बिटकॉइन पिंजरे में?

ऐसा हुआ कि पेशे से मैं कंप्यूटर सिस्टम और नेटवर्क का प्रशासक हूं (संक्षेप में: सिस्टम प्रशासक), और मुझे 10 साल से कुछ अधिक समय तक प्रोफेसर को बताने का अवसर मिला। विभिन्न प्रकार की प्रणालियों की गतिविधियाँ, जिनमें वे भी शामिल हैं जिनके लिए [अत्यधिक] सुरक्षा उपायों की आवश्यकता होती है। ऐसा भी हुआ कि कुछ समय पहले मुझे ये दिलचस्प लगा Bitcoin, और न केवल इसका उपयोग किया, बल्कि एक डेवलपर के दृष्टिकोण से बिटकॉइन नेटवर्क (आखिरकार पी2पी) के साथ स्वतंत्र रूप से काम करना सीखने के लिए कई माइक्रो-सेवाएं भी लॉन्च कीं (मैं निश्चित रूप से उनमें से एक हूं) dev, तो, मैं वहां से गुजर रहा था)। लेकिन मैं विकास के बारे में बात नहीं कर रहा हूं, मैं अनुप्रयोगों के लिए एक सुरक्षित और कुशल वातावरण के बारे में बात कर रहा हूं।

वित्तीय प्रौद्योगिकी (फींटेच) सूचना सुरक्षा के आगे जाएं (INFOSEC) और पहला दूसरे के बिना काम कर सकता है, लेकिन लंबे समय तक नहीं। इसलिए मैं अपना अनुभव और मेरे द्वारा उपयोग किए जाने वाले उपकरणों का सेट साझा करना चाहता हूं, जिसमें दोनों शामिल हैं फींटेचऔर INFOSEC, और एक ही समय में, और इसका उपयोग व्यापक या पूरी तरह से अलग उद्देश्य के लिए भी किया जा सकता है। इस लेख में मैं आपको बिटकॉइन के बारे में इतना नहीं बताऊंगा, बल्कि वित्तीय (और न केवल) सेवाओं के विकास और संचालन के लिए बुनियादी ढांचे के मॉडल के बारे में बताऊंगा - एक शब्द में, वे सेवाएं जहां "बी" मायने रखती है। यह बिटकॉइन एक्सचेंज और किसी छोटी कंपनी की सेवाओं के सबसे विशिष्ट कॉर्पोरेट चिड़ियाघर दोनों पर लागू होता है जो किसी भी तरह से बिटकॉइन से जुड़ा नहीं है।

मैं यह नोट करना चाहूंगा कि मैं सिद्धांतों का समर्थक हूं "इसे मूर्खतापूर्ण सरल रखें" и "थोड़ा ही काफी है", इसलिए, लेख और उसमें वर्णित दोनों में वे गुण होंगे जिनके बारे में ये सिद्धांत हैं।

काल्पनिक परिदृश्य: आइए बिटकॉइन एक्सचेंजर के उदाहरण का उपयोग करके सब कुछ देखें। हमने बिटकॉइन और बैक के लिए रूबल, डॉलर, यूरो का एक्सचेंज शुरू करने का फैसला किया है, और हमारे पास पहले से ही एक कार्यशील समाधान है, लेकिन अन्य डिजिटल पैसे जैसे किवी और वेबमनी के लिए, यानी। हमने सभी कानूनी मुद्दों को बंद कर दिया है, हमारे पास एक तैयार एप्लिकेशन है जो रूबल, डॉलर और यूरो और अन्य भुगतान प्रणालियों के लिए भुगतान गेटवे के रूप में कार्य करता है। यह हमारे बैंक खातों से जुड़ा है और हमारे अंतिम अनुप्रयोगों के लिए इसमें कुछ प्रकार की एपीआई है। हमारे पास एक वेब एप्लिकेशन भी है जो उपयोगकर्ताओं के लिए एक एक्सचेंजर के रूप में कार्य करता है, एक सामान्य किवी या वेबमनी खाते की तरह - एक खाता बनाएं, एक कार्ड जोड़ें, इत्यादि। यह हमारे गेटवे एप्लिकेशन के साथ संचार करता है, यद्यपि स्थानीय क्षेत्र में REST API के माध्यम से। और इसलिए हमने बिटकॉइन को जोड़ने और साथ ही बुनियादी ढांचे को अपग्रेड करने का निर्णय लिया, क्योंकि... प्रारंभ में, कार्यालय में मेज के नीचे वर्चुअलबॉक्स पर सब कुछ जल्दबाजी में रखा गया था... साइट का उपयोग किया जाने लगा, और हमें अपटाइम और प्रदर्शन के बारे में चिंता होने लगी।

तो, आइए मुख्य बात से शुरू करें - एक सर्वर चुनना। क्योंकि हमारे उदाहरण में व्यवसाय छोटा है और हमें उस होस्टर (ओवीएच) पर भरोसा है जिसे हम चुनेंगे बजट विकल्प जिसमें मूल .iso छवि से सिस्टम को स्थापित करना असंभव है, लेकिन इससे कोई फर्क नहीं पड़ता, आईटी सुरक्षा विभाग निश्चित रूप से स्थापित छवि का विश्लेषण करेगा। और जब हम बड़े हो जाएंगे, तो हम सीमित भौतिक पहुंच के साथ ताला और चाबी के नीचे अपनी खुद की कोठरी किराए पर लेंगे, और शायद हम अपना खुद का डीसी बनाएंगे। किसी भी मामले में, यह याद रखने योग्य है कि हार्डवेयर किराए पर लेते समय और तैयार छवियों को स्थापित करते समय, एक मौका है कि आपके सिस्टम पर "होस्टर से ट्रोजन" लटका होगा, जिसका ज्यादातर मामलों में आपकी जासूसी करने का इरादा नहीं है। लेकिन अधिक सुविधाजनक प्रबंधन उपकरण सर्वर की पेशकश करने के लिए।

