این اتفاق افتاد که من به طور حرفه ای مدیر سیستم ها و شبکه های کامپیوتری هستم (به طور خلاصه: مدیر سیستم) و کمی بیش از 10 سال فرصت داشتم به پروفسور بگویم. فعالیتهای طیف گستردهای از سیستمها، از جمله آنهایی که به اقدامات امنیتی [افراطی] نیاز دارند. اتفاقا چند وقت پیش هم برام جالب بود dev
بنابراین، من از آنجا عبور می کردم). اما من در مورد توسعه صحبت نمی کنم، من در مورد یک محیط امن و کارآمد برای برنامه ها صحبت می کنم.
فناوری مالی (fintech) کنار امنیت اطلاعات بروید (infosec) و اولی می تواند بدون دومی کار کند، اما نه برای مدت طولانی. به همین دلیل میخواهم تجربهام و مجموعه ابزارهایی را که استفاده میکنم، که هر دو را شامل میشود، به اشتراک بگذارم fintechو infosec، و در عین حال، و همچنین می تواند برای اهداف گسترده تر یا کاملا متفاوت استفاده شود. در این مقاله نه چندان در مورد بیت کوین، بلکه در مورد مدل زیرساختی برای توسعه و بهره برداری از خدمات مالی (و نه تنها) - در یک کلام، خدماتی که "B" اهمیت دارد، به شما خواهم گفت. این هم در مورد صرافی بیت کوین و هم در مورد معمولی ترین باغ وحش شرکتی خدمات یک شرکت کوچک که به هیچ وجه با بیت کوین مرتبط نیست، صدق می کند.
توجه داشته باشم که من طرفدار اصول هستم "ساده باش احمقانه" и "کمتر بیشتر است"بنابراین، هم مقاله و هم آنچه در آن شرح داده شده است دارای خواصی خواهد بود که این اصول در مورد آن است.
سناریوی خیالی: بیایید با استفاده از مثال مبدل بیت کوین به همه چیز نگاه کنیم. ما تصمیم گرفتیم مبادله روبل، دلار، یورو را برای بیت کوین و برگشت راه اندازی کنیم و در حال حاضر یک راه حل کارآمد داریم، اما برای سایر پول های دیجیتال مانند qiwi و webmoney، یعنی. ما تمام مسائل قانونی را بسته ایم، یک برنامه آماده داریم که به عنوان درگاه پرداخت روبل، دلار و یورو و سایر سیستم های پرداخت عمل می کند. به حساب های بانکی ما متصل است و نوعی API برای برنامه های نهایی ما دارد. ما همچنین یک برنامه وب داریم که به عنوان یک مبدل برای کاربران عمل می کند، خوب، مانند یک حساب معمولی qiwi یا webmoney - ایجاد یک حساب، اضافه کردن یک کارت و غیره. با برنامه دروازه ما ارتباط برقرار می کند، البته از طریق REST API در منطقه محلی. و بنابراین تصمیم گرفتیم بیت کوین ها را به هم متصل کنیم و در عین حال زیرساخت ها را ارتقا دهیم، زیرا ... در ابتدا، همه چیز با عجله روی جعبه های مجازی در دفتر زیر میز قرار داده شد ... سایت شروع به استفاده کرد و ما شروع به نگرانی در مورد زمان کار و عملکرد کردیم.
بنابراین، بیایید با چیز اصلی شروع کنیم - انتخاب یک سرور. زیرا کسب و کار در مثال ما کوچک است و ما به میزبان (OVH) که انتخاب خواهیم کرد اعتماد داریم
نصب سرور
اینجا همه چیز ساده است. ما سخت افزاری را انتخاب می کنیم که متناسب با نیازهای ما باشد. سپس تصویر FreeBSD را انتخاب کنید. خوب، یا ما (در مورد یک هاست دیگر و سخت افزار خودمان) از طریق IPMI یا با مانیتور وصل می شویم و تصویر .iso FreeBSD را وارد دانلود می کنیم. برای تنظیم ارکستر استفاده می کنم
نصب سیستم به روش استاندارد انجام می شود، من در این مورد نمی پردازم، فقط توجه می کنم که قبل از شروع عملیات ارزش توجه دارد سخت شدن گزینه هایی که ارائه می دهد bsdinstaller
در پایان نصب (اگر خودتان سیستم را نصب کنید):
وجود دارد
همچنین امکان فعال کردن پارامترهای ذکر شده در بالا در یک سیستم از قبل نصب شده وجود دارد. برای این کار باید فایل بوت لودر را ویرایش کرده و پارامترهای هسته را فعال کنید. *ee یک ویرایشگر مانند این در BSD است
# ee /etc/rc.conf
...
#sec hard
clear_tmp_enable="YES"
syslogd_flags="-ss"
sendmail_enable="NONE"
# ee /etc/sysctl.conf
...
