Digwyddodd felly fy mod yn weinyddwr systemau a rhwydweithiau cyfrifiadurol yn fy swydd (yn fyr: gweinyddwr system), a chefais gyfle i ddweud wrth Athro am ychydig mwy na 10 mlynedd. gweithgareddau amrywiaeth eang o systemau, gan gynnwys y rhai sydd angen mesurau diogelwch [eithafol]. Digwyddodd hefyd fy mod yn ei chael hi'n ddiddorol beth amser yn ôl dev
, felly, roeddwn i'n mynd heibio). Ond nid wyf yn sôn am ddatblygiad, rwy'n sôn am amgylchedd diogel ac effeithlon ar gyfer ceisiadau.
Technoleg ariannol (fintech) mynd wrth ymyl diogelwch gwybodaeth (Infosec) a gall y cyntaf weithio heb yr ail, ond nid yn hir. Dyna pam rydw i eisiau rhannu fy mhrofiad a'r set o offer rydw i'n eu defnyddio, sy'n cynnwys y ddau fintechAc Infosec, ac ar yr un pryd, a gellir ei ddefnyddio hefyd at ddiben ehangach neu gwbl wahanol. Yn yr erthygl hon byddaf yn dweud wrthych nid cymaint am Bitcoin, ond am y model seilwaith ar gyfer datblygu a gweithredu gwasanaethau ariannol (ac nid yn unig) - mewn gair, y gwasanaethau hynny lle mae “B” yn bwysig. Mae hyn yn berthnasol i'r gyfnewidfa Bitcoin ac i'r sw corfforaethol mwyaf nodweddiadol o wasanaethau cwmni bach nad yw'n gysylltiedig â Bitcoin mewn unrhyw ffordd.
Hoffwn nodi fy mod yn gefnogwr i’r egwyddorion "cadw pethau'n dwp yn syml" и "Mae llai yn fwy", felly, bydd gan yr erthygl a'r hyn a ddisgrifir ynddi y priodweddau y mae'r egwyddorion hyn yn ymwneud â hwy.
Senario dychmygol: Gadewch i ni edrych ar bopeth gan ddefnyddio'r enghraifft o gyfnewidydd bitcoin. Fe benderfynon ni lansio cyfnewid rubles, doleri, ewros ar gyfer bitcoins ac yn ôl, ac mae gennym ni ateb gweithredol eisoes, ond ar gyfer arian digidol arall fel qiwi a webmoney, h.y. Rydym wedi cau'r holl faterion cyfreithiol, mae gennym gais parod sy'n gweithredu fel porth talu ar gyfer rubles, ddoleri ac ewros a systemau talu eraill. Mae'n gysylltiedig â'n cyfrifon banc ac mae ganddo ryw fath o API ar gyfer ein cymwysiadau terfynol. Mae gennym hefyd gymhwysiad gwe sy'n gweithredu fel cyfnewidydd i ddefnyddwyr, yn dda, fel cyfrif qiwi neu webmoney nodweddiadol - creu cyfrif, ychwanegu cerdyn, ac ati. Mae'n cyfathrebu â'n cymhwysiad porth, er trwy'r API REST yn yr ardal leol. Ac felly fe benderfynon ni gysylltu bitcoins ac ar yr un pryd uwchraddio'r seilwaith, oherwydd ... I ddechrau, gosodwyd popeth ar frys ar focsys rhithwir yn y swyddfa o dan y bwrdd ... dechreuwyd defnyddio'r wefan, a dechreuon ni boeni am uptime a pherfformiad.
Felly, gadewch i ni ddechrau gyda'r prif beth - dewis gweinydd. Achos mae'r busnes yn ein hesiampl yn fach ac rydym yn ymddiried yn y gwesteiwr (OVH) y byddwn yn ei ddewis
Gosod gweinydd
Mae popeth yn syml yma. Rydym yn dewis y caledwedd sy'n addas ar gyfer ein hanghenion. Yna dewiswch y ddelwedd FreeBSD. Wel, neu rydym yn cysylltu (yn achos gwesteiwr arall a'n caledwedd ein hunain) trwy IPMI neu gyda monitor a bwydo'r ddelwedd .iso FreeBSD i'r lawrlwythiad. Ar gyfer gosodiad cerddorfaol rwy'n ei ddefnyddio
Mae gosod y system yn digwydd mewn ffordd safonol, ni fyddaf yn aros ar hyn, ni fyddaf ond yn nodi ei bod yn werth rhoi sylw iddo cyn dechrau gweithredu. caledu opsiynau y mae'n eu cynnig bsdinstaller
ar ddiwedd y gosodiad (os ydych chi'n gosod y system eich hun):
Mae
Mae hefyd yn bosibl galluogi'r paramedrau uchod ar system sydd eisoes wedi'i gosod. I wneud hyn, mae angen i chi olygu'r ffeil cychwynnydd a galluogi paramedrau cnewyllyn. *Mae ee yn olygydd fel hyn yn BSD
# ee /etc/rc.conf
...