सर्वर स्थापना

यहां सब कुछ सरल है. हम वह हार्डवेयर चुनते हैं जो हमारी आवश्यकताओं के अनुरूप होता है। फिर फ्रीबीएसडी छवि का चयन करें। खैर, या हम आईपीएमआई के माध्यम से या मॉनिटर के माध्यम से (किसी अन्य होस्टर और हमारे स्वयं के हार्डवेयर के मामले में) कनेक्ट करते हैं और डाउनलोड में .iso FreeBSD छवि फ़ीड करते हैं। ऑर्केस्ट्रा सेटअप के लिए मैं इसका उपयोग करता हूं Ansible и एमएफएसबीएसडी. किमसूफी के मामले में हमने केवल एक चीज चुनी अपने अनुसार इंस्टालेशन दर्पण में दो डिस्क के लिए केवल बूट और /होम विभाजन "खुले" हों, बाकी डिस्क स्थान एन्क्रिप्ट किया जाएगा, लेकिन उस पर बाद में और अधिक जानकारी दी जाएगी।

सिस्टम की स्थापना एक मानक तरीके से होती है, मैं इस पर ध्यान नहीं दूंगा, मैं केवल इस बात पर ध्यान दूंगा कि ऑपरेशन शुरू करने से पहले इस पर ध्यान देना उचित है सख्त यह जो विकल्प प्रदान करता है bsdinstaller इंस्टॉलेशन के अंत में (यदि आप सिस्टम स्वयं इंस्टॉल करते हैं):

वहाँ अच्छी सामग्री इस विषय पर, मैं इसे यहां संक्षेप में दोहराऊंगा।

पहले से स्थापित सिस्टम पर उपर्युक्त मापदंडों को सक्षम करना भी संभव है। ऐसा करने के लिए, आपको बूटलोडर फ़ाइल को संपादित करना होगा और कर्नेल पैरामीटर को सक्षम करना होगा। *ईई बीएसडी में ऐसे ही एक संपादक हैं

# ee /etc/rc.conf

...
#sec hard
clear_tmp_enable="YES"
syslogd_flags="-ss"    
sendmail_enable="NONE"

# ee /etc/sysctl.conf

...
#sec hard
security.bsd.see_other_uids=0
security.bsd.see_other_gids=0
security.bsd.unprivileged_read_msgbuf=0
security.bsd.unprivileged_proc_debug=0
kern.randompid=$(jot -r 1 9999)
security.bsd.stack_guard_page=1

आपको यह भी सुनिश्चित करना चाहिए कि आपके पास सिस्टम का नवीनतम संस्करण स्थापित है, और सभी अपडेट और अपग्रेड करें. हमारे मामले में, उदाहरण के लिए, नवीनतम संस्करण में अपग्रेड की आवश्यकता है, क्योंकि... प्री-इंस्टॉलेशन छवियाँ छह महीने से एक वर्ष तक पीछे रह जाती हैं। खैर, वहां हम एसएसएच पोर्ट को डिफ़ॉल्ट पोर्ट से कुछ अलग में बदलते हैं, कुंजी प्रमाणीकरण जोड़ते हैं और पासवर्ड प्रमाणीकरण अक्षम करते हैं।

फिर हम कॉन्फ़िगर करते हैं aide, सिस्टम कॉन्फ़िगरेशन फ़ाइलों की स्थिति की निगरानी करना। आप और अधिक विस्तार से पढ़ सकते हैं यहां.

pkg install aide

और हमारे crontab को संपादित करें

crontab -e

06 01 * * 0-6 /root/chkaide.sh

#! /bin/sh
#chkaide.sh
MYDATE=`date +%Y-%m-%d`
MYFILENAME="Aide-"$MYDATE.txt
/bin/echo "Aide check !! `date`" > /tmp/$MYFILENAME
/usr/local/bin/aide --check > /tmp/myAide.txt
/bin/cat /tmp/myAide.txt|/usr/bin/grep -v failed >> /tmp/$MYFILENAME
/bin/echo "**************************************" >> /tmp/$MYFILENAME
/usr/bin/tail -20 /tmp/myAide.txt >> /tmp/$MYFILENAME
/bin/echo "****************DONE******************" >> /tmp/$MYFILENAME

चालू करो सिस्टम ऑडिटिंग

sysrc auditd_enable=YES

# service auditd start

इस मामले को कैसे प्रशासित किया जाए इसका पूरी तरह से वर्णन किया गया है मार्गदर्शक.

अब हम रिबूट करते हैं और सर्वर पर सॉफ्टवेयर के लिए आगे बढ़ते हैं। प्रत्येक सर्वर कंटेनरों या पूर्ण वर्चुअल मशीनों के लिए एक हाइपरवाइजर है। इसलिए, यह महत्वपूर्ण है कि यदि हम पूर्ण वर्चुअलाइजेशन का उपयोग करने की योजना बनाते हैं तो प्रोसेसर वीटी-एक्स और ईपीटी का समर्थन करता है।

कंटेनरों और वर्चुअल मशीनों को प्रबंधित करने के लिए मैं इसका उपयोग करता हूं सीबीएसडी से ओलेवोल, मैं इस अद्भुत उपयोगिता के लिए उनके अधिक स्वास्थ्य और आशीर्वाद की कामना करता हूं!

कंटेनर? डॉकर फिर से या क्या?

और यहाँ नहीं। फ्रीबीएसडी जेल कंटेनरीकरण के लिए एक उत्कृष्ट उपकरण है, लेकिन उल्लेख किया गया है cbsd इन कंटेनरों को व्यवस्थित करने के लिए, जिन्हें कोशिकाएँ कहा जाता है।

केज विभिन्न उद्देश्यों के लिए बुनियादी ढांचे के निर्माण के लिए एक बेहद प्रभावी समाधान है, जहां अंततः व्यक्तिगत सेवाओं या प्रक्रियाओं का पूर्ण अलगाव आवश्यक है। मूलतः, यह होस्ट सिस्टम का क्लोन है, लेकिन इसके लिए पूर्ण हार्डवेयर वर्चुअलाइजेशन की आवश्यकता नहीं है। और इसके लिए धन्यवाद, संसाधन "अतिथि ओएस" पर खर्च नहीं किए जाते हैं, बल्कि केवल किए जा रहे कार्य पर खर्च किए जाते हैं। जब कोशिकाओं का उपयोग आंतरिक आवश्यकताओं के लिए किया जाता है, तो यह इष्टतम संसाधन उपयोग के लिए एक बहुत ही सुविधाजनक समाधान है - यदि आवश्यक हो तो एक हार्डवेयर सर्वर पर कोशिकाओं का एक समूह व्यक्तिगत रूप से संपूर्ण सर्वर संसाधन का उपयोग कर सकता है। यह ध्यान में रखते हुए कि आमतौर पर विभिन्न उपसेवाओं को अतिरिक्त की आवश्यकता होती है। अलग-अलग समय पर संसाधन, यदि आप ठीक से योजना बनाते हैं और सर्वरों के बीच कोशिकाओं को संतुलित करते हैं, तो आप एक सर्वर से अधिकतम प्रदर्शन प्राप्त कर सकते हैं। यदि आवश्यक हो, तो कोशिकाओं को उपयोग किए गए संसाधन पर प्रतिबंध भी दिया जा सकता है।

पूर्ण वर्चुअलाइजेशन के बारे में क्या?