#sec hard
security.bsd.see_other_uids=0
security.bsd.see_other_gids=0
security.bsd.unprivileged_read_msgbuf=0
security.bsd.unprivileged_proc_debug=0
kern.randompid=$(jot -r 1 9999)
security.bsd.stack_guard_page=1
همچنین باید مطمئن شوید که آخرین نسخه سیستم را نصب کرده اید و
سپس پیکربندی می کنیم aide
، نظارت بر وضعیت فایل های پیکربندی سیستم. می توانید با جزئیات بیشتر بخوانید
pkg install aide
و کرونتاب ما را ویرایش کنید
crontab -e
06 01 * * 0-6 /root/chkaide.sh
#! /bin/sh
#chkaide.sh
MYDATE=`date +%Y-%m-%d`
MYFILENAME="Aide-"$MYDATE.txt
/bin/echo "Aide check !! `date`" > /tmp/$MYFILENAME
/usr/local/bin/aide --check > /tmp/myAide.txt
/bin/cat /tmp/myAide.txt|/usr/bin/grep -v failed >> /tmp/$MYFILENAME
/bin/echo "**************************************" >> /tmp/$MYFILENAME
/usr/bin/tail -20 /tmp/myAide.txt >> /tmp/$MYFILENAME
/bin/echo "****************DONE******************" >> /tmp/$MYFILENAME
روشن کنید
sysrc auditd_enable=YES
# service auditd start
نحوه اداره این موضوع کاملاً توضیح داده شده است
حالا ریبوت می کنیم و به سراغ نرم افزار روی سرور می رویم. هر سرور یک هایپروایزر برای کانتینرها یا ماشین های مجازی کامل است. بنابراین، اگر قصد داریم از مجازی سازی کامل استفاده کنیم، مهم است که پردازنده از VT-x و EPT پشتیبانی کند.
برای مدیریت کانتینرها و ماشین های مجازی استفاده می کنم
ظروف؟ دوباره داکر یا چی؟
اما نه. cbsd
برای تنظیم این ظروف که سلول نامیده می شوند.
قفس یک راه حل بسیار موثر برای ساخت زیرساخت برای اهداف مختلف است، جایی که در نهایت به جداسازی کامل خدمات یا فرآیندهای فردی نیاز است. در اصل، این یک شبیه سازی از سیستم میزبان است، اما نیازی به مجازی سازی کامل سخت افزاری ندارد. و به لطف این، منابع برای "سیستم عامل مهمان" صرف نمی شود، بلکه فقط برای کارهای در حال انجام است. هنگامی که سلول ها برای نیازهای داخلی استفاده می شوند، این یک راه حل بسیار مناسب برای استفاده بهینه از منابع است - دسته ای از سلول ها در یک سرور سخت افزاری می توانند هر کدام به صورت جداگانه در صورت لزوم از کل منبع سرور استفاده کنند. با توجه به اینکه معمولاً زیرخدمات مختلف نیاز به اضافی دارند. منابع در زمانهای مختلف، اگر بهدرستی سلولها را بین سرورها برنامهریزی و متعادل کنید، میتوانید حداکثر عملکرد را از یک سرور استخراج کنید. در صورت لزوم، سلولها همچنین میتوانند محدودیتهایی در مورد منبع مورد استفاده در نظر بگیرند.
مجازی سازی کامل چطور؟
تا آنجا که میدونم cbsd
کار را پشتیبانی می کند bhyve
و هایپروایزر XEN من تا حالا از دومی استفاده نکردم ولی اولی نسبتا جدیده bhyve
در مثال زیر
نصب و پیکربندی محیط میزبان
ما از FS استفاده می کنیم
gpart add -t freebsd-zfs /dev/ada0
/dev/ada0p4 added!
یک پارتیشن دیسک را به فضای باقیمانده اضافه کنید
geli init /dev/ada0p4
رمز رمزگذاری ما را وارد کنید
geli attach /dev/ada0p4
رمز عبور را دوباره وارد می کنیم و یک دستگاه /dev/ada0p4.eli داریم - این فضای رمزگذاری شده ما است. سپس همین کار را برای /dev/ada1 و بقیه دیسک های آرایه تکرار می کنیم. و ما یک مورد جدید ایجاد می کنیم
zpool create vms mirror /dev/ada0p4.eli /dev/ada1p4.eli /dev/ada3p4.eli
- خب، ما حداقل کیت رزمی را آماده داریم. آرایه آینهای از دیسکها در صورت خرابی یکی از سه دیسک.
ایجاد یک مجموعه داده در یک "pool" جدید
zfs create vms/jails
pkg install cbsd
- ما یک تیم راه اندازی کردیم و مدیریت سلول های خود را راه اندازی کردیم.
پس از cbsd
نصب شده است، باید مقداردهی اولیه شود:
# env workdir="/vms/jails" /usr/local/cbsd/sudoexec/initenv
خوب، ما به یکسری سؤالات، عمدتاً با پاسخ های پیش فرض پاسخ می دهیم.