#sec hard
clear_tmp_enable="YES"
syslogd_flags="-ss"
sendmail_enable="NONE"
# ee /etc/sysctl.conf
...
#sec hard
security.bsd.see_other_uids=0
security.bsd.see_other_gids=0
security.bsd.unprivileged_read_msgbuf=0
security.bsd.unprivileged_proc_debug=0
kern.randompid=$(jot -r 1 9999)
security.bsd.stack_guard_page=1
Dylech hefyd wneud yn siŵr bod gennych y fersiwn diweddaraf o'r system wedi'i osod, a
Yna rydym yn ffurfweddu aide
, monitro statws ffeiliau cyfluniad system. Gallwch ddarllen yn fwy manwl
pkg install aide
a golygu ein crontab
crontab -e
06 01 * * 0-6 /root/chkaide.sh
#! /bin/sh
#chkaide.sh
MYDATE=`date +%Y-%m-%d`
MYFILENAME="Aide-"$MYDATE.txt
/bin/echo "Aide check !! `date`" > /tmp/$MYFILENAME
/usr/local/bin/aide --check > /tmp/myAide.txt
/bin/cat /tmp/myAide.txt|/usr/bin/grep -v failed >> /tmp/$MYFILENAME
/bin/echo "**************************************" >> /tmp/$MYFILENAME
/usr/bin/tail -20 /tmp/myAide.txt >> /tmp/$MYFILENAME
/bin/echo "****************DONE******************" >> /tmp/$MYFILENAME
Rydym yn cynnwys
sysrc auditd_enable=YES
# service auditd start
Disgrifir yn berffaith sut i weinyddu'r mater hwn
Nawr rydym yn ailgychwyn ac yn symud ymlaen i'r feddalwedd ar y gweinydd. Mae pob gweinydd yn hypervisor ar gyfer cynwysyddion neu beiriannau rhithwir llawn. Felly, mae'n bwysig bod y prosesydd yn cefnogi VT-x ac EPT os ydym yn bwriadu defnyddio rhithwiroli llawn.
I reoli cynwysyddion a pheiriannau rhithwir rwy'n eu defnyddio
Cynhwysyddion? Dociwr eto neu beth?
Ond na. cbsd
i drefnu y cynwysyddion hyn, a elwir yn gelloedd.
Mae'r cawell yn ateb hynod effeithiol ar gyfer adeiladu seilwaith at amrywiaeth o ddibenion, lle mae angen ynysu gwasanaethau neu brosesau unigol yn llwyr yn y pen draw. Yn y bôn, mae'n glôn o'r system westeiwr, ond nid oes angen rhithwiroli caledwedd llawn arno. A diolch i hyn, nid yw adnoddau'n cael eu gwario ar yr “OS gwadd”, ond dim ond ar y gwaith sy'n cael ei berfformio. Pan ddefnyddir celloedd ar gyfer anghenion mewnol, mae hwn yn ateb cyfleus iawn ar gyfer y defnydd gorau posibl o adnoddau - gall criw o gelloedd ar un gweinydd caledwedd ddefnyddio'r adnodd gweinydd cyfan yn unigol os oes angen. Gan ystyried bod angen ychwanegol ar wahanol is-wasanaethau fel arfer. adnoddau ar wahanol adegau, gallwch dynnu perfformiad uchaf o un gweinydd os ydych chi'n cynllunio'n iawn ac yn cydbwyso'r celloedd rhwng gweinyddwyr. Os oes angen, gall celloedd hefyd gael cyfyngiadau ar yr adnodd a ddefnyddir.
Beth am rhithwiroli llawn?
Cyn belled ag y gwn, cbsd
cefnogi gwaith bhyve
a hypervisors XEN. Nid wyf erioed wedi defnyddio'r ail un, ond mae'r un cyntaf yn gymharol newydd bhyve
yn yr enghraifft isod.
Gosod a Ffurfweddu'r Amgylchedd Gwesteiwr
Rydym yn defnyddio FS
gpart add -t freebsd-zfs /dev/ada0
/dev/ada0p4 added!
ychwanegu rhaniad disg i'r gofod sy'n weddill
geli init /dev/ada0p4
rhowch ein cyfrinair amgryptio
geli attach /dev/ada0p4
Rydyn ni'n nodi'r cyfrinair eto ac mae gennym ni ddyfais /dev/ada0p4.eli - dyma ein gofod wedi'i amgryptio. Yna rydyn ni'n ailadrodd yr un peth ar gyfer /dev/ada1 a gweddill y disgiau yn yr arae. Ac rydyn ni'n creu un newydd
zpool create vms mirror /dev/ada0p4.eli /dev/ada1p4.eli /dev/ada3p4.eli
- Wel, mae gennym y pecyn ymladd lleiaf yn barod. Amrywiaeth o ddisgiau wedi'u hadlewyrchu rhag ofn i un o'r tri fethu.
Creu set ddata ar “gronfa” newydd
zfs create vms/jails
pkg install cbsd
— fe wnaethom lansio tîm a sefydlu rheolaeth ar gyfer ein celloedd.