जहाँ तक मुझे पता है cbsd काम का समर्थन करता है bhyve और एक्सईएन हाइपरवाइजर। मैंने कभी दूसरे का उपयोग नहीं किया है, लेकिन पहला अपेक्षाकृत नया है फ्रीबीएसडी से हाइपरवाइजर. हम उपयोग का एक उदाहरण देखेंगे bhyve नीचे दिए गए उदाहरण में.

होस्ट वातावरण को स्थापित और कॉन्फ़िगर करना

हम एफएस का उपयोग करते हैं ZFS. सर्वर स्थान के प्रबंधन के लिए यह एक अत्यंत शक्तिशाली उपकरण है। ZFS के लिए धन्यवाद, आप सीधे डिस्क से विभिन्न कॉन्फ़िगरेशन के एरे बना सकते हैं, गतिशील रूप से "हॉट" स्थान का विस्तार कर सकते हैं, मृत डिस्क को बदल सकते हैं, स्नैपशॉट प्रबंधित कर सकते हैं, और बहुत कुछ, जिसे लेखों की एक पूरी श्रृंखला में वर्णित किया जा सकता है। आइए अपने सर्वर और उसकी डिस्क पर वापस लौटें। संस्थापन की शुरुआत में, हमने एन्क्रिप्टेड विभाजन के लिए डिस्क पर खाली स्थान छोड़ दिया। ऐसा क्यों? ऐसा इसलिए है ताकि सिस्टम स्वचालित रूप से जाग जाए और एसएसएच के माध्यम से सुन सके।

gpart add -t freebsd-zfs /dev/ada0

/dev/ada0p4 added!

शेष स्थान पर एक डिस्क विभाजन जोड़ें

geli init /dev/ada0p4

हमारा एन्क्रिप्शन पासवर्ड दर्ज करें

geli attach /dev/ada0p4

हम फिर से पासवर्ड दर्ज करते हैं और हमारे पास एक डिवाइस /dev/ada0p4.eli है - यह हमारा एन्क्रिप्टेड स्थान है। फिर हम /dev/ada1 और सरणी में बाकी डिस्क के लिए भी यही दोहराते हैं। और हम एक नया बनाते हैं ZFS पूल.

zpool create vms mirror /dev/ada0p4.eli /dev/ada1p4.eli /dev/ada3p4.eli - ठीक है, हमारे पास न्यूनतम लड़ाकू किट तैयार है। तीन में से एक के विफल होने की स्थिति में डिस्क की एक प्रतिबिंबित सरणी।

एक नए "पूल" पर डेटासेट बनाना

zfs create vms/jails

pkg install cbsd - हमने एक टीम लॉन्च की और अपने सेल के लिए प्रबंधन स्थापित किया।

के बाद cbsd स्थापित, इसे आरंभीकृत करने की आवश्यकता है:

# env workdir="/vms/jails" /usr/local/cbsd/sudoexec/initenv

खैर, हम ढेर सारे सवालों के जवाब देते हैं, ज्यादातर डिफ़ॉल्ट जवाबों के साथ।

*यदि आप एन्क्रिप्शन का उपयोग कर रहे हैं, तो यह महत्वपूर्ण है कि डेमॉन cbsdd जब तक आप डिस्क को मैन्युअल रूप से या स्वचालित रूप से डिक्रिप्ट नहीं करते तब तक स्वचालित रूप से प्रारंभ नहीं होता (हमारे उदाहरण में यह ज़ैबिक्स द्वारा किया जाता है)

**मैं NAT का भी उपयोग नहीं करता cbsd, और मैं इसे स्वयं कॉन्फ़िगर करता हूं pf.

# sysrc pf_enable=YES

# ee /etc/pf.conf

IF_PUBLIC="em0"
IP_PUBLIC="1.23.34.56"
JAIL_IP_POOL="192.168.0.0/24"

#WHITE_CL="{ 127.0.0.1 }"

icmp_types="echoreq"

set limit { states 20000, frags 20000, src-nodes 20000 }
set skip on lo0
scrub in all

#NAT for jails
nat pass on $IF_PUBLIC from $JAIL_IP_POOL to any -> $IP_PUBLIC

## Bitcoin network port forward
IP_JAIL="192.168.0.1"
PORT_JAIL="{8333}"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

# service pf start

# pfctl -f /etc/pf.conf

फ़ायरवॉल नीतियाँ स्थापित करना भी एक अलग विषय है, इसलिए मैं सभी ब्लॉक नीति स्थापित करने और श्वेतसूची स्थापित करने के बारे में गहराई से नहीं बताऊँगा, आप इसे पढ़कर ऐसा कर सकते हैं आधिकारिक दस्तावेज या Google पर उपलब्ध बड़ी संख्या में लेखों में से कोई भी।

खैर... हमने सीबीएसडी स्थापित कर लिया है, अब हमारा पहला वर्कहॉर्स - पिंजरे में बंद बिटकॉइन दानव बनाने का समय आ गया है!

cbsd jconstruct-tui

यहां हम सेल निर्माण संवाद देखते हैं। सभी मान सेट हो जाने के बाद, आइए बनाएं!

अपना पहला सेल बनाते समय, आपको यह चुनना चाहिए कि सेल के आधार के रूप में क्या उपयोग करना है। मैं कमांड के साथ फ्रीबीएसडी रिपॉजिटरी से एक वितरण का चयन करता हूं repo. यह चुनाव केवल किसी विशिष्ट संस्करण की पहली सेल बनाते समय किया जाता है (आप होस्ट संस्करण से पुराने किसी भी संस्करण की कोशिकाओं को होस्ट कर सकते हैं)।

सब कुछ स्थापित होने के बाद, हम पिंजरा लॉन्च करते हैं!

