ביטקוין בכלוב?

כך קרה שבמקצועי אני מנהל מערכות מחשוב ורשתות (בקיצור: מנהל מערכת), והזדמן לי לספר לפרופ' קצת יותר מ-10 שנים. הפעילות של מגוון רחב של מערכות, לרבות כאלה הדורשות אמצעי אבטחה [קיצוניים]. קרה גם שלפני זמן מה מצאתי את זה מעניין ביטקוין, ולא רק השתמשו בו, אלא גם השיק מספר שירותי מיקרו על מנת ללמוד כיצד לעבוד באופן עצמאי עם רשת הביטקוין (המכונה בכל זאת p2p) מנקודת מבטו של מפתח (אני כמובן אחד מאלה dev, אז עברתי ליד). אבל אני לא מדבר על פיתוח, אני מדבר על סביבה בטוחה ויעילה לאפליקציות.

טכנולוגיה פיננסית (fintech) עבור לצד אבטחת מידע (INFOSEC) והראשון יכול לעבוד בלי השני, אבל לא לאורך זמן. לכן אני רוצה לחלוק את החוויה שלי ואת סט הכלים שבהם אני משתמש, הכולל את שניהם fintechו - INFOSEC, ובמקביל, ויכול לשמש גם למטרה רחבה יותר או שונה לחלוטין. במאמר זה אספר לכם לא כל כך על ביטקוין, אלא על מודל התשתית לפיתוח ותפעול של שירותים פיננסיים (ולא רק) - במילה אחת, אותם שירותים שבהם "B" חשוב. זה חל הן על בורסת הביטקוין והן על גן החיות הארגוני האופייני ביותר של שירותים של חברה קטנה שאינה קשורה לביטקוין בשום צורה.

אני רוצה לציין שאני תומך בעקרונות "שמור על זה טיפשי פשוט" и "פחות זה יותר"לפיכך, הן למאמר והן למתואר בו יהיו המאפיינים שעליהם עקרונות אלה עוסקים.

תרחיש דמיוני: בואו נסתכל על הכל באמצעות הדוגמה של מחליף ביטקוין. החלטנו להשיק החלפת רובל, דולרים, יורו לביטקוין ובחזרה, וכבר יש לנו פתרון עובד, אבל לכסף דיגיטלי אחר כמו qiwi ו-webmoney, כלומר. סגרנו את כל הנושאים המשפטיים, יש לנו אפליקציה מוכנה המשמשת כשער תשלום עבור רובלים, דולרים ויורו ומערכות תשלום אחרות. הוא מחובר לחשבונות הבנק שלנו ויש לו איזשהו API עבור יישומי הקצה שלנו. יש לנו גם אפליקציית אינטרנט שפועלת כמחליף למשתמשים, ובכן, כמו חשבון qiwi או webmoney טיפוסי - צור חשבון, הוסף כרטיס וכן הלאה. הוא מתקשר עם אפליקציית השער שלנו, אם כי באמצעות ממשק API של REST באזור המקומי. וכך החלטנו לחבר ביטקוינים ובמקביל לשדרג את התשתית, כי... בתחילה הכל הועלה בחיפזון על קופסאות וירטואליות במשרד מתחת לשולחן... האתר החל בשימוש, והתחלנו לדאוג לגבי זמן פעולה וביצועים.

אז נתחיל מהעיקר – בחירת שרת. כי העסק בדוגמה שלנו קטן ואנו סומכים על המארח (OVH) שנבחר אפשרות תקציבית שבהם אי אפשר להתקין את המערכת מתמונת ה-iso המקורית, אבל זה לא משנה, מחלקת אבטחת ה-IT בהחלט תנתח את התמונה המותקנת. וכשנגדל, נשכור ארון משלנו במנעול ומפתח עם גישה פיזית מוגבלת, ואולי נבנה DC משלנו. בכל מקרה, כדאי לזכור שכאשר שוכרים חומרה והתקנת תמונות מוכנות, יש סיכוי שתלוי על המערכת שלך "טרויאני מהמארח", שברוב המקרים לא נועד לרגל אחריך. אלא להציע שרת כלי ניהול נוחים יותר.

התקנת שרת

הכל פשוט כאן. אנו בוחרים את החומרה המתאימה לצרכים שלנו. לאחר מכן בחר את תמונת FreeBSD. ובכן, או שאנחנו מתחברים (במקרה של מארח אחר והחומרה שלנו) דרך IPMI או עם צג ומכניסים את תמונת ה-.iso FreeBSD להורדה. להגדרה תזמורתית אני משתמש בלתי אפשרי и mfsbsd. הדבר היחיד, במקרה שלנו עם קימסופי, בחרנו התקנה מותאמת אישית על מנת שלשני הדיסקים במראה יהיו רק מחיצות האתחול ו/הבית "פתוחות", שאר שטח הדיסק יוצפן, אך על כך בהמשך.