Ar ôl cbsd
gosod, mae angen ei gychwyn:
# env workdir="/vms/jails" /usr/local/cbsd/sudoexec/initenv
Wel, rydyn ni'n ateb criw o gwestiynau, yn bennaf gydag atebion diofyn.
*Os ydych yn defnyddio amgryptio, mae'n bwysig bod yr daemon cbsdd
ni ddechreuodd yn awtomatig nes i chi ddadgryptio'r disgiau â llaw neu'n awtomatig (yn ein hesiampl gwneir hyn gan zabbix)
**Nid wyf ychwaith yn defnyddio NAT o cbsd
, ac yr wyf yn ei ffurfweddu fy hun yn pf
.
# sysrc pf_enable=YES
# ee /etc/pf.conf
IF_PUBLIC="em0"
IP_PUBLIC="1.23.34.56"
JAIL_IP_POOL="192.168.0.0/24"
#WHITE_CL="{ 127.0.0.1 }"
icmp_types="echoreq"
set limit { states 20000, frags 20000, src-nodes 20000 }
set skip on lo0
scrub in all
#NAT for jails
nat pass on $IF_PUBLIC from $JAIL_IP_POOL to any -> $IP_PUBLIC
## Bitcoin network port forward
IP_JAIL="192.168.0.1"
PORT_JAIL="{8333}"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL
# service pf start
# pfctl -f /etc/pf.conf
Mae sefydlu polisïau wal dân hefyd yn bwnc ar wahân, felly ni fyddaf yn mynd yn ddwfn i sefydlu'r polisi BLOCIO POB UN a sefydlu rhestrau gwyn, gallwch wneud hynny trwy ddarllen
Wel... rydym wedi gosod cbsd, mae'n bryd creu ein ceffyl gwaith cyntaf - y cythraul Bitcoin cawell!
cbsd jconstruct-tui
Yma rydym yn gweld yr ymgom creu celloedd. Ar ôl i'r holl werthoedd gael eu gosod, gadewch i ni greu!
Wrth greu eich cell gyntaf, dylech ddewis beth i'w ddefnyddio fel sylfaen ar gyfer y celloedd. Rwy'n dewis dosbarthiad o'r ystorfa FreeBSD gyda'r gorchymyn repo
. Dim ond wrth greu cell gyntaf fersiwn benodol y gwneir y dewis hwn (gallwch gynnal celloedd o unrhyw fersiwn sy'n hŷn na'r fersiwn gwesteiwr).
Ar ôl i bopeth gael ei osod, rydyn ni'n lansio'r cawell!
# cbsd jstart bitcoind
Ond mae angen i ni osod meddalwedd yn y cawell.
# jls
JID IP Address Hostname Path
1 192.168.0.1 bitcoind.space.com /zroot/jails/jails/bitcoind
jexec bitcoind
i fynd i mewn i'r consol cell
ac eisoes y tu mewn i'r gell rydym yn gosod y meddalwedd gyda'i ddibyniaethau (mae ein system westeiwr yn parhau i fod yn lân)
bitcoind:/@[15:25] # pkg install bitcoin-daemon bitcoin-utils
bitcoind:/@[15:30] # sysrc bitcoind_enable=YES
bitcoind:/@[15:30] # service bitcoind start
Mae Bitcoin yn y cawell, ond mae angen anhysbysrwydd oherwydd ein bod am gysylltu â rhai cewyll trwy'r rhwydwaith TOP. Yn gyffredinol, rydym yn bwriadu rhedeg y rhan fwyaf o gelloedd gyda meddalwedd amheus yn unig trwy ddirprwy. Diolch i pf
Gallwch analluogi NAT ar gyfer ystod benodol o gyfeiriadau IP ar y rhwydwaith lleol, a chaniatáu NAT ar gyfer ein nod TOR yn unig. Felly, hyd yn oed os yw malware yn mynd i mewn i'r gell, mae'n fwyaf tebygol na fydd yn cyfathrebu â'r byd y tu allan, ac os bydd, ni fydd yn datgelu IP ein gweinydd. Felly, rydym yn creu cell arall i “hyrwyddo” gwasanaethau fel gwasanaeth “.onion” ac fel dirprwy ar gyfer cyrchu'r Rhyngrwyd i gelloedd unigol.
# cbsd jsconstruct-tui
# cbsd jstart tor
# jexec tor
tor:/@[15:38] # pkg install tor
tor:/@[15:38] # sysrc tor_enable=YES
tor:/@[15:38] # ee /usr/local/etc/tor/torrc
Gosod i wrando mewn cyfeiriad lleol (ar gael ar gyfer pob cell)
SOCKSPort 192.168.0.2:9050
Beth arall sydd ei angen arnom ar gyfer hapusrwydd llwyr? Oes, mae angen gwasanaeth ar gyfer ein gwe, efallai mwy nag un. Gadewch i ni lansio nginx, a fydd yn gweithredu fel gwrth-ddirprwy ac yn gofalu am adnewyddu tystysgrifau Let's Encrypt
# cbsd jsconstruct-tui
# cbsd jstart nginx-rev
# jexec nginx-rev
nginx-rev:/@[15:47] # pkg install nginx py36-certbot
Ac felly fe wnaethom osod 150 MB o ddibyniaethau mewn cawell. Ac mae'r gwesteiwr yn dal yn lân.