# cbsd jstart bitcoind

लेकिन हमें पिंजरे में सॉफ़्टवेयर स्थापित करने की आवश्यकता है।

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind

jexec bitcoind सेल कंसोल में जाने के लिए

और पहले से ही सेल के अंदर हम सॉफ्टवेयर को उसकी निर्भरता के साथ इंस्टॉल करते हैं (हमारा होस्ट सिस्टम साफ रहता है)

bitcoind:/@[15:25] # pkg install bitcoin-daemon bitcoin-utils

bitcoind:/@[15:30] # sysrc bitcoind_enable=YES

bitcoind:/@[15:30] # service bitcoind start

पिंजरे में बिटकॉइन है, लेकिन हमें गुमनामी की आवश्यकता है क्योंकि हम TOP नेटवर्क के माध्यम से कुछ पिंजरे से जुड़ना चाहते हैं। सामान्य तौर पर, हम संदिग्ध सॉफ़्टवेयर वाले अधिकांश सेल को केवल प्रॉक्सी के माध्यम से चलाने की योजना बनाते हैं। करने के लिए धन्यवाद pf आप स्थानीय नेटवर्क पर IP पतों की एक निश्चित श्रेणी के लिए NAT को अक्षम कर सकते हैं, और केवल हमारे TOR नोड के लिए NAT को अनुमति दे सकते हैं। इस प्रकार, भले ही मैलवेयर सेल में प्रवेश कर जाए, यह संभवतः बाहरी दुनिया के साथ संचार नहीं करेगा, और यदि ऐसा होता है, तो यह हमारे सर्वर के आईपी को प्रकट नहीं करेगा। इसलिए, हम ".onion" सेवा के रूप में और व्यक्तिगत कोशिकाओं तक इंटरनेट तक पहुंचने के लिए प्रॉक्सी के रूप में सेवाओं को "अग्रेषित" करने के लिए एक और सेल बनाते हैं।

# cbsd jsconstruct-tui

# cbsd jstart tor

# jexec tor

tor:/@[15:38] # pkg install tor

tor:/@[15:38] # sysrc tor_enable=YES

tor:/@[15:38] # ee /usr/local/etc/tor/torrc

स्थानीय पते पर सुनने के लिए सेट करें (सभी सेल के लिए उपलब्ध)

SOCKSPort 192.168.0.2:9050

पूर्ण सुख के लिए हमें और क्या चाहिए? हाँ, हमें अपने वेब के लिए एक सेवा की आवश्यकता है, शायद एक से अधिक। आइए nginx लॉन्च करें, जो रिवर्स-प्रॉक्सी के रूप में कार्य करेगा और Let's Encrypt प्रमाणपत्रों को नवीनीकृत करने का ख्याल रखेगा

# cbsd jsconstruct-tui

# cbsd jstart nginx-rev

# jexec nginx-rev

nginx-rev:/@[15:47] # pkg install nginx py36-certbot

और इसलिए हमने 150 एमबी निर्भरता को एक पिंजरे में रखा। और मेज़बान अभी भी साफ़ है.

चलिए बाद में nginx की स्थापना पर लौटते हैं, हमें नोडज और रस्ट पर अपने भुगतान गेटवे और एक वेब एप्लिकेशन के लिए दो और सेल जुटाने की जरूरत है, जो किसी कारण से Apache और PHP में है, और बाद वाले को MySQL डेटाबेस की भी आवश्यकता होती है।

# cbsd jsconstruct-tui

# cbsd jstart paygw

# jexec paygw

paygw:/@[15:55] # pkg install git node npm

paygw:/@[15:55] # curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh

...और अन्य 380 एमबी पैकेज अलग कर दिए गए

इसके बाद, हम अपना एप्लिकेशन git के साथ डाउनलोड करते हैं और इसे लॉन्च करते हैं।

# cbsd jsconstruct-tui

# cbsd jstart webapp

# jexec webapp

webapp:/@[16:02] # pkg install mariadb104-server apache24 php74 mod_php74 php74-pdo_mysql

450 एमबी पैकेज. एक पिंजरे में।

यहां हम डेवलपर को एसएसएच के माध्यम से सीधे सेल तक पहुंच प्रदान करते हैं, वे वहां सब कुछ स्वयं करेंगे:

webapp:/@[16:02] # ee /etc/ssh/sshd_config

Port 2267 - सेल के SSH पोर्ट को किसी भी मनमाने पोर्ट में बदलें

webapp:/@[16:02] # sysrc sshd_enable=YES

webapp:/@[16:02] # service sshd start

खैर, सेवा चल रही है, इसमें केवल नियम जोड़ना बाकी है pf फ़ायरवॉल

आइए देखें कि हमारी कोशिकाओं का आईपी क्या है और हमारा "स्थानीय क्षेत्र" आम तौर पर कैसा दिखता है।

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind
     2  192.168.0.2     tor.space.com                 /zroot/jails/jails/tor
     3  192.168.0.3     nginx-rev.space.com           /zroot/jails/jails/nginx-rev
     4  192.168.0.4     paygw.space.com               /zroot/jails/jails/paygw
     5  192.168.0.5     webapp.my.domain              /zroot/jails/jails/webapp

और एक नियम जोड़ें

# ee /etc/pf.conf

## SSH for web-Devs
IP_JAIL="192.168.0.5"
PORT_JAIL="{ 2267 }"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

खैर, चूँकि हम यहाँ हैं, आइए रिवर्स-प्रॉक्सी के लिए एक नियम भी जोड़ें:

## web-ports for nginx-rev
IP_JAIL="192.168.0.3"
PORT_JAIL="{ 80, 443 }"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