התקנת המערכת מתבצעת בצורה סטנדרטית, לא אתעכב על כך, רק אציין שלפני תחילת הפעולה כדאי לשים לב. התקשות אפשרויות שהוא מציע bsdinstaller בסוף ההתקנה (אם אתה מתקין את המערכת בעצמך):

יש חומר טוב בנושא זה, אחזור עליו בקצרה כאן.

אפשר גם להפעיל את הפרמטרים שהוזכרו לעיל במערכת שכבר מותקנת. כדי לעשות זאת, עליך לערוך את קובץ טוען האתחול ולהפעיל פרמטרים של הליבה. *ee הוא עורך כזה ב-BSD

# ee /etc/rc.conf

...
#sec hard
clear_tmp_enable="YES"
syslogd_flags="-ss"    
sendmail_enable="NONE"

# ee /etc/sysctl.conf

...
#sec hard
security.bsd.see_other_uids=0
security.bsd.see_other_gids=0
security.bsd.unprivileged_read_msgbuf=0
security.bsd.unprivileged_proc_debug=0
kern.randompid=$(jot -r 1 9999)
security.bsd.stack_guard_page=1

עליך גם לוודא שהגרסה העדכנית ביותר של המערכת מותקנת, וכן לבצע את כל העדכונים והשדרוגים. במקרה שלנו, למשל, נדרש שדרוג לגרסה העדכנית ביותר, כי... תמונות טרום התקנה מפגרות בשישה חודשים עד שנה. ובכן, שם אנו משנים את יציאת ה-SSH למשהו שונה מברירת המחדל, מוסיפים אימות מפתח ומשביתים את אימות הסיסמה.

אחר כך הגדרנו aide, ניטור מצב קבצי תצורת המערכת. אתה יכול לקרוא יותר בפירוט כאן.

pkg install aide

וערוך את הקרונטאב שלנו

crontab -e

06 01 * * 0-6 /root/chkaide.sh

#! /bin/sh
#chkaide.sh
MYDATE=`date +%Y-%m-%d`
MYFILENAME="Aide-"$MYDATE.txt
/bin/echo "Aide check !! `date`" > /tmp/$MYFILENAME
/usr/local/bin/aide --check > /tmp/myAide.txt
/bin/cat /tmp/myAide.txt|/usr/bin/grep -v failed >> /tmp/$MYFILENAME
/bin/echo "**************************************" >> /tmp/$MYFILENAME
/usr/bin/tail -20 /tmp/myAide.txt >> /tmp/$MYFILENAME
/bin/echo "****************DONE******************" >> /tmp/$MYFILENAME

תדליק ביקורת מערכות

sysrc auditd_enable=YES

# service auditd start

כיצד לנהל את העניין הזה מתואר בצורה מושלמת ב מדריך.

כעת אנו מאתחלים ונמשיך לתוכנה בשרת. כל שרת הוא היפרוויזר עבור קונטיינרים או מכונות וירטואליות מלאות. לכן, חשוב שהמעבד יתמוך ב-VT-x ו-EPT אם אנחנו מתכננים להשתמש בווירטואליזציה מלאה.

לניהול קונטיינרים ומכונות וירטואליות אני משתמש cbsd מ olevole, אני מאחל לו יותר בריאות וברכות עבור השירות הנפלא הזה!

מיכלים? שוב דוקר או מה?

ולא. כלא FreeBSD הוא כלי מצוין למיכל, אבל האמור cbsd לתזמר את המיכלים הללו, הנקראים תאים.

הכלוב מהווה פתרון יעיל ביותר לבניית תשתית למגוון מטרות, כאשר בסופו של דבר נדרש בידוד מוחלט של שירותים או תהליכים בודדים. בעיקרו של דבר, זהו שיבוט של המערכת המארחת, אך הוא אינו דורש וירטואליזציה מלאה של החומרה. ובזכות זה, משאבים לא מושקעים על "מערכת ההפעלה של האורחים", אלא רק על העבודה המבוצעת. כאשר משתמשים בתאים לצרכים פנימיים, זהו פתרון נוח מאוד לשימוש אופטימלי במשאבים - חבורה של תאים בשרת חומרה אחד יכולים כל אחד בנפרד להשתמש בכל משאב השרת במידת הצורך. בהתחשב בכך שבדרך כלל יש צורך בשירותי משנה שונים. משאבים בזמנים שונים, אתה יכול לחלץ ביצועים מקסימליים משרת אחד אם תתכנן ואיזון נכון את התאים בין השרתים. במידת הצורך, ניתן לתת לתאים גם הגבלות על המשאב המשמש.

מה לגבי וירטואליזציה מלאה?

עד כמה שידוע לי cbsd תומך בעבודה bhyve ו-XEN hypervisors. מעולם לא השתמשתי בשני, אבל הראשון חדש יחסית hypervisor מ- FreeBSD. נסתכל על דוגמה לשימוש bhyve בדוגמה למטה.