Gadewch i ni ddychwelyd i sefydlu nginx yn ddiweddarach, mae angen i ni godi dwy gell arall ar gyfer ein porth talu ar nodejs a rhwd a chymhwysiad gwe, sydd am ryw reswm yn Apache a PHP, ac mae angen cronfa ddata MySQL ar yr olaf hefyd.
# cbsd jsconstruct-tui
# cbsd jstart paygw
# jexec paygw
paygw:/@[15:55] # pkg install git node npm
paygw:/@[15:55] # curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh
...a 380 MB arall o becynnau wedi'u hynysu
Nesaf, rydym yn lawrlwytho ein cais gyda git a'i lansio.
# cbsd jsconstruct-tui
# cbsd jstart webapp
# jexec webapp
webapp:/@[16:02] # pkg install mariadb104-server apache24 php74 mod_php74 php74-pdo_mysql
450 MB pecynnau. mewn cawell.
yma rydyn ni'n rhoi mynediad i'r datblygwr trwy SSH yn uniongyrchol i'r gell, byddan nhw'n gwneud popeth yno eu hunain:
webapp:/@[16:02] # ee /etc/ssh/sshd_config
Port 2267
— newidiwch borthladd SSH y gell i unrhyw un mympwyol
webapp:/@[16:02] # sysrc sshd_enable=YES
webapp:/@[16:02] # service sshd start
Wel, mae'r gwasanaeth yn rhedeg, y cyfan sydd ar ôl yw ychwanegu'r rheol ato pf
firewall
Gawn ni weld pa IP sydd gan ein celloedd a sut olwg sydd ar ein “ardal leol” yn gyffredinol.
# jls
JID IP Address Hostname Path
1 192.168.0.1 bitcoind.space.com /zroot/jails/jails/bitcoind
2 192.168.0.2 tor.space.com /zroot/jails/jails/tor
3 192.168.0.3 nginx-rev.space.com /zroot/jails/jails/nginx-rev
4 192.168.0.4 paygw.space.com /zroot/jails/jails/paygw
5 192.168.0.5 webapp.my.domain /zroot/jails/jails/webapp
ac ychwanegu rheol
# ee /etc/pf.conf
## SSH for web-Devs
IP_JAIL="192.168.0.5"
PORT_JAIL="{ 2267 }"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL
Wel, gan ein bod ni yma, gadewch i ni hefyd ychwanegu rheol ar gyfer gwrth-ddirprwy:
## web-ports for nginx-rev
IP_JAIL="192.168.0.3"
PORT_JAIL="{ 80, 443 }"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL
# pfctl -f /etc/pf.conf
Wel, nawr ychydig am bitcoins
Yr hyn sydd gennym yw bod gennym raglen we sy'n cael ei datgelu'n allanol ac mae'n siarad yn lleol â'n porth talu. Nawr mae angen i ni baratoi amgylchedd gwaith ar gyfer rhyngweithio â'r rhwydwaith Bitcoin ei hun - y nod bitcoind
dim ond daemon ydyw sy'n cadw'r copi lleol o'r blockchain yn gyfoes. Mae gan yr ellyll hwn ymarferoldeb RPC a waled, ond mae yna “lapwyr” mwy cyfleus ar gyfer datblygu cymwysiadau. I ddechrau, fe benderfynon ni roi electrum
yn waled CLI.
gliniaduron. Am y tro byddwn yn defnyddio Electrum gyda gweinyddwyr cyhoeddus, ac yn ddiweddarach byddwn yn ei godi mewn cell arall
# cbsd jsconstruct-tui
# cbsd jstart electrum
# jexec electrum
electrum:/@[8:45] # pkg install py36-electrum
700 MB arall o feddalwedd yn ein cawell
electrum:/@[8:53] # adduser
Username: wallet
Full name:
Uid (Leave empty for default):
Login group [wallet]:
Login group is wallet. Invite wallet into other groups? []:
Login class [default]:
Shell (sh csh tcsh nologin) [sh]: tcsh
Home directory [/home/wallet]:
Home directory permissions (Leave empty for default):
Use password-based authentication? [yes]: no
Lock out the account after creation? [no]:
Username : wallet
Password : <disabled>
Full Name :
Uid : 1001
Class :
Groups : wallet
Home : /home/wallet
Home Mode :
Shell : /bin/tcsh
Locked : no
OK? (yes/no): yes
adduser: INFO: Successfully added (wallet) to the user database.