*اگر از رمزگذاری استفاده می کنید، مهم است که دیمون cbsdd
تا زمانی که دیسک ها را به صورت دستی یا خودکار رمزگشایی نکنید به طور خودکار شروع نمی شود (در مثال ما این کار توسط zabbix انجام می شود)
**از NAT هم استفاده نمی کنم cbsd
، و من خودم آن را در آن پیکربندی می کنم pf
.
# sysrc pf_enable=YES
# ee /etc/pf.conf
IF_PUBLIC="em0"
IP_PUBLIC="1.23.34.56"
JAIL_IP_POOL="192.168.0.0/24"
#WHITE_CL="{ 127.0.0.1 }"
icmp_types="echoreq"
set limit { states 20000, frags 20000, src-nodes 20000 }
set skip on lo0
scrub in all
#NAT for jails
nat pass on $IF_PUBLIC from $JAIL_IP_POOL to any -> $IP_PUBLIC
## Bitcoin network port forward
IP_JAIL="192.168.0.1"
PORT_JAIL="{8333}"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL
# service pf start
# pfctl -f /etc/pf.conf
تنظیم خطمشیهای فایروال نیز یک موضوع جداگانه است، بنابراین من به راهاندازی خطمشی BLOCK ALL و تنظیم لیستهای سفید نمیپردازم، میتوانید با خواندن این کار را انجام دهید.
خوب... ما cbsd را نصب کرده ایم، وقت آن رسیده است که اولین اسب کاری خود را ایجاد کنیم - شیطان بیت کوین در قفس!
cbsd jconstruct-tui
در اینجا گفتگوی ایجاد سلول را می بینیم. پس از تنظیم همه مقادیر، بیایید ایجاد کنیم!
هنگام ایجاد اولین سلول خود، باید انتخاب کنید که از چه چیزی به عنوان پایه سلول ها استفاده کنید. من یک توزیع را از مخزن FreeBSD با دستور انتخاب می کنم repo
. این انتخاب فقط هنگام ایجاد اولین سلول از یک نسخه خاص انجام می شود (شما می توانید سلول های هر نسخه ای را که قدیمی تر از نسخه میزبان است میزبانی کنید).
پس از نصب همه چیز، قفس را راه اندازی می کنیم!
# cbsd jstart bitcoind
اما باید نرم افزاری را در قفس نصب کنیم.
# jls
JID IP Address Hostname Path
1 192.168.0.1 bitcoind.space.com /zroot/jails/jails/bitcoind
jexec bitcoind
برای ورود به کنسول سلولی
و قبلاً در داخل سلول نرم افزار را با وابستگی های آن نصب می کنیم (سیستم میزبان ما تمیز می ماند)
bitcoind:/@[15:25] # pkg install bitcoin-daemon bitcoin-utils
bitcoind:/@[15:30] # sysrc bitcoind_enable=YES
bitcoind:/@[15:30] # service bitcoind start
بیت کوین در قفس وجود دارد، اما ما نیاز به ناشناس بودن داریم زیرا می خواهیم از طریق شبکه TOP به برخی از قفس ها متصل شویم. به طور کلی، ما قصد داریم اکثر سلول ها را با نرم افزارهای مشکوک فقط از طریق یک پروکسی اجرا کنیم. با تشکر از pf
میتوانید NAT را برای محدوده مشخصی از آدرسهای IP در شبکه محلی غیرفعال کنید و NAT را فقط برای گره TOR ما مجاز کنید. بنابراین، حتی اگر بدافزار وارد سلول شود، به احتمال زیاد با دنیای خارج ارتباط برقرار نخواهد کرد و در صورت برقراری ارتباط، IP سرور ما را فاش نخواهد کرد. بنابراین، ما سلول دیگری را برای "Forward" خدمات به عنوان یک سرویس ".onion" و به عنوان یک پروکسی برای دسترسی به اینترنت به سلول های جداگانه ایجاد می کنیم.
# cbsd jsconstruct-tui
# cbsd jstart tor
# jexec tor
tor:/@[15:38] # pkg install tor
tor:/@[15:38] # sysrc tor_enable=YES
tor:/@[15:38] # ee /usr/local/etc/tor/torrc
تنظیم برای گوش دادن در یک آدرس محلی (در دسترس برای همه سلول ها)
SOCKSPort 192.168.0.2:9050
چه چیز دیگری برای خوشبختی کامل نیاز داریم؟ بله، ما به یک سرویس برای وب خود نیاز داریم، شاید بیش از یک سرویس. بیایید nginx را راه اندازی کنیم، که به عنوان یک پروکسی معکوس عمل می کند و از تمدید گواهینامه های Let's Encrypt مراقبت می کند.
# cbsd jsconstruct-tui
# cbsd jstart nginx-rev
# jexec nginx-rev
nginx-rev:/@[15:47] # pkg install nginx py36-certbot
و بنابراین ما 150 مگابایت وابستگی را در یک قفس قرار دادیم. و میزبان هنوز تمیز است.