התקנה והגדרה של סביבת המארח

אנו משתמשים ב-FS ZFS. זהו כלי חזק במיוחד לניהול שטח שרת. הודות ל-ZFS, אתה יכול לבנות ישירות מערכים של תצורות שונות מדיסקים, "חם" דינמי להרחיב שטח, לשנות דיסקים מתים, לנהל צילומי מצב ועוד הרבה, הרבה יותר, שניתן לתאר בסדרה שלמה של מאמרים. בואו נחזור לשרת שלנו ולדיסקים שלו. בתחילת ההתקנה השארנו מקום פנוי על הדיסקים למחיצות מוצפנות. למה? זאת על מנת שהמערכת מתעוררת אוטומטית ומאזינה דרך SSH.

gpart add -t freebsd-zfs /dev/ada0

/dev/ada0p4 added!

הוסף מחיצת דיסק לשטח הנותר

geli init /dev/ada0p4

הזן את סיסמת ההצפנה שלנו

geli attach /dev/ada0p4

אנחנו מכניסים את הסיסמה שוב ויש לנו מכשיר /dev/ada0p4.eli - זה המרחב המוצפן שלנו. לאחר מכן נחזור על אותו הדבר עבור /dev/ada1 ושאר הדיסקים במערך. ואנחנו יוצרים אחד חדש בריכת ZFS.

zpool create vms mirror /dev/ada0p4.eli /dev/ada1p4.eli /dev/ada3p4.eli - ובכן, יש לנו את ערכת הלחימה המינימלית מוכנה. מערך שיקוף של דיסקים למקרה שאחד מהשלושה ייכשל.

יצירת מערך נתונים על "בריכה" חדשה

zfs create vms/jails

pkg install cbsd - השקנו צוות והקמנו ניהול עבור התאים שלנו.

לאחר cbsd מותקן, יש לאתחל אותו:

# env workdir="/vms/jails" /usr/local/cbsd/sudoexec/initenv

ובכן, אנחנו עונים על חבורה של שאלות, בעיקר עם תשובות ברירת מחדל.

*אם אתה משתמש בהצפנה, חשוב שהדמון cbsdd לא התחיל אוטומטית עד שפענח את הדיסקים באופן ידני או אוטומטי (בדוגמה שלנו זה נעשה על ידי zabbix)

**אני גם לא משתמש ב-NAT מ cbsd, ואני מגדיר את זה בעצמי ב pf.

# sysrc pf_enable=YES

# ee /etc/pf.conf

IF_PUBLIC="em0"
IP_PUBLIC="1.23.34.56"
JAIL_IP_POOL="192.168.0.0/24"

#WHITE_CL="{ 127.0.0.1 }"

icmp_types="echoreq"

set limit { states 20000, frags 20000, src-nodes 20000 }
set skip on lo0
scrub in all

#NAT for jails
nat pass on $IF_PUBLIC from $JAIL_IP_POOL to any -> $IP_PUBLIC

## Bitcoin network port forward
IP_JAIL="192.168.0.1"
PORT_JAIL="{8333}"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

# service pf start

# pfctl -f /etc/pf.conf

הגדרת מדיניות חומת אש היא גם נושא נפרד, אז אני לא אכנס לעומק הגדרת המדיניות BLOCK ALL והגדרת רשימות הלבנים, אתה יכול לעשות זאת על ידי קריאה תיעוד רשמי או כל אחד מהמספר העצום של מאמרים הזמינים בגוגל.

ובכן... התקנו לנו cbsd, הגיע הזמן ליצור את סוס העבודה הראשון שלנו - שד הביטקוין הכלוא!

cbsd jconstruct-tui

כאן אנו רואים את תיבת הדו-שיח ליצירת תאים. אחרי שכל הערכים נקבעו, בואו ניצור!

בעת יצירת התא הראשון שלך, עליך לבחור במה להשתמש כבסיס לתאים. אני בוחר הפצה ממאגר FreeBSD עם הפקודה repo. בחירה זו מתבצעת רק בעת יצירת התא הראשון של גרסה ספציפית (ניתן לארח תאים מכל גרסה שישנה יותר מהגרסה המארח).

לאחר שהכל מותקן, אנו משיקים את הכלוב!

# cbsd jstart bitcoind

אבל אנחנו צריכים להתקין תוכנה בכלוב.