Add another user? (yes/no): no
Goodbye!
electrum:/@[8:53] # su wallet
electrum:/@[8:53] # su wallet
wallet@electrum:/ % electrum-3.6 create
{
"msg": "Please keep your seed in a safe place; if you lose it, you will not be able to restore your wallet.",
"path": "/usr/home/wallet/.electrum/wallets/default_wallet",
"seed": "jealous win pig material ribbon young punch visual okay cactus random bird"
}
Nawr mae gennym waled wedi'i chreu.
wallet@electrum:/ % electrum-3.6 listaddresses
[
"18WEhbjvMLGRMfwudzUrUd25U5C7uZYkzE",
"14XHSejhxsZNDRtk4eFbqAX3L8rftzwQQU",
"1KQXaN8RXiCN1ne9iYngUWAr6KJ6d4pPas",
...
"1KeVcAwEYhk29qEyAfPwcBgF5mMMoy4qjw",
"18VaUuSeBr6T2GwpSHYF3XyNgLyLCt1SWk"
]
wallet@electrum:/ % electrum-3.6 help
I'n ar-gadwyn Dim ond nifer cyfyngedig o bobl fydd yn gallu cysylltu â'r waled o hyn ymlaen. Er mwyn peidio ag agor mynediad i'r gell hon o'r tu allan, bydd cysylltiadau trwy SSH yn digwydd trwy TOP (fersiwn ddatganoledig o VPN). Rydym yn lansio SSH yn y gell, ond peidiwch â chyffwrdd â'n pf.conf ar y gwesteiwr.
electrum:/@[9:00] # sysrc sshd_enable=YES
electrum:/@[9:00] # service sshd start
Nawr, gadewch i ni ddiffodd y gell gyda mynediad Rhyngrwyd y waled. Gadewch i ni roi cyfeiriad IP iddo o ofod is-rwydwaith arall nad yw'n NATed. Yn gyntaf gadewch i ni newid /etc/pf.conf
ar y gwesteiwr
# ee /etc/pf.conf
JAIL_IP_POOL="192.168.0.0/24"
gadewch i ni ei newid i JAIL_IP_POOL="192.168.0.0/25"
, felly ni fydd gan bob cyfeiriad 192.168.0.126-255 fynediad uniongyrchol i'r Rhyngrwyd. Math o rwydwaith “bwlch aer” meddalwedd. Ac mae rheol NAT yn parhau fel yr oedd
nat pass on $IF_PUBLIC from $JAIL_IP_POOL to any -> $IP_PUBLIC
Gorlwytho'r rheolau
# pfctl -f /etc/pf.conf
Nawr gadewch i ni gymryd ar ein cell
# cbsd jconfig jname=electrum
jset mode=quiet jname=electrum ip4_addr="192.168.0.200"
Remove old IP: /sbin/ifconfig em0 inet 192.168.0.6 -alias
Setup new IP: /sbin/ifconfig em0 inet 192.168.0.200 alias
ip4_addr: 192.168.0.200
Hmm, ond nawr bydd y system ei hun yn rhoi'r gorau i weithio i ni. Fodd bynnag, gallwn nodi dirprwy system. Ond mae un peth, ar TOR mae'n ddirprwy SOCKS5, ac er hwylustod hoffem gael dirprwy HTTP hefyd.
# cbsd jsconstruct-tui
# cbsd jstart polipo
# jexec polipo
polipo:/@[9:28] # pkg install polipo
polipo:/@[9:28] # ee /usr/local/etc/polipo/config
socksParentProxy = "192.168.0.2:9050"
socksProxyType = socks5
polipo:/@[9:42] # sysrc polipo_enable=YES
polipo:/@[9:43] # service polipo start
Wel, nawr mae dau weinydd dirprwyol yn ein system, ac mae'r ddau yn allbwn trwy TOR: sanau5: //192.168.0.2:9050 a
Nawr gallwn ffurfweddu amgylchedd ein waled
# jexec electrum
electrum:/@[9:45] # su wallet
wallet@electrum:/ % ee ~/.cshrc
#in the end of file proxy config
setenv http_proxy http://192.168.0.6:8123
setenv https_proxy http://192.168.0.6:8123
Wel, nawr bydd y gragen yn gweithio o dan ddirprwy. Os ydym am osod pecynnau, yna dylem ychwanegu at /usr/local/etc/pkg.conf
o dan wraidd y cawell
pkg_env: {
http_proxy: "http://my_proxy_ip:8123",
}
Wel, nawr mae'n bryd ychwanegu'r gwasanaeth cudd TOR fel cyfeiriad ein gwasanaeth SSH yn y cawell waled.