بیایید بعداً به راه اندازی nginx برگردیم، باید دو سلول دیگر برای دروازه پرداخت خود در nodejs and rust و یک برنامه وب که به دلایلی در Apache و PHP است و دومی نیز به پایگاه داده MySQL نیاز دارد، افزایش دهیم.
# cbsd jsconstruct-tui
# cbsd jstart paygw
# jexec paygw
paygw:/@[15:55] # pkg install git node npm
paygw:/@[15:55] # curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh
... و 380 مگابایت دیگر بسته ایزوله شده است
در مرحله بعد، اپلیکیشن خود را با git دانلود کرده و راه اندازی می کنیم.
# cbsd jsconstruct-tui
# cbsd jstart webapp
# jexec webapp
webapp:/@[16:02] # pkg install mariadb104-server apache24 php74 mod_php74 php74-pdo_mysql
بسته های 450 مگابایتی در یک قفس
در اینجا ما به توسعه دهنده دسترسی مستقیم از طریق SSH را به سلول می دهیم، آنها همه کارها را در آنجا انجام می دهند:
webapp:/@[16:02] # ee /etc/ssh/sshd_config
Port 2267
- پورت SSH سلول را به هر یک دلخواه تغییر دهید
webapp:/@[16:02] # sysrc sshd_enable=YES
webapp:/@[16:02] # service sshd start
خوب، سرویس در حال اجرا است، تنها چیزی که باقی می ماند این است که قانون را به آن اضافه کنید pf
فایروال
بیایید ببینیم سلول های ما چه IP دارند و "منطقه محلی" ما به طور کلی چگونه به نظر می رسد.
# jls
JID IP Address Hostname Path
1 192.168.0.1 bitcoind.space.com /zroot/jails/jails/bitcoind
2 192.168.0.2 tor.space.com /zroot/jails/jails/tor
3 192.168.0.3 nginx-rev.space.com /zroot/jails/jails/nginx-rev
4 192.168.0.4 paygw.space.com /zroot/jails/jails/paygw
5 192.168.0.5 webapp.my.domain /zroot/jails/jails/webapp
و یک قانون اضافه کنید
# ee /etc/pf.conf
## SSH for web-Devs
IP_JAIL="192.168.0.5"
PORT_JAIL="{ 2267 }"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL
خوب، از آنجایی که ما اینجا هستیم، اجازه دهید یک قانون برای پروکسی معکوس نیز اضافه کنیم:
## web-ports for nginx-rev
IP_JAIL="192.168.0.3"
PORT_JAIL="{ 80, 443 }"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL
# pfctl -f /etc/pf.conf
خوب، اکنون کمی در مورد بیت کوین
آنچه ما داریم این است که یک برنامه وب داریم که به صورت خارجی در معرض دید قرار می گیرد و به صورت محلی با درگاه پرداخت ما صحبت می کند. اکنون باید یک محیط کاری برای تعامل با خود شبکه بیت کوین - گره - آماده کنیم bitcoind
این فقط یک دیمون است که کپی محلی بلاک چین را به روز نگه می دارد. این دیمون دارای عملکرد RPC و کیف پول است، اما "wrapers" راحت تری برای توسعه برنامه وجود دارد. برای شروع، تصمیم گرفتیم قرار دهیم electrum
یک کیف پول CLI است.
لپ تاپ ها در حال حاضر ما از Electrum با سرورهای عمومی استفاده خواهیم کرد و بعداً آن را در سلول دیگری افزایش خواهیم داد
# cbsd jsconstruct-tui
# cbsd jstart electrum
# jexec electrum
electrum:/@[8:45] # pkg install py36-electrum
700 مگابایت نرم افزار دیگر در قفس ما
electrum:/@[8:53] # adduser
Username: wallet
Full name:
Uid (Leave empty for default):
Login group [wallet]:
Login group is wallet. Invite wallet into other groups? []:
Login class [default]:
Shell (sh csh tcsh nologin) [sh]: tcsh
Home directory [/home/wallet]:
Home directory permissions (Leave empty for default):
Use password-based authentication? [yes]: no
Lock out the account after creation? [no]:
Username : wallet
Password : <disabled>
Full Name :
Uid : 1001
Class :
Groups : wallet
Home : /home/wallet
Home Mode :
Shell : /bin/tcsh
Locked : no
OK? (yes/no): yes
adduser: INFO: Successfully added (wallet) to the user database.
Add another user? (yes/no): no
Goodbye!
electrum:/@[8:53] # su wallet
electrum:/@[8:53] # su wallet
wallet@electrum:/ % electrum-3.6 create
{
"msg": "Please keep your seed in a safe place; if you lose it, you will not be able to restore your wallet.",
"path": "/usr/home/wallet/.electrum/wallets/default_wallet",
"seed": "jealous win pig material ribbon young punch visual okay cactus random bird"
}
اکنون یک کیف پول ایجاد کرده ایم.
wallet@electrum:/ % electrum-3.6 listaddresses
[
"18WEhbjvMLGRMfwudzUrUd25U5C7uZYkzE",
"14XHSejhxsZNDRtk4eFbqAX3L8rftzwQQU",
"1KQXaN8RXiCN1ne9iYngUWAr6KJ6d4pPas",
...