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind

jexec bitcoind כדי להיכנס למסוף הסלולרי

וכבר בתוך התא אנו מתקינים את התוכנה עם התלות שלה (המערכת המארחת שלנו נשארת נקייה)

bitcoind:/@[15:25] # pkg install bitcoin-daemon bitcoin-utils

bitcoind:/@[15:30] # sysrc bitcoind_enable=YES

bitcoind:/@[15:30] # service bitcoind start

יש ביטקוין בכלוב, אבל אנחנו צריכים אנונימיות כי אנחנו רוצים להתחבר לכמה כלובים דרך רשת TOP. באופן כללי, אנו מתכננים להפעיל את רוב התאים עם תוכנות חשודות רק דרך פרוקסי. הודות ל pf אתה יכול להשבית NAT עבור טווח מסוים של כתובות IP ברשת המקומית, ולאפשר NAT רק עבור צומת ה-TOR שלנו. לפיכך, גם אם תוכנות זדוניות חודרות לתא, סביר להניח שהיא לא תתקשר עם העולם החיצון, ואם כן היא לא תחשוף את ה-IP של השרת שלנו. לכן, אנו יוצרים תא נוסף ל"העברה" של שירותים כשירות ".onion" וכפרוקסי לגישה לאינטרנט לתאים בודדים.

# cbsd jsconstruct-tui

# cbsd jstart tor

# jexec tor

tor:/@[15:38] # pkg install tor

tor:/@[15:38] # sysrc tor_enable=YES

tor:/@[15:38] # ee /usr/local/etc/tor/torrc

הגדר להאזנה בכתובת מקומית (זמין עבור כל התאים)

SOCKSPort 192.168.0.2:9050

מה עוד אנחנו צריכים בשביל אושר מוחלט? כן, אנחנו צריכים שירות עבור האינטרנט שלנו, אולי יותר מאחד. בואו נשיק את nginx, שיפעל כפרוקסי הפוך וידאג לחידוש תעודות Let's Encrypt

# cbsd jsconstruct-tui

# cbsd jstart nginx-rev

# jexec nginx-rev

nginx-rev:/@[15:47] # pkg install nginx py36-certbot

וכך שמנו 150 מגה-בייט של תלות בכלוב. והמארח עדיין נקי.

נחזור להגדרת nginx מאוחר יותר, עלינו להעלות שני תאים נוספים עבור שער התשלום שלנו על nodejs ו-rust ויישום אינטרנט, שמשום מה נמצא ב-Apache ו-PHP, והאחרון דורש גם מסד נתונים של MySQL.

# cbsd jsconstruct-tui

# cbsd jstart paygw

# jexec paygw

paygw:/@[15:55] # pkg install git node npm

paygw:/@[15:55] # curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh

...ועוד 380 מגה-בייט של חבילות מבודדות

לאחר מכן, אנו מורידים את האפליקציה שלנו עם git ומפעילים אותה.

# cbsd jsconstruct-tui

# cbsd jstart webapp

# jexec webapp

webapp:/@[16:02] # pkg install mariadb104-server apache24 php74 mod_php74 php74-pdo_mysql

חבילות של 450 מגה. בכלוב.

כאן אנו נותנים למפתח גישה דרך SSH ישירות לתא, הם יעשו שם הכל בעצמם:

webapp:/@[16:02] # ee /etc/ssh/sshd_config

Port 2267 - שנה את יציאת ה-SSH של התא לכל אחת שרירותית

webapp:/@[16:02] # sysrc sshd_enable=YES

webapp:/@[16:02] # service sshd start

ובכן, השירות פועל, כל מה שנותר הוא להוסיף לו את הכלל pf חומת אש

בואו נראה איזה IP יש לתאים שלנו ואיך נראה "האזור המקומי" שלנו בדרך כלל.

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind
     2  192.168.0.2     tor.space.com                 /zroot/jails/jails/tor
     3  192.168.0.3     nginx-rev.space.com           /zroot/jails/jails/nginx-rev
     4  192.168.0.4     paygw.space.com               /zroot/jails/jails/paygw
     5  192.168.0.5     webapp.my.domain              /zroot/jails/jails/webapp

ולהוסיף כלל

# ee /etc/pf.conf

## SSH for web-Devs
IP_JAIL="192.168.0.5"
PORT_JAIL="{ 2267 }"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

ובכן, מכיוון שאנחנו כאן, בואו נוסיף גם כלל עבור פרוקסי הפוך:

## web-ports for nginx-rev
IP_JAIL="192.168.0.3"
PORT_JAIL="{ 80, 443 }"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

# pfctl -f /etc/pf.conf

ובכן, עכשיו קצת על ביטקוין

מה שיש לנו זה שיש לנו אפליקציית אינטרנט שנחשפת חיצונית והיא מדברת מקומית עם שער התשלום שלנו. כעת עלינו להכין סביבת עבודה לאינטראקציה עם רשת הביטקוין עצמה - הצומת bitcoind זה רק דמון שמעדכן את העותק המקומי של הבלוקצ'יין. לדמון הזה יש פונקציונליות RPC וארנק, אבל יש "עטיפות" נוחות יותר לפיתוח יישומים. מלכתחילה, החלטנו לשים electrum הוא ארנק CLI. הארנק הזה נשתמש בו כ"אחסון קר" עבור הביטקוינים שלנו - באופן כללי, אותם ביטקוינים שיצטרכו להיות מאוחסנים "מחוץ" למערכת הנגישה למשתמשים ובדרך כלל הרחק מכולם. יש לו גם GUI, אז אנחנו הולכים להשתמש באותו ארנק על שלנו
מחשבים ניידים. לעת עתה נשתמש באלקטרום עם שרתים ציבוריים, ובהמשך נעלה אותו בתא אחר ElectrumXכדי לא להיות תלוי באף אחד בכלל.