# jexec tor
tor:/@[9:59] # ee /usr/local/etc/tor/torrc
HiddenServiceDir /var/db/tor/electrum/
HiddenServicePort 22 192.168.0.200:22
tor:/@[10:01] # mkdir /var/db/tor/electrum
tor:/@[10:01] # chown -R _tor:_tor /var/db/tor/electrum
tor:/@[10:01] # chmod 700 /var/db/tor/electrum
tor:/@[10:03] # service tor restart
tor:/@[10:04] # cat /var/db/tor/electrum/hostname
mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion
Dyma ein cyfeiriad cysylltiad. Gadewch i ni wirio o'r peiriant lleol. Ond yn gyntaf mae angen i ni ychwanegu ein allwedd SSH:
wallet@electrum:/ % mkdir ~/.ssh
wallet@electrum:/ % ee ~/.ssh/authorized_keys
ecdsa-sha2-nistp521 AAAAE2VjZHNhLXNoYTItbmlzdHA1MjEAAAAIbmlzdHA1MjEAAACFBAG9Fk2Lqi4GQ8EXZrsH3EgSrVIQPQaAlS38MmJLBabihv9KHIDGXH7r018hxqLNNGbaJWO/wrWk7sG4T0yLHAbdQAFsMYof9kjoyuG56z0XZ8qaD/X/AjrhLMsIoBbUNj0AzxjKNlPJL4NbHsFwbmxGulKS0PdAD5oLcTQi/VnNdU7iFw== user@local
Wel, o beiriant cleient Linux
user@local ~$ nano ~/.ssh/config
#remote electrum wallet
Host remotebtc
User wallet
Port 22
Hostname mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion
ProxyCommand /bin/ncat --proxy localhost:9050 --proxy-type socks5 %h %p
Gadewch i ni gysylltu (Er mwyn i hyn weithio, mae angen daemon TOR lleol arnoch sy'n gwrando ar 9050)
user@local ~$ ssh remotebtc
The authenticity of host 'mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion (<no hostip for proxy command>)' can't be established.
ECDSA key fingerprint is SHA256:iW8FKjhVF4yyOZB1z4sBkzyvCM+evQ9cCL/EuWm0Du4.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion' (ECDSA) to the list of known hosts.
FreeBSD 12.1-RELEASE-p1 GENERIC
To save disk space in your home directory, compress files you rarely
use with "gzip filename".
-- Dru <[email protected]>
wallet@electrum:~ % logout
Llwyddiant!
Er mwyn gweithio gyda thaliadau sydyn a micro, mae angen nod arnom hefyd c-lightning
sy'n ofynnol ar gyfer gweithredu bitcoind
ond ie.
*Mae yna wahanol weithrediadau o brotocol Rhwydwaith Mellt mewn gwahanol ieithoedd. O'r rhai a brofwyd gennym, c-mellt (a ysgrifennwyd yn C) oedd yn ymddangos y mwyaf sefydlog ac effeithlon o ran adnoddau
# cbsd jsconstruct-tui
# cbsd jstart cln
# jexec cln
lightning:/@[10:23] # adduser
Username: lightning
...
lightning:/@[10:24] # pkg install git
lightning:/@[10:23] # su lightning
cd ~ && git clone https://github.com/ElementsProject/lightning
lightning@lightning:~ % exit
lightning:/@[10:30] # cd /home/lightning/lightning/
lightning:/home/lightning/lightning@[10:31] # pkg install autoconf automake gettext git gmp gmake libtool python python3 sqlite3 libsodium py36-mako bash bitcoin-utils
lightning:/home/lightning/lightning@[10:34] # ./configure && gmake && gmake install
Tra bod popeth angenrheidiol yn cael ei lunio a'i osod, gadewch i ni greu defnyddiwr RPC ar gyfer lightningd
в bitcoind
# jexec bitcoind
bitcoind:/@[10:36] # ee /usr/local/etc/bitcoin.conf
rpcbind=192.168.0.1
rpcuser=test
rpcpassword=test
#allow only c-lightning
rpcallowip=192.168.0.7/32
bitcoind:/@[10:39] # service bitcoind restart
Nid yw fy newid anhrefnus rhwng celloedd yn troi allan i fod mor anhrefnus os nodwch y cyfleustodau tmux
, sy'n eich galluogi i greu is-sesiynau terfynell lluosog o fewn un sesiwn. Analog: screen
Felly, nid ydym am ddatgelu IP go iawn ein nod, ac rydym am gynnal yr holl drafodion ariannol trwy TOP. Felly, nid oes angen .onion arall.