"1KeVcAwEYhk29qEyAfPwcBgF5mMMoy4qjw",
"18VaUuSeBr6T2GwpSHYF3XyNgLyLCt1SWk"
]
wallet@electrum:/ % electrum-3.6 help
به ما در زنجیره از این پس فقط تعداد محدودی از افراد می توانند به کیف پول متصل شوند. برای اینکه دسترسی به این سلول از خارج باز نشود، اتصالات از طریق SSH از طریق TOP (نسخه غیرمتمرکز VPN) انجام می شود. ما SSH را در سلول راه اندازی می کنیم، اما pf.conf خود را روی میزبان لمس نمی کنیم.
electrum:/@[9:00] # sysrc sshd_enable=YES
electrum:/@[9:00] # service sshd start
حالا بیایید تلفن همراه با دسترسی به اینترنت کیف پول را خاموش کنیم. بیایید یک آدرس IP از فضای زیرشبکه دیگری که NAT نشده است به آن بدهیم. اول بیایید تغییر کنیم /etc/pf.conf
روی میزبان
# ee /etc/pf.conf
JAIL_IP_POOL="192.168.0.0/24"
بیایید آن را به JAIL_IP_POOL="192.168.0.0/25"
، بنابراین تمام آدرس های 192.168.0.126-255 دسترسی مستقیم به اینترنت نخواهند داشت. نوعی شبکه نرم افزاری «هوا گپ». و قانون NAT همانطور که بود باقی می ماند
nat pass on $IF_PUBLIC from $JAIL_IP_POOL to any -> $IP_PUBLIC
بارگذاری بیش از حد قوانین
# pfctl -f /etc/pf.conf
حالا بیایید سلول خود را در دست بگیریم
# cbsd jconfig jname=electrum
jset mode=quiet jname=electrum ip4_addr="192.168.0.200"
Remove old IP: /sbin/ifconfig em0 inet 192.168.0.6 -alias
Setup new IP: /sbin/ifconfig em0 inet 192.168.0.200 alias
ip4_addr: 192.168.0.200
هوم، اما اکنون خود سیستم برای ما کار نخواهد کرد. با این حال، ما می توانیم یک پروکسی سیستم را مشخص کنیم. اما یک چیز وجود دارد، در TOR آن یک پروکسی SOCKS5 است، و برای راحتی ما یک پروکسی HTTP نیز می خواهیم.
# cbsd jsconstruct-tui
# cbsd jstart polipo
# jexec polipo
polipo:/@[9:28] # pkg install polipo
polipo:/@[9:28] # ee /usr/local/etc/polipo/config
socksParentProxy = "192.168.0.2:9050"
socksProxyType = socks5
polipo:/@[9:42] # sysrc polipo_enable=YES
polipo:/@[9:43] # service polipo start
خوب، اکنون دو سرور پروکسی در سیستم ما وجود دارد و هر دو از طریق TOR خروجی میکنند: socks5://192.168.0.2:9050 و
اکنون می توانیم محیط کیف پول خود را پیکربندی کنیم
# jexec electrum
electrum:/@[9:45] # su wallet
wallet@electrum:/ % ee ~/.cshrc
#in the end of file proxy config
setenv http_proxy http://192.168.0.6:8123
setenv https_proxy http://192.168.0.6:8123
خوب، اکنون پوسته از زیر یک پروکسی کار خواهد کرد. اگر می خواهیم بسته ها را نصب کنیم، باید به آن اضافه کنیم /usr/local/etc/pkg.conf
از زیر ریشه قفس
pkg_env: {
http_proxy: "http://my_proxy_ip:8123",
}
خوب، اکنون زمان آن رسیده است که سرویس مخفی TOR را به عنوان آدرس سرویس SSH خود در سلول کیف پول اضافه کنیم.