# pfctl -f /etc/pf.conf

खैर, अब बिटकॉइन के बारे में थोड़ा

हमारे पास एक वेब एप्लिकेशन है जो बाहरी रूप से प्रदर्शित होता है और यह स्थानीय रूप से हमारे भुगतान गेटवे से बात करता है। अब हमें बिटकॉइन नेटवर्क - नोड के साथ बातचीत करने के लिए एक कार्य वातावरण तैयार करने की आवश्यकता है bitcoind यह सिर्फ एक डेमॉन है जो ब्लॉकचेन की स्थानीय प्रतिलिपि को अद्यतन रखता है। इस डेमॉन में आरपीसी और वॉलेट कार्यक्षमता है, लेकिन एप्लिकेशन विकास के लिए अधिक सुविधाजनक "रैपर" हैं। आरंभ करने के लिए, हमने लगाने का निर्णय लिया electrum एक सीएलआई वॉलेट है. यह बटुआ हम इसे अपने बिटकॉइन के लिए "कोल्ड स्टोरेज" के रूप में उपयोग करेंगे - सामान्य तौर पर, उन बिटकॉइन को उपयोगकर्ताओं के लिए सुलभ सिस्टम के "बाहर" और आम तौर पर सभी से दूर संग्रहीत करने की आवश्यकता होगी। इसमें एक GUI भी है, इसलिए हम अपने पर उसी वॉलेट का उपयोग करने जा रहे हैं
लैपटॉप। अभी हम सार्वजनिक सर्वर के साथ इलेक्ट्रम का उपयोग करेंगे, और बाद में हम इसे किसी अन्य सेल में बढ़ाएंगे इलेक्ट्रमएक्सताकि किसी पर बिल्कुल भी निर्भर न रहना पड़े।

# cbsd jsconstruct-tui

# cbsd jstart electrum

# jexec electrum

electrum:/@[8:45] # pkg install py36-electrum

हमारे पिंजरे में अन्य 700 एमबी सॉफ्टवेयर

electrum:/@[8:53] # adduser

Username: wallet
Full name: 
Uid (Leave empty for default): 
Login group [wallet]: 
Login group is wallet. Invite wallet into other groups? []: 
Login class [default]: 
Shell (sh csh tcsh nologin) [sh]: tcsh
Home directory [/home/wallet]: 
Home directory permissions (Leave empty for default): 
Use password-based authentication? [yes]: no
Lock out the account after creation? [no]: 
Username   : wallet
Password   : <disabled>
Full Name  : 
Uid        : 1001
Class      : 
Groups     : wallet 
Home       : /home/wallet
Home Mode  : 
Shell      : /bin/tcsh
Locked     : no
OK? (yes/no): yes
adduser: INFO: Successfully added (wallet) to the user database.
Add another user? (yes/no): no
Goodbye!
electrum:/@[8:53] # su wallet

electrum:/@[8:53] # su wallet

wallet@electrum:/ % electrum-3.6 create

{
    "msg": "Please keep your seed in a safe place; if you lose it, you will not be able to restore your wallet.",
    "path": "/usr/home/wallet/.electrum/wallets/default_wallet",
    "seed": "jealous win pig material ribbon young punch visual okay cactus random bird"
}

अब हमारे पास एक वॉलेट बन गया है।

wallet@electrum:/ % electrum-3.6 listaddresses

[
    "18WEhbjvMLGRMfwudzUrUd25U5C7uZYkzE",
    "14XHSejhxsZNDRtk4eFbqAX3L8rftzwQQU",
    "1KQXaN8RXiCN1ne9iYngUWAr6KJ6d4pPas",
    ...
    "1KeVcAwEYhk29qEyAfPwcBgF5mMMoy4qjw",
    "18VaUuSeBr6T2GwpSHYF3XyNgLyLCt1SWk"
]

wallet@electrum:/ % electrum-3.6 help

हमारे लिए ऑन-श्रृंखला अब से सीमित संख्या में ही लोग वॉलेट से जुड़ पाएंगे। इस सेल तक बाहर से पहुंच न खोलने के लिए, एसएसएच के माध्यम से कनेक्शन टॉप (वीपीएन का एक विकेन्द्रीकृत संस्करण) के माध्यम से होगा। हम सेल में SSH लॉन्च करते हैं, लेकिन होस्ट पर हमारे pf.conf को नहीं छूते हैं।

electrum:/@[9:00] # sysrc sshd_enable=YES

electrum:/@[9:00] # service sshd start

अब वॉलेट के इंटरनेट एक्सेस वाले सेल को बंद कर देते हैं। आइए इसे किसी अन्य सबनेट स्पेस से एक आईपी एड्रेस दें जो NATed नहीं है। पहले हम बदलाव करें /etc/pf.conf मेजबान पर

# ee /etc/pf.conf

JAIL_IP_POOL="192.168.0.0/24" आइए इसे बदल दें JAIL_IP_POOL="192.168.0.0/25", इस प्रकार सभी पते 192.168.0.126-255 की इंटरनेट तक सीधी पहुंच नहीं होगी। एक प्रकार का सॉफ्टवेयर "एयर-गैप" नेटवर्क। और NAT नियम वैसा ही बना हुआ है जैसा वह था

nat pass on $IF_PUBLIC from $JAIL_IP_POOL to any -> $IP_PUBLIC

नियमों का अधिभार

# pfctl -f /etc/pf.conf

अब आइए अपने सेल को लें

# cbsd jconfig jname=electrum

jset mode=quiet jname=electrum ip4_addr="192.168.0.200"
Remove old IP: /sbin/ifconfig em0 inet 192.168.0.6 -alias
Setup new IP: /sbin/ifconfig em0 inet 192.168.0.200 alias
ip4_addr: 192.168.0.200

हम्म, लेकिन अब सिस्टम ही हमारे लिए काम करना बंद कर देगा। हालाँकि, हम एक सिस्टम प्रॉक्सी निर्दिष्ट कर सकते हैं। लेकिन एक बात है, TOR पर यह एक SOCKS5 प्रॉक्सी है, और सुविधा के लिए हम एक HTTP प्रॉक्सी भी चाहेंगे।

# cbsd jsconstruct-tui

# cbsd jstart polipo

# jexec polipo

polipo:/@[9:28] # pkg install polipo

polipo:/@[9:28] # ee /usr/local/etc/polipo/config

socksParentProxy = "192.168.0.2:9050"
socksProxyType = socks5

polipo:/@[9:42] # sysrc polipo_enable=YES

polipo:/@[9:43] # service polipo start

खैर, अब हमारे सिस्टम में दो प्रॉक्सी सर्वर हैं, और दोनों टीओआर के माध्यम से आउटपुट करते हैं: socks5://192.168.0.2:9050 और http://192.168.0.6:8123

अब हम अपने वॉलेट वातावरण को कॉन्फ़िगर कर सकते हैं

# jexec electrum

electrum:/@[9:45] # su wallet

wallet@electrum:/ % ee ~/.cshrc

#in the end of file proxy config
setenv http_proxy http://192.168.0.6:8123
setenv https_proxy http://192.168.0.6:8123