# jexec tor
tor:/@[9:59] # ee /usr/local/etc/tor/torrc
HiddenServiceDir /var/db/tor/cln/
HiddenServicePort 9735 192.168.0.7:9735
tor:/@[10:01] # mkdir /var/db/tor/cln
tor:/@[10:01] # chown -R _tor:_tor /var/db/tor/cln
tor:/@[10:01] # chmod 700 /var/db/tor/cln
tor:/@[10:03] # service tor restart
tor:/@[10:04] # cat /var/db/tor/cln/hostname
en5wbkavnytti334jc5uzaudkansypfs6aguv6kech4hbzpcz2ove3yd.onion
Nawr, gadewch i ni greu config ar gyfer c-mellt
lightning:/home/lightning/lightning@[10:31] # su lightning
lightning@lightning:~ % mkdir .lightning
lightning@lightning:~ % ee .lightning/config
alias=My-LN-Node
bind-addr=192.168.0.7:9735
rgb=ff0000
announce-addr=en5wbkavnytti334jc5uzaudkansypfs6aguv6kech4hbzpcz2ove3yd.onion:9735
network=bitcoin
log-level=info
fee-base=0
fee-per-satoshi=1
proxy=192.168.0.2:9050
log-file=/home/lightning/.lightning/c-lightning.log
min-capacity-sat=200000
# sparko plugin
# https://github.com/fiatjaf/lightningd-gjson-rpc/tree/master/cmd/sparko
sparko-host=192.168.0.7
sparko-port=9737
sparko-tls-path=sparko-tls
#sparko-login=mywalletusername:mywalletpassword
#sparko-keys=masterkey;secretread:+listchannels,+listnodes;secretwrite:+invoice,+listinvoices,+delinvoice,+decodepay,+waitpay,+waitinvoice
sparko-keys=masterkey;secretread:+listchannels,+listnodes;ultrawrite:+invoice,+listinvoices,+delinvoice,+decodepay,+waitpay,+waitinvoice
# for the example above the initialization logs (mixed with lightningd logs) should print something like
lightning@lightning:~ % mkdir .lightning/plugins
lightning@lightning:~ % cd .lightning/plugins/
lightning@lightning:~/.lightning/plugins:% fetch https://github.com/fiatjaf/sparko/releases/download/v0.2.1/sparko_full_freebsd_amd64
lightning@lightning:~/.lightning/plugins % mkdir ~/.lightning/sparko-tls
lightning@lightning:~/.lightning/sparko-tls % cd ~/.lightning/sparko-tls
lightning@lightning:~/.lightning/sparko-tls % openssl genrsa -out key.pem 2048
lightning@lightning:~/.lightning/sparko-tls % openssl req -new -x509 -sha256 -key key.pem -out cert.pem -days 3650
lightning@lightning:~/.lightning/plugins % chmod +x sparko_full_freebsd_amd64
lightning@lightning:~/.lightning/plugins % mv sparko_full_freebsd_amd64 sparko
lightning@lightning:~/.lightning/plugins % cd ~
mae angen i chi hefyd greu ffeil ffurfweddu ar gyfer bitcoin-cli, cyfleustodau sy'n cyfathrebu â bitcoind
lightning@lightning:~ % mkdir .bitcoin
lightning@lightning:~ % ee .bitcoin/bitcoin.conf
rpcconnect=192.168.0.1
rpcuser=test
rpcpassword=test
gwirio
lightning@lightning:~ % bitcoin-cli echo "test"
[
"test"
]
lansio lightningd
lightning@lightning:~ % lightningd --daemon
Hun lightningd
gallwch reoli'r cyfleustodau lightning-cli
, er enghraifft:
lightning-cli newaddr
cael y cyfeiriad ar gyfer taliad newydd sy'n dod i mewn
{
"address": "bc1q2n2ffq3lplhme8jufcxahfrnfhruwjgx3c78pv",
"bech32": "bc1q2n2ffq3lplhme8jufcxahfrnfhruwjgx3c78pv"
}
lightning-cli withdraw bc1jufcxahfrnfhruwjgx3cq2n2ffq3lplhme878pv all
anfon yr holl arian yn y waled i'r cyfeiriad (pob cyfeiriad ar gadwyn)
Hefyd gorchmynion ar gyfer gweithrediadau oddi ar y gadwyn lightning-cli invoice
, lightning-cli listinvoices
, lightning-cli pay
ac yn y blaen
Wel, ar gyfer cyfathrebu â'r cais mae gennym REST Api
curl -k https://192.168.0.7:9737/rpc -d '{"method": "pay", "params": ["lnbc..."]}' -H 'X-Access masterkey'
Crynhoi
# jls
JID IP Address Hostname Path
1 192.168.0.1 bitcoind.space.com /zroot/jails/jails/bitcoind
2 192.168.0.2 tor.space.com /zroot/jails/jails/tor
3 192.168.0.3 nginx-rev.space.com /zroot/jails/jails/nginx-rev
4 192.168.0.4 paygw.space.com /zroot/jails/jails/paygw
5 192.168.0.5 webapp.my.domain /zroot/jails/jails/webapp
7 192.168.0.200 electrum.space.com /zroot/jails/jails/electrum
8 192.168.0.6 polipo.space.com /zroot/jails/jails/polipo
9 192.168.0.7 lightning.space.com /zroot/jails/jails/cln
Mae gennym set o gynwysyddion, pob un â'i lefel ei hun o fynediad o'r rhwydwaith lleol ac iddo.