# cbsd jsconstruct-tui

# cbsd jstart electrum

# jexec electrum

electrum:/@[8:45] # pkg install py36-electrum

עוד 700 מגה-בייט של תוכנה בכלוב שלנו

electrum:/@[8:53] # adduser

Username: wallet
Full name: 
Uid (Leave empty for default): 
Login group [wallet]: 
Login group is wallet. Invite wallet into other groups? []: 
Login class [default]: 
Shell (sh csh tcsh nologin) [sh]: tcsh
Home directory [/home/wallet]: 
Home directory permissions (Leave empty for default): 
Use password-based authentication? [yes]: no
Lock out the account after creation? [no]: 
Username   : wallet
Password   : <disabled>
Full Name  : 
Uid        : 1001
Class      : 
Groups     : wallet 
Home       : /home/wallet
Home Mode  : 
Shell      : /bin/tcsh
Locked     : no
OK? (yes/no): yes
adduser: INFO: Successfully added (wallet) to the user database.
Add another user? (yes/no): no
Goodbye!
electrum:/@[8:53] # su wallet

electrum:/@[8:53] # su wallet

wallet@electrum:/ % electrum-3.6 create

{
    "msg": "Please keep your seed in a safe place; if you lose it, you will not be able to restore your wallet.",
    "path": "/usr/home/wallet/.electrum/wallets/default_wallet",
    "seed": "jealous win pig material ribbon young punch visual okay cactus random bird"
}

עכשיו נוצר לנו ארנק.

wallet@electrum:/ % electrum-3.6 listaddresses

[
    "18WEhbjvMLGRMfwudzUrUd25U5C7uZYkzE",
    "14XHSejhxsZNDRtk4eFbqAX3L8rftzwQQU",
    "1KQXaN8RXiCN1ne9iYngUWAr6KJ6d4pPas",
    ...
    "1KeVcAwEYhk29qEyAfPwcBgF5mMMoy4qjw",
    "18VaUuSeBr6T2GwpSHYF3XyNgLyLCt1SWk"
]

wallet@electrum:/ % electrum-3.6 help

אל שלנו על שרשרת רק מספר מוגבל של אנשים יוכלו להתחבר לארנק מעתה ואילך. כדי לא לפתוח גישה לתא זה מבחוץ, חיבורים דרך SSH יתרחשו דרך TOP (גרסה מבוזרת של VPN). אנו משיקים SSH בתא, אך לא נוגעים ב-pf.conf שלנו במארח.

electrum:/@[9:00] # sysrc sshd_enable=YES

electrum:/@[9:00] # service sshd start

עכשיו בואו נכבה את התא עם הגישה לאינטרנט של הארנק. בואו ניתן לו כתובת IP ממרחב רשת משנה אחר שאינו NATed. קודם בואו נשנה /etc/pf.conf על המארח

# ee /etc/pf.conf

JAIL_IP_POOL="192.168.0.0/24" בוא נשנה את זה ל JAIL_IP_POOL="192.168.0.0/25", לפיכך לכל הכתובות 192.168.0.126-255 לא תהיה גישה ישירה לאינטרנט. מעין רשת "אייר-גאפ" תוכנה. וכלל NAT נשאר כשהיה

nat pass on $IF_PUBLIC from $JAIL_IP_POOL to any -> $IP_PUBLIC

עומס יתר על החוקים

# pfctl -f /etc/pf.conf

עכשיו בואו ניקח על התא שלנו

# cbsd jconfig jname=electrum

jset mode=quiet jname=electrum ip4_addr="192.168.0.200"
Remove old IP: /sbin/ifconfig em0 inet 192.168.0.6 -alias
Setup new IP: /sbin/ifconfig em0 inet 192.168.0.200 alias
ip4_addr: 192.168.0.200

הממ, אבל עכשיו המערכת עצמה תפסיק לעבוד בשבילנו. עם זאת, אנו יכולים לציין פרוקסי מערכת. אבל יש דבר אחד, ב-TOR זה פרוקסי SOCKS5, ולמען הנוחות נרצה גם פרוקסי HTTP.