खैर, अब शेल प्रॉक्सी के तहत काम करेगा। यदि हम संकुल संस्थापित करना चाहते हैं तो हमें जोड़ना चाहिए /usr/local/etc/pkg.conf पिंजरे की जड़ के नीचे से

pkg_env: {
               http_proxy: "http://my_proxy_ip:8123",
           }

खैर, अब वॉलेट केज में हमारी एसएसएच सेवा के पते के रूप में टीओआर छिपी हुई सेवा को जोड़ने का समय आ गया है।

# jexec tor

tor:/@[9:59] # ee /usr/local/etc/tor/torrc

HiddenServiceDir /var/db/tor/electrum/
HiddenServicePort 22 192.168.0.200:22

tor:/@[10:01] # mkdir /var/db/tor/electrum

tor:/@[10:01] # chown -R _tor:_tor /var/db/tor/electrum

tor:/@[10:01] # chmod 700 /var/db/tor/electrum

tor:/@[10:03] # service tor restart

tor:/@[10:04] # cat /var/db/tor/electrum/hostname

mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion

यह हमारा कनेक्शन पता है. लोकल मशीन से जांच करते हैं. लेकिन पहले हमें अपनी SSH कुंजी जोड़नी होगी:

wallet@electrum:/ % mkdir ~/.ssh

wallet@electrum:/ % ee ~/.ssh/authorized_keys

ecdsa-sha2-nistp521 AAAAE2VjZHNhLXNoYTItbmlzdHA1MjEAAAAIbmlzdHA1MjEAAACFBAG9Fk2Lqi4GQ8EXZrsH3EgSrVIQPQaAlS38MmJLBabihv9KHIDGXH7r018hxqLNNGbaJWO/wrWk7sG4T0yLHAbdQAFsMYof9kjoyuG56z0XZ8qaD/X/AjrhLMsIoBbUNj0AzxjKNlPJL4NbHsFwbmxGulKS0PdAD5oLcTQi/VnNdU7iFw== user@local

खैर, लिनक्स क्लाइंट मशीन से

user@local ~$ nano ~/.ssh/config

#remote electrum wallet
Host remotebtc
        User wallet
        Port 22
        Hostname mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion
        ProxyCommand /bin/ncat --proxy localhost:9050 --proxy-type socks5 %h %p

आइए जुड़ें (इस काम के लिए, आपको एक स्थानीय टीओआर डेमॉन की आवश्यकता है जो 9050 पर सुनता हो)

user@local ~$ ssh remotebtc

The authenticity of host 'mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion (<no hostip for proxy command>)' can't be established.
ECDSA key fingerprint is SHA256:iW8FKjhVF4yyOZB1z4sBkzyvCM+evQ9cCL/EuWm0Du4.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion' (ECDSA) to the list of known hosts.
FreeBSD 12.1-RELEASE-p1 GENERIC 
To save disk space in your home directory, compress files you rarely
use with "gzip filename".
        -- Dru <[email protected]>
wallet@electrum:~ % logout

सफलता!

तत्काल और सूक्ष्म भुगतान के साथ काम करने के लिए, हमें एक नोड की भी आवश्यकता होती है लाइटनिंग नेटवर्कवास्तव में, यह बिटकॉइन के साथ हमारा मुख्य कार्य उपकरण होगा। उ*सी बिजलीजिसे हम एक डेमॉन के रूप में उपयोग करने जा रहे हैं स्पार्को प्लगइन, जो एक पूर्ण HTTP (REST) ​​इंटरफ़ेस है और आपको ऑफ-चेन और ऑन-चेन लेनदेन दोनों के साथ काम करने की अनुमति देता है। c-lightning कामकाज के लिए आवश्यक है bitcoind लेकिन हां।

*विभिन्न भाषाओं में लाइटनिंग नेटवर्क प्रोटोकॉल के अलग-अलग कार्यान्वयन हैं। हमने जिनका परीक्षण किया, उनमें सी-लाइटनिंग (सी में लिखा) सबसे स्थिर और संसाधन-कुशल लगा

# cbsd jsconstruct-tui

# cbsd jstart cln

# jexec cln

lightning:/@[10:23] # adduser

Username: lightning
...

lightning:/@[10:24] # pkg install git

lightning:/@[10:23] # su lightning

cd ~ && git clone https://github.com/ElementsProject/lightning

lightning@lightning:~ % exit

lightning:/@[10:30] # cd /home/lightning/lightning/

lightning:/home/lightning/lightning@[10:31] # pkg install autoconf automake gettext git gmp gmake libtool python python3 sqlite3 libsodium py36-mako bash bitcoin-utils

lightning:/home/lightning/lightning@[10:34] # ./configure && gmake && gmake install

जबकि सभी आवश्यक चीज़ें संकलित और स्थापित की गई हैं, आइए इसके लिए एक RPC उपयोगकर्ता बनाएँ lightningd в bitcoind

# jexec bitcoind

bitcoind:/@[10:36] # ee /usr/local/etc/bitcoin.conf

rpcbind=192.168.0.1
rpcuser=test
rpcpassword=test
#allow only c-lightning
rpcallowip=192.168.0.7/32

bitcoind:/@[10:39] # service bitcoind restart

यदि आप उपयोगिता पर ध्यान दें तो कोशिकाओं के बीच मेरी अव्यवस्थित स्विचिंग इतनी अव्यवस्थित नहीं है tmux, जो आपको एक सत्र के भीतर कई टर्मिनल उप-सत्र बनाने की अनुमति देता है। एनालॉग: screen

इसलिए, हम अपने नोड का वास्तविक आईपी प्रकट नहीं करना चाहते हैं, और हम सभी वित्तीय लेनदेन TOP के माध्यम से करना चाहते हैं। इसलिए दूसरे प्याज की जरूरत नहीं है.

