যাক্সেস হল হোস্ট সিস্টেমে অ্যাক্সেস, যেহেতু এই ধরনের অ্যাক্সেস সাধারণত কন্টেইনারগুলির ভিতরে ডেটা অ্যাক্সেস প্রদান করে।

অখণ্ডতা “এই নীতির বাস্তবায়ন বিভিন্ন স্তরে ঘটে। প্রথমত, এটি লক্ষ্য করা গুরুত্বপূর্ণ যে সার্ভার হার্ডওয়্যার, ECC মেমরির ক্ষেত্রে, ZFS ইতিমধ্যেই "বক্সের বাইরে" তথ্য বিটগুলির স্তরে ডেটা অখণ্ডতার যত্ন নেয়৷ তাত্ক্ষণিক স্ন্যাপশটগুলি আপনাকে উড়ে যাওয়ার সময় যে কোনও সময় ব্যাকআপ নিতে দেয়৷ সুবিধাজনক সেল এক্সপোর্ট/ইমপোর্ট টুল সেল রেপ্লিকেশন সহজ করে তোলে।

উপস্থিতি - এটি ইতিমধ্যে ঐচ্ছিক। আপনার খ্যাতির মাত্রা এবং আপনার বিদ্বেষী আছে কিনা তা নির্ভর করে। আমাদের উদাহরণে, আমরা নিশ্চিত করেছি যে ওয়ালেটটি শুধুমাত্র TOP নেটওয়ার্ক থেকে অ্যাক্সেসযোগ্য। প্রয়োজনে, আপনি ফায়ারওয়ালের সবকিছু ব্লক করতে পারেন এবং সার্ভারে একচেটিয়াভাবে টানেলের মাধ্যমে অ্যাক্সেসের অনুমতি দিতে পারেন (টিওআর বা ভিপিএন অন্য বিষয়)। এইভাবে, সার্ভারটি যতটা সম্ভব বাইরের বিশ্ব থেকে বিচ্ছিন্ন হয়ে যাবে এবং শুধুমাত্র আমরা নিজেরাই এর প্রাপ্যতাকে প্রভাবিত করতে সক্ষম হব।

প্রত্যাখ্যানের অসম্ভবতা - এবং এটি ব্যবহারকারীর অধিকার, অ্যাক্সেস, ইত্যাদির জন্য সঠিক নীতিগুলির সাথে আরও অপারেশন এবং সম্মতির উপর নির্ভর করে৷ কিন্তু সঠিক পদ্ধতির সাথে, সমস্ত ব্যবহারকারীর ক্রিয়া নিরীক্ষিত হয়, এবং ক্রিপ্টোগ্রাফিক সমাধানগুলির জন্য ধন্যবাদ দ্ব্যর্থহীনভাবে সনাক্ত করা সম্ভব যে কে এবং কখন কিছু ক্রিয়া সম্পাদন করেছে।

অবশ্যই, বর্ণিত কনফিগারেশনটি সর্বদা কীভাবে হওয়া উচিত তার একটি নিখুঁত উদাহরণ নয়, এটি খুব নমনীয় স্কেলিং এবং কাস্টমাইজেশন ক্ষমতা বজায় রেখে এটি কীভাবে হতে পারে তার একটি উদাহরণ।

সম্পূর্ণ ভার্চুয়ালাইজেশন সম্পর্কে কি?

সিবিএসডি ব্যবহার করে সম্পূর্ণ ভার্চুয়ালাইজেশন সম্পর্কে আপনি পারেন এখানে পড়ুন. আমি শুধু কাজের জন্য যে যোগ করব bhyve আপনাকে কিছু কার্নেল বিকল্প সক্রিয় করতে হবে।

# cat /etc/rc.conf

...
kld_list="vmm if_tap if_bridge nmdm"
...

# cat /boot/loader.conf

...
vmm_load="YES"
...

তাই আপনি যদি হঠাৎ একটি ডকার শুরু করতে চান, তাহলে কিছু ডেবিয়ান ইনস্টল করুন এবং যান!

এখানেই শেষ

আমি যে সব আমি ভাগ করতে চেয়েছিলেন অনুমান. আপনি যদি নিবন্ধটি পছন্দ করেন তবে আপনি আমাকে কিছু বিটকয়েন পাঠাতে পারেন - bc1qu7lhf45xw83ddll5mnzte6ahju8ktkeu6qhttc. আপনি যদি সেলগুলিকে অ্যাকশনে চেষ্টা করতে চান এবং কিছু বিটকয়েন রাখতে চান, আপনি আমার কাছে যেতে পারেন পোষ্য প্রকল্প.

উত্স: www.habr.com