# cbsd jsconstruct-tui

# cbsd jstart polipo

# jexec polipo

polipo:/@[9:28] # pkg install polipo

polipo:/@[9:28] # ee /usr/local/etc/polipo/config

socksParentProxy = "192.168.0.2:9050"
socksProxyType = socks5

polipo:/@[9:42] # sysrc polipo_enable=YES

polipo:/@[9:43] # service polipo start

ובכן, כעת ישנם שני שרתי פרוקסי במערכת שלנו, ושניהם יוצאים דרך TOR: socks5://192.168.0.2:9050 ו http://192.168.0.6:8123

כעת אנו יכולים להגדיר את סביבת הארנק שלנו

# jexec electrum

electrum:/@[9:45] # su wallet

wallet@electrum:/ % ee ~/.cshrc

#in the end of file proxy config
setenv http_proxy http://192.168.0.6:8123
setenv https_proxy http://192.168.0.6:8123

ובכן, כעת המעטפת תעבוד מתחת ל-proxy. אם אנחנו רוצים להתקין חבילות, אז אנחנו צריכים להוסיף /usr/local/etc/pkg.conf מתחת לשורש הכלוב

pkg_env: {
               http_proxy: "http://my_proxy_ip:8123",
           }

ובכן, עכשיו הגיע הזמן להוסיף את השירות הנסתר TOR ככתובת שירות ה-SSH שלנו בתא הארנק.

# jexec tor

tor:/@[9:59] # ee /usr/local/etc/tor/torrc

HiddenServiceDir /var/db/tor/electrum/
HiddenServicePort 22 192.168.0.200:22

tor:/@[10:01] # mkdir /var/db/tor/electrum

tor:/@[10:01] # chown -R _tor:_tor /var/db/tor/electrum

tor:/@[10:01] # chmod 700 /var/db/tor/electrum

tor:/@[10:03] # service tor restart

tor:/@[10:04] # cat /var/db/tor/electrum/hostname

mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion

זו כתובת החיבור שלנו. בוא נבדוק מהמכונה המקומית. אבל תחילה עלינו להוסיף את מפתח ה-SSH שלנו:

wallet@electrum:/ % mkdir ~/.ssh

wallet@electrum:/ % ee ~/.ssh/authorized_keys

ecdsa-sha2-nistp521 AAAAE2VjZHNhLXNoYTItbmlzdHA1MjEAAAAIbmlzdHA1MjEAAACFBAG9Fk2Lqi4GQ8EXZrsH3EgSrVIQPQaAlS38MmJLBabihv9KHIDGXH7r018hxqLNNGbaJWO/wrWk7sG4T0yLHAbdQAFsMYof9kjoyuG56z0XZ8qaD/X/AjrhLMsIoBbUNj0AzxjKNlPJL4NbHsFwbmxGulKS0PdAD5oLcTQi/VnNdU7iFw== user@local

ובכן, ממחשב לקוח לינוקס

user@local ~$ nano ~/.ssh/config

#remote electrum wallet
Host remotebtc
        User wallet
        Port 22
        Hostname mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion
        ProxyCommand /bin/ncat --proxy localhost:9050 --proxy-type socks5 %h %p

בואו נתחבר (כדי שזה יעבוד, אתה צריך דמון TOR מקומי שמאזין ב-9050)

user@local ~$ ssh remotebtc

The authenticity of host 'mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion (<no hostip for proxy command>)' can't be established.
ECDSA key fingerprint is SHA256:iW8FKjhVF4yyOZB1z4sBkzyvCM+evQ9cCL/EuWm0Du4.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion' (ECDSA) to the list of known hosts.
FreeBSD 12.1-RELEASE-p1 GENERIC 
To save disk space in your home directory, compress files you rarely
use with "gzip filename".
        -- Dru <[email protected]>
wallet@electrum:~ % logout

הַצלָחָה!

כדי לעבוד עם תשלומים מיידיים ומיקרו, אנחנו צריכים גם צומת רשת ברקים, למעשה, זה יהיה כלי העבודה העיקרי שלנו עם ביטקוין. U*ברק גשבו אנחנו הולכים להשתמש בתור דמון תוסף Sparko, שהוא ממשק HTTP (REST) ​​מלא ומאפשר לך לעבוד גם עם עסקאות מחוץ לשרשרת וגם עם עסקאות ברשת. c-lightning נדרש לתפקוד bitcoind אבל כן.