# jexec tor

tor:/@[9:59] # ee /usr/local/etc/tor/torrc

HiddenServiceDir /var/db/tor/cln/
HiddenServicePort 9735 192.168.0.7:9735

tor:/@[10:01] # mkdir /var/db/tor/cln

tor:/@[10:01] # chown -R _tor:_tor /var/db/tor/cln

tor:/@[10:01] # chmod 700 /var/db/tor/cln

tor:/@[10:03] # service tor restart

tor:/@[10:04] # cat /var/db/tor/cln/hostname

en5wbkavnytti334jc5uzaudkansypfs6aguv6kech4hbzpcz2ove3yd.onion

अब सी-लाइटनिंग के लिए एक कॉन्फिगरेशन बनाते हैं

lightning:/home/lightning/lightning@[10:31] # su lightning

lightning@lightning:~ % mkdir .lightning

lightning@lightning:~ % ee .lightning/config

alias=My-LN-Node
bind-addr=192.168.0.7:9735
rgb=ff0000
announce-addr=en5wbkavnytti334jc5uzaudkansypfs6aguv6kech4hbzpcz2ove3yd.onion:9735
network=bitcoin
log-level=info
fee-base=0
fee-per-satoshi=1
proxy=192.168.0.2:9050
log-file=/home/lightning/.lightning/c-lightning.log
min-capacity-sat=200000

# sparko plugin
# https://github.com/fiatjaf/lightningd-gjson-rpc/tree/master/cmd/sparko

sparko-host=192.168.0.7
sparko-port=9737

sparko-tls-path=sparko-tls

#sparko-login=mywalletusername:mywalletpassword

#sparko-keys=masterkey;secretread:+listchannels,+listnodes;secretwrite:+invoice,+listinvoices,+delinvoice,+decodepay,+waitpay,+waitinvoice
sparko-keys=masterkey;secretread:+listchannels,+listnodes;ultrawrite:+invoice,+listinvoices,+delinvoice,+decodepay,+waitpay,+waitinvoice
# for the example above the initialization logs (mixed with lightningd logs) should print something like

lightning@lightning:~ % mkdir .lightning/plugins

lightning@lightning:~ % cd .lightning/plugins/

lightning@lightning:~/.lightning/plugins:% fetch https://github.com/fiatjaf/sparko/releases/download/v0.2.1/sparko_full_freebsd_amd64

lightning@lightning:~/.lightning/plugins % mkdir ~/.lightning/sparko-tls

lightning@lightning:~/.lightning/sparko-tls % cd ~/.lightning/sparko-tls

lightning@lightning:~/.lightning/sparko-tls % openssl genrsa -out key.pem 2048

lightning@lightning:~/.lightning/sparko-tls % openssl req -new -x509 -sha256 -key key.pem -out cert.pem -days 3650

lightning@lightning:~/.lightning/plugins % chmod +x sparko_full_freebsd_amd64

lightning@lightning:~/.lightning/plugins % mv sparko_full_freebsd_amd64 sparko

lightning@lightning:~/.lightning/plugins % cd ~

आपको बिटकॉइन-सीएलआई के लिए एक कॉन्फ़िगरेशन फ़ाइल बनाने की भी आवश्यकता है, जो एक उपयोगिता है जो संचार करती है bitcoind

lightning@lightning:~ % mkdir .bitcoin

lightning@lightning:~ % ee .bitcoin/bitcoin.conf

rpcconnect=192.168.0.1
rpcuser=test
rpcpassword=test

जाँच

lightning@lightning:~ % bitcoin-cli echo "test"

[
  "test"
]

शुरू करना lightningd

lightning@lightning:~ % lightningd --daemon

स्वयं lightningd आप उपयोगिता को नियंत्रित कर सकते हैं lightning-cli, उदाहरण के लिए:

lightning-cli newaddr नए आने वाले भुगतान का पता प्राप्त करें

{
   "address": "bc1q2n2ffq3lplhme8jufcxahfrnfhruwjgx3c78pv",
   "bech32": "bc1q2n2ffq3lplhme8jufcxahfrnfhruwjgx3c78pv"
}

lightning-cli withdraw bc1jufcxahfrnfhruwjgx3cq2n2ffq3lplhme878pv all वॉलेट में सभी पैसे पते पर भेजें (सभी ऑन-चेन पते)

ऑफ-चेन संचालन के लिए भी आदेश देता है lightning-cli invoice, lightning-cli listinvoices, lightning-cli pay और इसी तरह

खैर, एप्लिकेशन के साथ संचार के लिए हमारे पास एक REST एपीआई है

curl -k https://192.168.0.7:9737/rpc -d '{"method": "pay", "params": ["lnbc..."]}' -H 'X-Access masterkey'

संक्षेप करने के लिए

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind
     2  192.168.0.2     tor.space.com                 /zroot/jails/jails/tor
     3  192.168.0.3     nginx-rev.space.com           /zroot/jails/jails/nginx-rev
     4  192.168.0.4     paygw.space.com               /zroot/jails/jails/paygw
     5  192.168.0.5     webapp.my.domain              /zroot/jails/jails/webapp
     7  192.168.0.200   electrum.space.com            /zroot/jails/jails/electrum
     8  192.168.0.6     polipo.space.com              /zroot/jails/jails/polipo
     9  192.168.0.7     lightning.space.com           /zroot/jails/jails/cln

हमारे पास कंटेनरों का एक सेट है, प्रत्येक के पास स्थानीय नेटवर्क से और स्थानीय नेटवर्क तक पहुंच का अपना स्तर है।

# zfs list

NAME                    USED  AVAIL  REFER  MOUNTPOINT
zroot                   279G  1.48T    88K  /zroot
zroot/ROOT             1.89G  1.48T    88K  none
zroot/ROOT/default     1.89G  17.6G  1.89G  /
zroot/home               88K  1.48T    88K  /home
zroot/jails             277G  1.48T   404M  /zroot/jails
zroot/jails/bitcoind    190G  1.48T   190G  /zroot/jails/jails-data/bitcoind-data
zroot/jails/cln         653M  1.48T   653M  /zroot/jails/jails-data/cln-data
zroot/jails/electrum    703M  1.48T   703M  /zroot/jails/jails-data/electrum-data
zroot/jails/nginx-rev   190M  1.48T   190M  /zroot/jails/jails-data/nginx-rev-data
zroot/jails/paygw      82.4G  1.48T  82.4G  /zroot/jails/jails-data/paygw-data
zroot/jails/polipo     57.6M  1.48T  57.6M  /zroot/jails/jails-data/polipo-data
zroot/jails/tor        81.5M  1.48T  81.5M  /zroot/jails/jails-data/tor-data
zroot/jails/webapp      360M  1.48T   360M  /zroot/jails/jails-data/webapp-data