# jexec tor
tor:/@[9:59] # ee /usr/local/etc/tor/torrc
HiddenServiceDir /var/db/tor/electrum/
HiddenServicePort 22 192.168.0.200:22
tor:/@[10:01] # mkdir /var/db/tor/electrum
tor:/@[10:01] # chown -R _tor:_tor /var/db/tor/electrum
tor:/@[10:01] # chmod 700 /var/db/tor/electrum
tor:/@[10:03] # service tor restart
tor:/@[10:04] # cat /var/db/tor/electrum/hostname
mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion
این آدرس اتصال ما است. بیایید از دستگاه محلی بررسی کنیم. اما ابتدا باید کلید SSH خود را اضافه کنیم:
wallet@electrum:/ % mkdir ~/.ssh
wallet@electrum:/ % ee ~/.ssh/authorized_keys
ecdsa-sha2-nistp521 AAAAE2VjZHNhLXNoYTItbmlzdHA1MjEAAAAIbmlzdHA1MjEAAACFBAG9Fk2Lqi4GQ8EXZrsH3EgSrVIQPQaAlS38MmJLBabihv9KHIDGXH7r018hxqLNNGbaJWO/wrWk7sG4T0yLHAbdQAFsMYof9kjoyuG56z0XZ8qaD/X/AjrhLMsIoBbUNj0AzxjKNlPJL4NbHsFwbmxGulKS0PdAD5oLcTQi/VnNdU7iFw== user@local
خوب، از یک ماشین مشتری لینوکس
user@local ~$ nano ~/.ssh/config
#remote electrum wallet
Host remotebtc
User wallet
Port 22
Hostname mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion
ProxyCommand /bin/ncat --proxy localhost:9050 --proxy-type socks5 %h %p
بیایید وصل شویم (برای اینکه این کار انجام شود، به یک شبح TOR محلی نیاز دارید که به 9050 گوش می دهد)
user@local ~$ ssh remotebtc
The authenticity of host 'mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion (<no hostip for proxy command>)' can't be established.
ECDSA key fingerprint is SHA256:iW8FKjhVF4yyOZB1z4sBkzyvCM+evQ9cCL/EuWm0Du4.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion' (ECDSA) to the list of known hosts.
FreeBSD 12.1-RELEASE-p1 GENERIC
To save disk space in your home directory, compress files you rarely
use with "gzip filename".
-- Dru <[email protected]>
wallet@electrum:~ % logout
!
برای کار با پرداخت های آنی و خرد نیز به گره نیاز داریم c-lightning
برای عملکرد مورد نیاز است bitcoind
اما بله.
*پیاده سازی های مختلفی از پروتکل شبکه لایتنینگ در زبان های مختلف وجود دارد. از بین مواردی که ما آزمایش کردیم، c-lightning (نوشته شده در C) پایدارترین و کارآمدترین به نظر می رسید.
# cbsd jsconstruct-tui
# cbsd jstart cln
# jexec cln
lightning:/@[10:23] # adduser
Username: lightning
...
lightning:/@[10:24] # pkg install git
lightning:/@[10:23] # su lightning
cd ~ && git clone https://github.com/ElementsProject/lightning
lightning@lightning:~ % exit
lightning:/@[10:30] # cd /home/lightning/lightning/
lightning:/home/lightning/lightning@[10:31] # pkg install autoconf automake gettext git gmp gmake libtool python python3 sqlite3 libsodium py36-mako bash bitcoin-utils
lightning:/home/lightning/lightning@[10:34] # ./configure && gmake && gmake install
در حالی که همه چیز لازم کامپایل و نصب شده است، بیایید یک کاربر RPC برای آن ایجاد کنیم lightningd
в bitcoind
# jexec bitcoind
bitcoind:/@[10:36] # ee /usr/local/etc/bitcoin.conf
rpcbind=192.168.0.1
rpcuser=test
rpcpassword=test
#allow only c-lightning
rpcallowip=192.168.0.7/32
bitcoind:/@[10:39] # service bitcoind restart
اگر به این ابزار توجه داشته باشید، تغییر هرج و مرج من بین سلول ها چندان آشفته نیست tmux
، که به شما امکان می دهد چندین جلسه فرعی ترمینال را در یک جلسه ایجاد کنید. آنالوگ: screen
بنابراین، ما نمی خواهیم IP واقعی گره خود را فاش کنیم و می خواهیم تمام تراکنش های مالی را از طریق TOP انجام دهیم. بنابراین، پیاز دیگری لازم نیست.