*ישנם יישומים שונים של פרוטוקול Lightning Network בשפות שונות. מבין אלו שבדקנו, c-lightning (כתוב ב-C) נראה היציב ביותר וחסכוני במשאבים

# cbsd jsconstruct-tui

# cbsd jstart cln

# jexec cln

lightning:/@[10:23] # adduser

Username: lightning
...

lightning:/@[10:24] # pkg install git

lightning:/@[10:23] # su lightning

cd ~ && git clone https://github.com/ElementsProject/lightning

lightning@lightning:~ % exit

lightning:/@[10:30] # cd /home/lightning/lightning/

lightning:/home/lightning/lightning@[10:31] # pkg install autoconf automake gettext git gmp gmake libtool python python3 sqlite3 libsodium py36-mako bash bitcoin-utils

lightning:/home/lightning/lightning@[10:34] # ./configure && gmake && gmake install

בעוד כל הדרוש מורכב ומותקן, בואו ניצור משתמש RPC עבור lightningd в bitcoind

# jexec bitcoind

bitcoind:/@[10:36] # ee /usr/local/etc/bitcoin.conf

rpcbind=192.168.0.1
rpcuser=test
rpcpassword=test
#allow only c-lightning
rpcallowip=192.168.0.7/32

bitcoind:/@[10:39] # service bitcoind restart

המעבר הכאוטי שלי בין תאים מתברר כל כך לא כאוטי אם אתה שם לב לתועלת tmux, המאפשר לך ליצור תת-הפעלות מסוף מרובות בתוך הפעלה אחת. אנלוגי: screen

אז, אנחנו לא רוצים לחשוף את ה-IP האמיתי של הצומת שלנו, ואנחנו רוצים לבצע את כל העסקאות הפיננסיות דרך TOP. לכן, אין צורך בצל נוסף.

# jexec tor

tor:/@[9:59] # ee /usr/local/etc/tor/torrc

HiddenServiceDir /var/db/tor/cln/
HiddenServicePort 9735 192.168.0.7:9735

tor:/@[10:01] # mkdir /var/db/tor/cln

tor:/@[10:01] # chown -R _tor:_tor /var/db/tor/cln

tor:/@[10:01] # chmod 700 /var/db/tor/cln

tor:/@[10:03] # service tor restart

tor:/@[10:04] # cat /var/db/tor/cln/hostname

en5wbkavnytti334jc5uzaudkansypfs6aguv6kech4hbzpcz2ove3yd.onion

עכשיו בואו ניצור תצורה עבור c-lightning

lightning:/home/lightning/lightning@[10:31] # su lightning

lightning@lightning:~ % mkdir .lightning

lightning@lightning:~ % ee .lightning/config

alias=My-LN-Node
bind-addr=192.168.0.7:9735
rgb=ff0000
announce-addr=en5wbkavnytti334jc5uzaudkansypfs6aguv6kech4hbzpcz2ove3yd.onion:9735
network=bitcoin
log-level=info
fee-base=0
fee-per-satoshi=1
proxy=192.168.0.2:9050
log-file=/home/lightning/.lightning/c-lightning.log
min-capacity-sat=200000

# sparko plugin
# https://github.com/fiatjaf/lightningd-gjson-rpc/tree/master/cmd/sparko

sparko-host=192.168.0.7
sparko-port=9737

sparko-tls-path=sparko-tls

#sparko-login=mywalletusername:mywalletpassword

#sparko-keys=masterkey;secretread:+listchannels,+listnodes;secretwrite:+invoice,+listinvoices,+delinvoice,+decodepay,+waitpay,+waitinvoice
sparko-keys=masterkey;secretread:+listchannels,+listnodes;ultrawrite:+invoice,+listinvoices,+delinvoice,+decodepay,+waitpay,+waitinvoice
# for the example above the initialization logs (mixed with lightningd logs) should print something like

lightning@lightning:~ % mkdir .lightning/plugins

lightning@lightning:~ % cd .lightning/plugins/

lightning@lightning:~/.lightning/plugins:% fetch https://github.com/fiatjaf/sparko/releases/download/v0.2.1/sparko_full_freebsd_amd64

lightning@lightning:~/.lightning/plugins % mkdir ~/.lightning/sparko-tls

lightning@lightning:~/.lightning/sparko-tls % cd ~/.lightning/sparko-tls

lightning@lightning:~/.lightning/sparko-tls % openssl genrsa -out key.pem 2048

lightning@lightning:~/.lightning/sparko-tls % openssl req -new -x509 -sha256 -key key.pem -out cert.pem -days 3650

lightning@lightning:~/.lightning/plugins % chmod +x sparko_full_freebsd_amd64

lightning@lightning:~/.lightning/plugins % mv sparko_full_freebsd_amd64 sparko

lightning@lightning:~/.lightning/plugins % cd ~

אתה גם צריך ליצור קובץ תצורה עבור bitcoin-cli, כלי עזר שמתקשר איתו bitcoind

lightning@lightning:~ % mkdir .bitcoin

lightning@lightning:~ % ee .bitcoin/bitcoin.conf

rpcconnect=192.168.0.1
rpcuser=test
rpcpassword=test

חשבון

lightning@lightning:~ % bitcoin-cli echo "test"

[
  "test"
]

לרוץ lightningd

lightning@lightning:~ % lightningd --daemon

את עצמו lightningd אתה יכול לשלוט בכלי השירות lightning-cli, לדוגמה:

lightning-cli newaddr לקבל את הכתובת לתשלום נכנס חדש

{
   "address": "bc1q2n2ffq3lplhme8jufcxahfrnfhruwjgx3c78pv",
   "bech32": "bc1q2n2ffq3lplhme8jufcxahfrnfhruwjgx3c78pv"
}

lightning-cli withdraw bc1jufcxahfrnfhruwjgx3cq2n2ffq3lplhme878pv all לשלוח את כל הכסף בארנק לכתובת (כל הכתובות ברשת)

גם פקודות לפעולות מחוץ לשרשרת lightning-cli invoice, lightning-cli listinvoices, lightning-cli pay וכן הלאה.