# zfs list
NAME USED AVAIL REFER MOUNTPOINT
zroot 279G 1.48T 88K /zroot
zroot/ROOT 1.89G 1.48T 88K none
zroot/ROOT/default 1.89G 17.6G 1.89G /
zroot/home 88K 1.48T 88K /home
zroot/jails 277G 1.48T 404M /zroot/jails
zroot/jails/bitcoind 190G 1.48T 190G /zroot/jails/jails-data/bitcoind-data
zroot/jails/cln 653M 1.48T 653M /zroot/jails/jails-data/cln-data
zroot/jails/electrum 703M 1.48T 703M /zroot/jails/jails-data/electrum-data
zroot/jails/nginx-rev 190M 1.48T 190M /zroot/jails/jails-data/nginx-rev-data
zroot/jails/paygw 82.4G 1.48T 82.4G /zroot/jails/jails-data/paygw-data
zroot/jails/polipo 57.6M 1.48T 57.6M /zroot/jails/jails-data/polipo-data
zroot/jails/tor 81.5M 1.48T 81.5M /zroot/jails/jails-data/tor-data
zroot/jails/webapp 360M 1.48T 360M /zroot/jails/jails-data/webapp-data
Fel y gallwch weld, mae bitcoind yn cymryd yr holl le 190 GB. Beth os oes angen nod arall arnom ar gyfer profi? Dyma lle mae ZFS yn ddefnyddiol. Gyda chymorth cbsd jclone old=bitcoind new=bitcoind-clone host_hostname=clonedbtc.space.com
gallwch greu ciplun ac atodi cell newydd i'r ciplun hwn. Bydd gan y gell newydd ei gofod ei hun, ond dim ond y gwahaniaeth rhwng y cyflwr presennol a'r gwreiddiol fydd yn cael ei ystyried yn y system ffeiliau (byddwn yn arbed o leiaf 190 GB)
Mae pob cell yn set ddata ZFS ar wahân, ac mae hyn yn hynod o gyfleus.
Mae hefyd yn werth nodi'r angen am fonitro'r gwesteiwr o bell, at y dibenion hyn sydd gennym
B - diogelwch
O ran diogelwch, gadewch i ni ddechrau o'r egwyddorion allweddol yng nghyd-destun seilwaith:
Конфиденциальность - Mae offer safonol systemau tebyg i UNIX yn sicrhau gweithrediad yr egwyddor hon. Rydym yn gwahanu mynediad yn rhesymegol i bob elfen o'r system sy'n rhesymegol ar wahân - cell. Darperir mynediad trwy ddilysiad defnyddiwr safonol gan ddefnyddio allweddi personol y defnyddwyr. Mae'r holl gyfathrebu rhwng ac i'r celloedd diwedd yn digwydd ar ffurf wedi'i hamgryptio. Diolch i amgryptio disg, nid oes rhaid i ni boeni am ddiogelwch data wrth ailosod disg neu fudo i weinydd arall. Yr unig fynediad hanfodol yw mynediad i'r system letyol, gan fod mynediad o'r fath yn gyffredinol yn darparu mynediad at ddata y tu mewn i gynwysyddion.
Uniondeb “Mae gweithredu’r egwyddor hon yn digwydd ar sawl lefel wahanol. Yn gyntaf, mae'n bwysig nodi, yn achos caledwedd gweinydd, cof ECC, bod ZFS eisoes “allan o'r bocs” yn gofalu am gywirdeb data ar lefel y darnau gwybodaeth. Mae cipluniau ar unwaith yn caniatáu ichi wneud copïau wrth gefn ar unrhyw adeg wrth hedfan. Mae offer allforio/mewnforio celloedd cyfleus yn gwneud dyblygu celloedd yn syml.
Argaeledd - Mae hyn eisoes yn ddewisol. Mae'n dibynnu ar raddau eich enwogrwydd a'r ffaith bod gennych chi gaswyr. Yn ein hesiampl, gwnaethom sicrhau bod y waled yn hygyrch yn unig o'r rhwydwaith TOP. Os oes angen, gallwch rwystro popeth ar y wal dân a chaniatáu mynediad i'r gweinydd trwy dwneli yn unig (mae TOR neu VPN yn fater arall). Felly, bydd y gweinydd yn cael ei dorri i ffwrdd o'r byd y tu allan cymaint â phosibl, a dim ond ni ein hunain fydd yn gallu dylanwadu ar ei argaeledd.
Amhosibilrwydd gwrthod - Ac mae hyn yn dibynnu ar weithrediad pellach a chydymffurfiaeth â'r polisïau cywir ar gyfer hawliau defnyddwyr, mynediad, ac ati. Ond gyda'r dull cywir, mae holl gamau gweithredu defnyddwyr yn cael eu harchwilio, a diolch i atebion cryptograffig mae'n bosibl nodi'n ddiamwys pwy a gyflawnodd rai gweithredoedd a phryd.
Wrth gwrs, nid yw'r cyfluniad a ddisgrifir yn enghraifft absoliwt o sut y dylai fod bob amser, mae'n hytrach yn un enghraifft o sut y gall fod, tra'n cadw galluoedd graddio ac addasu hyblyg iawn.
Beth am rhithwiroli llawn?
Ynglŷn â rhithwiroli llawn gan ddefnyddio cbsd gallwch chi bhyve
Mae angen i chi alluogi rhai opsiynau cnewyllyn.
# cat /etc/rc.conf
...
kld_list="vmm if_tap if_bridge nmdm"
...
# cat /boot/loader.conf
...
vmm_load="YES"
...
Felly os oes angen i chi gychwyn docwr yn sydyn, yna gosodwch rai debian a mynd!
Dyna i gyd
Mae'n debyg mai dyna'r cyfan roeddwn i eisiau ei rannu. Os oeddech chi'n hoffi'r erthygl, yna gallwch chi anfon rhai bitcoins ataf -
Ffynhonnell: hab.com