जैसा कि आप देख सकते हैं, बिटकॉइन पूरी 190 जीबी जगह लेता है। यदि हमें परीक्षण के लिए किसी अन्य नोड की आवश्यकता हो तो क्या होगा? यहीं पर ZFS काम आता है। मदद से cbsd jclone old=bitcoind new=bitcoind-clone host_hostname=clonedbtc.space.com आप एक स्नैपशॉट बना सकते हैं और इस स्नैपशॉट में एक नया सेल संलग्न कर सकते हैं। नए सेल का अपना स्थान होगा, लेकिन फ़ाइल सिस्टम में केवल वर्तमान स्थिति और मूल स्थिति के बीच के अंतर को ही ध्यान में रखा जाएगा (हम कम से कम 190 जीबी बचाएंगे)

प्रत्येक सेल का अपना अलग ZFS डेटासेट है, और यह बेहद सुविधाजनक है। ZFS भी अनुमति देता है एसएसएच के माध्यम से स्नैपशॉट भेजने जैसी कई अन्य अच्छी चीजें करें। हम इसका वर्णन नहीं करेंगे, पहले से ही बहुत कुछ है।

इन उद्देश्यों के लिए हमारे पास होस्ट की दूरस्थ निगरानी की आवश्यकता भी ध्यान देने योग्य है Zabbix.

बी - सुरक्षा

सुरक्षा के संबंध में, आइए बुनियादी ढांचे के संदर्भ में प्रमुख सिद्धांतों से शुरुआत करें:

Конфиденциальность - UNIX जैसी प्रणालियों के मानक उपकरण इस सिद्धांत के कार्यान्वयन को सुनिश्चित करते हैं। हम सिस्टम के प्रत्येक तार्किक रूप से अलग तत्व - एक सेल तक पहुंच को तार्किक रूप से अलग करते हैं। उपयोगकर्ताओं की व्यक्तिगत कुंजी का उपयोग करके मानक उपयोगकर्ता प्रमाणीकरण के माध्यम से पहुंच प्रदान की जाती है। कोशिकाओं के बीच और अंत तक सभी संचार एन्क्रिप्टेड रूप में होते हैं। डिस्क एन्क्रिप्शन के लिए धन्यवाद, हमें डिस्क को प्रतिस्थापित करते समय या किसी अन्य सर्वर पर माइग्रेट करते समय डेटा की सुरक्षा के बारे में चिंता करने की ज़रूरत नहीं है। एकमात्र महत्वपूर्ण पहुंच होस्ट सिस्टम तक पहुंच है, क्योंकि ऐसी पहुंच आम तौर पर कंटेनरों के अंदर डेटा तक पहुंच प्रदान करती है।

ईमानदारी “इस सिद्धांत का कार्यान्वयन कई अलग-अलग स्तरों पर होता है। सबसे पहले, यह ध्यान रखना महत्वपूर्ण है कि सर्वर हार्डवेयर, ईसीसी मेमोरी के मामले में, ZFS पहले से ही "आउट ऑफ द बॉक्स" सूचना बिट्स के स्तर पर डेटा अखंडता का ख्याल रखता है। त्वरित स्नैपशॉट आपको किसी भी समय तुरंत बैकअप बनाने की अनुमति देते हैं। सुविधाजनक सेल निर्यात/आयात उपकरण सेल प्रतिकृति को सरल बनाते हैं।

उपलब्धता - यह पहले से ही वैकल्पिक है. यह आपकी प्रसिद्धि की डिग्री और इस तथ्य पर निर्भर करता है कि आपके पास नफरत करने वाले लोग हैं। हमारे उदाहरण में, हमने सुनिश्चित किया कि वॉलेट विशेष रूप से TOP नेटवर्क से पहुंच योग्य था। यदि आवश्यक हो, तो आप फ़ायरवॉल पर सब कुछ ब्लॉक कर सकते हैं और विशेष रूप से सुरंगों के माध्यम से सर्वर तक पहुंच की अनुमति दे सकते हैं (टीओआर या वीपीएन एक और मामला है)। इस प्रकार, सर्वर यथासंभव बाहरी दुनिया से कटा रहेगा और केवल हम ही इसकी उपलब्धता को प्रभावित कर पाएंगे।

इनकार की असंभवता - और यह आगे के संचालन और उपयोगकर्ता अधिकारों, पहुंच आदि के लिए सही नीतियों के अनुपालन पर निर्भर करता है। लेकिन सही दृष्टिकोण के साथ, सभी उपयोगकर्ता कार्यों का ऑडिट किया जाता है, और क्रिप्टोग्राफ़िक समाधानों के लिए धन्यवाद, यह स्पष्ट रूप से पहचानना संभव है कि किसने और कब कुछ कार्य किए।

बेशक, वर्णित कॉन्फ़िगरेशन इस बात का एक पूर्ण उदाहरण नहीं है कि इसे हमेशा कैसा होना चाहिए, बल्कि यह एक उदाहरण है कि यह कैसे हो सकता है, जबकि बहुत लचीली स्केलिंग और अनुकूलन क्षमताओं को बरकरार रखा गया है।

पूर्ण वर्चुअलाइजेशन के बारे में क्या?

आप सीबीएसडी का उपयोग करके पूर्ण वर्चुअलाइजेशन के बारे में जान सकते हैं यहाँ पढ़ें. मैं बस इसे काम के लिए जोड़ूंगा bhyve आपको कुछ कर्नेल विकल्प सक्षम करने होंगे.

# cat /etc/rc.conf

...
kld_list="vmm if_tap if_bridge nmdm"
...

# cat /boot/loader.conf

...
vmm_load="YES"
...

इसलिए यदि आपको अचानक डॉकर शुरू करने की आवश्यकता है, तो कुछ डेबियन स्थापित करें और जाएं!

बस इतना ही

मुझे लगता है कि मैं बस यही साझा करना चाहता था। अगर आपको आर्टिकल पसंद आया हो तो आप मुझे कुछ बिटकॉइन भेज सकते हैं - bc1qu7lhf45xw83ddll5mnzte6ahju8ktkeu6qhttc. यदि आप सेलों को क्रियान्वित करना चाहते हैं और आपके पास कुछ बिटकॉइन हैं, तो आप मेरे पास जा सकते हैं मनपसंद परियोजना.

स्रोत: www.habr.com