# jexec tor
tor:/@[9:59] # ee /usr/local/etc/tor/torrc
HiddenServiceDir /var/db/tor/cln/
HiddenServicePort 9735 192.168.0.7:9735
tor:/@[10:01] # mkdir /var/db/tor/cln
tor:/@[10:01] # chown -R _tor:_tor /var/db/tor/cln
tor:/@[10:01] # chmod 700 /var/db/tor/cln
tor:/@[10:03] # service tor restart
tor:/@[10:04] # cat /var/db/tor/cln/hostname
en5wbkavnytti334jc5uzaudkansypfs6aguv6kech4hbzpcz2ove3yd.onion
حالا بیایید یک پیکربندی برای c-lightning ایجاد کنیم
lightning:/home/lightning/lightning@[10:31] # su lightning
lightning@lightning:~ % mkdir .lightning
lightning@lightning:~ % ee .lightning/config
alias=My-LN-Node
bind-addr=192.168.0.7:9735
rgb=ff0000
announce-addr=en5wbkavnytti334jc5uzaudkansypfs6aguv6kech4hbzpcz2ove3yd.onion:9735
network=bitcoin
log-level=info
fee-base=0
fee-per-satoshi=1
proxy=192.168.0.2:9050
log-file=/home/lightning/.lightning/c-lightning.log
min-capacity-sat=200000
# sparko plugin
# https://github.com/fiatjaf/lightningd-gjson-rpc/tree/master/cmd/sparko
sparko-host=192.168.0.7
sparko-port=9737
sparko-tls-path=sparko-tls
#sparko-login=mywalletusername:mywalletpassword
#sparko-keys=masterkey;secretread:+listchannels,+listnodes;secretwrite:+invoice,+listinvoices,+delinvoice,+decodepay,+waitpay,+waitinvoice
sparko-keys=masterkey;secretread:+listchannels,+listnodes;ultrawrite:+invoice,+listinvoices,+delinvoice,+decodepay,+waitpay,+waitinvoice
# for the example above the initialization logs (mixed with lightningd logs) should print something like
lightning@lightning:~ % mkdir .lightning/plugins
lightning@lightning:~ % cd .lightning/plugins/
lightning@lightning:~/.lightning/plugins:% fetch https://github.com/fiatjaf/sparko/releases/download/v0.2.1/sparko_full_freebsd_amd64
lightning@lightning:~/.lightning/plugins % mkdir ~/.lightning/sparko-tls
lightning@lightning:~/.lightning/sparko-tls % cd ~/.lightning/sparko-tls
lightning@lightning:~/.lightning/sparko-tls % openssl genrsa -out key.pem 2048
lightning@lightning:~/.lightning/sparko-tls % openssl req -new -x509 -sha256 -key key.pem -out cert.pem -days 3650
lightning@lightning:~/.lightning/plugins % chmod +x sparko_full_freebsd_amd64
lightning@lightning:~/.lightning/plugins % mv sparko_full_freebsd_amd64 sparko
lightning@lightning:~/.lightning/plugins % cd ~
شما همچنین باید یک فایل پیکربندی برای bitcoin-cli ایجاد کنید، ابزاری که با bitcoind
lightning@lightning:~ % mkdir .bitcoin
lightning@lightning:~ % ee .bitcoin/bitcoin.conf
rpcconnect=192.168.0.1
rpcuser=test
rpcpassword=test
بررسی
lightning@lightning:~ % bitcoin-cli echo "test"
[
"test"
]
راه اندازی lightningd
lightning@lightning:~ % lightningd --daemon
خود lightningd
شما می توانید ابزار را کنترل کنید lightning-cli
، برای مثال:
lightning-cli newaddr
آدرس پرداخت دریافتی جدید را دریافت کنید
{
"address": "bc1q2n2ffq3lplhme8jufcxahfrnfhruwjgx3c78pv",
"bech32": "bc1q2n2ffq3lplhme8jufcxahfrnfhruwjgx3c78pv"
}
lightning-cli withdraw bc1jufcxahfrnfhruwjgx3cq2n2ffq3lplhme878pv all
ارسال تمام پول در کیف پول به آدرس (همه آدرس های زنجیره ای)
همچنین دستوراتی برای عملیات خارج از زنجیره lightning-cli invoice
, lightning-cli listinvoices
, lightning-cli pay
و غیره
خوب، برای ارتباط با برنامه ما یک REST Api داریم
curl -k https://192.168.0.7:9737/rpc -d '{"method": "pay", "params": ["lnbc..."]}' -H 'X-Access masterkey'
خلاصه کردن
# jls
JID IP Address Hostname Path
1 192.168.0.1 bitcoind.space.com /zroot/jails/jails/bitcoind
2 192.168.0.2 tor.space.com /zroot/jails/jails/tor
3 192.168.0.3 nginx-rev.space.com /zroot/jails/jails/nginx-rev
4 192.168.0.4 paygw.space.com /zroot/jails/jails/paygw
5 192.168.0.5 webapp.my.domain /zroot/jails/jails/webapp
7 192.168.0.200 electrum.space.com /zroot/jails/jails/electrum
8 192.168.0.6 polipo.space.com /zroot/jails/jails/polipo
9 192.168.0.7 lightning.space.com /zroot/jails/jails/cln
ما مجموعهای از کانتینرها داریم که هر کدام سطح دسترسی خاص خود را هم از شبکه محلی و هم به شبکه محلی دارند.
# zfs list
NAME USED AVAIL REFER MOUNTPOINT
zroot 279G 1.48T 88K /zroot
zroot/ROOT 1.89G 1.48T 88K none
zroot/ROOT/default 1.89G 17.6G 1.89G /
zroot/home 88K 1.48T 88K /home
zroot/jails 277G 1.48T 404M /zroot/jails
zroot/jails/bitcoind 190G 1.48T 190G /zroot/jails/jails-data/bitcoind-data
zroot/jails/cln 653M 1.48T 653M /zroot/jails/jails-data/cln-data
zroot/jails/electrum 703M 1.48T 703M /zroot/jails/jails-data/electrum-data
zroot/jails/nginx-rev 190M 1.48T 190M /zroot/jails/jails-data/nginx-rev-data
zroot/jails/paygw 82.4G 1.48T 82.4G /zroot/jails/jails-data/paygw-data
zroot/jails/polipo 57.6M 1.48T 57.6M /zroot/jails/jails-data/polipo-data
zroot/jails/tor 81.5M 1.48T 81.5M /zroot/jails/jails-data/tor-data
zroot/jails/webapp 360M 1.48T 360M /zroot/jails/jails-data/webapp-data
همانطور که می بینید، بیت کوین تمام 190 گیگابایت فضا را اشغال می کند. اگر برای آزمایشات به گره دیگری نیاز داشته باشیم چه؟ اینجاست که ZFS به کار می آید. با کمک cbsd jclone old=bitcoind new=bitcoind-clone host_hostname=clonedbtc.space.com
شما می توانید یک عکس فوری ایجاد کنید و یک سلول جدید به این عکس فوری متصل کنید. سلول جدید فضای مخصوص به خود را خواهد داشت، اما فقط تفاوت بین وضعیت فعلی و اصلی در سیستم فایل در نظر گرفته می شود (حداقل 190 گیگابایت ذخیره می کنیم)
هر سلول مجموعه داده ZFS جداگانه خود است و این بسیار راحت است.
همچنین لازم به ذکر است نیاز به نظارت از راه دور میزبان، برای این اهداف ما است
ب - ایمنی
در مورد امنیت، اجازه دهید از اصول کلیدی در زمینه زیرساخت شروع کنیم:
محرمانه بودن - ابزارهای استاندارد سیستم های یونیکس مانند اجرای این اصل را تضمین می کنند. ما به طور منطقی دسترسی به هر عنصر منطقی جداگانه سیستم - یک سلول را جدا می کنیم. دسترسی از طریق احراز هویت استاندارد کاربر با استفاده از کلیدهای شخصی کاربران فراهم می شود. تمام ارتباطات بین و به سلول های انتهایی به شکل رمزگذاری شده انجام می شود. به لطف رمزگذاری دیسک، هنگام تعویض دیسک یا انتقال به سرور دیگر، لازم نیست نگران ایمنی داده ها باشیم. تنها دسترسی حیاتی دسترسی به سیستم میزبان است، زیرا چنین دسترسی به طور کلی دسترسی به داده های داخل کانتینرها را فراهم می کند.
صداقت «اجرای این اصل در چندین سطح مختلف اتفاق می افتد. اولاً، توجه به این نکته مهم است که در مورد سخت افزار سرور، حافظه ECC، ZFS قبلاً "خارج از جعبه" از یکپارچگی داده ها در سطح بیت های اطلاعات مراقبت می کند. عکس های فوری به شما این امکان را می دهد که در هر زمانی که بخواهید پشتیبان تهیه کنید. ابزارهای مناسب صادرات/واردات سلولی، تکثیر سلول را ساده می کند.
در دسترس بودن - این از قبل اختیاری است. بستگی به میزان شهرت شما و اینکه نفرت دارید. در مثال ما اطمینان حاصل کردیم که کیف پول منحصراً از شبکه TOP قابل دسترسی است. در صورت لزوم، می توانید همه چیز را در فایروال مسدود کنید و اجازه دسترسی انحصاری به سرور را از طریق تونل ها بدهید (TOR یا VPN موضوع دیگری است). بنابراین، سرور تا حد امکان از دنیای خارج قطع خواهد شد و تنها خود ما می توانیم در دسترس بودن آن تأثیر بگذاریم.
عدم امکان امتناع - و این بستگی به عملکرد بیشتر و رعایت سیاست های صحیح برای حقوق کاربر، دسترسی و غیره دارد. اما با رویکرد درست، تمام اقدامات کاربر ممیزی میشوند و به لطف راهحلهای رمزنگاری میتوان بدون ابهام تشخیص داد که چه کسی و چه زمانی اقدامات خاصی را انجام داده است.
البته، پیکربندی توصیف شده یک مثال مطلق از این نیست که همیشه باید باشد، بلکه نمونه ای از این است که چگونه می تواند باشد، در حالی که قابلیت های مقیاس بندی و سفارشی سازی بسیار انعطاف پذیر را حفظ می کند.
مجازی سازی کامل چطور؟
در مورد مجازی سازی کامل با استفاده از cbsd می توانید bhyve
شما باید برخی از گزینه های هسته را فعال کنید.
# cat /etc/rc.conf
...
kld_list="vmm if_tap if_bridge nmdm"
...
# cat /boot/loader.conf
...
vmm_load="YES"
...
بنابراین اگر به طور ناگهانی نیاز به راه اندازی یک داکر دارید، سپس مقداری دبیان را نصب کنید و بروید!
همین
حدس میزنم این تمام چیزی است که میخواستم به اشتراک بگذارم. اگر مقاله را دوست داشتید، می توانید چند بیت کوین برای من ارسال کنید -
منبع: www.habr.com