ובכן, לתקשורת עם האפליקציה יש לנו REST API

curl -k https://192.168.0.7:9737/rpc -d '{"method": "pay", "params": ["lnbc..."]}' -H 'X-Access masterkey'

לסכם

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind
     2  192.168.0.2     tor.space.com                 /zroot/jails/jails/tor
     3  192.168.0.3     nginx-rev.space.com           /zroot/jails/jails/nginx-rev
     4  192.168.0.4     paygw.space.com               /zroot/jails/jails/paygw
     5  192.168.0.5     webapp.my.domain              /zroot/jails/jails/webapp
     7  192.168.0.200   electrum.space.com            /zroot/jails/jails/electrum
     8  192.168.0.6     polipo.space.com              /zroot/jails/jails/polipo
     9  192.168.0.7     lightning.space.com           /zroot/jails/jails/cln

יש לנו סט קונטיינרים, שלכל אחד מהם רמת גישה משלו הן מהרשת המקומית והן אליה.

# zfs list

NAME                    USED  AVAIL  REFER  MOUNTPOINT
zroot                   279G  1.48T    88K  /zroot
zroot/ROOT             1.89G  1.48T    88K  none
zroot/ROOT/default     1.89G  17.6G  1.89G  /
zroot/home               88K  1.48T    88K  /home
zroot/jails             277G  1.48T   404M  /zroot/jails
zroot/jails/bitcoind    190G  1.48T   190G  /zroot/jails/jails-data/bitcoind-data
zroot/jails/cln         653M  1.48T   653M  /zroot/jails/jails-data/cln-data
zroot/jails/electrum    703M  1.48T   703M  /zroot/jails/jails-data/electrum-data
zroot/jails/nginx-rev   190M  1.48T   190M  /zroot/jails/jails-data/nginx-rev-data
zroot/jails/paygw      82.4G  1.48T  82.4G  /zroot/jails/jails-data/paygw-data
zroot/jails/polipo     57.6M  1.48T  57.6M  /zroot/jails/jails-data/polipo-data
zroot/jails/tor        81.5M  1.48T  81.5M  /zroot/jails/jails-data/tor-data
zroot/jails/webapp      360M  1.48T   360M  /zroot/jails/jails-data/webapp-data

כפי שאתה יכול לראות, bitcoind תופס את כל 190 GB של מקום. מה אם נצטרך עוד צומת לבדיקות? זה המקום שבו ZFS בא שימושי. עם עזרה cbsd jclone old=bitcoind new=bitcoind-clone host_hostname=clonedbtc.space.com אתה יכול ליצור תמונת מצב ולצרף תא חדש לתמונה זו. לתא החדש יהיה מרחב משלו, אך רק ההבדל בין המצב הנוכחי למקור יילקח בחשבון במערכת הקבצים (נשמור לפחות 190 GB)

כל תא הוא מערך ZFS נפרד משלו, וזה מאוד נוח. גם ZFS מאפשר לעשות דברים מגניבים אחרים, כמו שליחת תמונות דרך SSH. לא נתאר את זה, יש כבר הרבה.

ראוי גם לציין את הצורך בניטור מרחוק של המארח, למטרות אלו יש לנו זאביקס.

ב' - בטיחות

לגבי אבטחה, נתחיל מעקרונות המפתח בהקשר של תשתית:

Конфиденциальность - כלים סטנדרטיים של מערכות דמויות UNIX מבטיחים את יישום העיקרון הזה. אנו מפרידים גישה לוגית לכל אלמנט נפרד לוגית של המערכת - תא. הגישה ניתנת באמצעות אימות משתמש רגיל באמצעות המפתחות האישיים של המשתמשים. כל התקשורת בין ואל תאי הקצה מתרחשת בצורה מוצפנת. הודות להצפנת דיסק, אנחנו לא צריכים לדאוג לגבי בטיחות הנתונים בעת החלפת דיסק או מעבר לשרת אחר. הגישה הקריטית היחידה היא גישה למערכת המארחת, מכיוון שגישה כזו מספקת בדרך כלל גישה לנתונים בתוך קונטיינרים.

יושרה "היישום של עיקרון זה מתרחש בכמה רמות שונות. ראשית, חשוב לציין שבמקרה של חומרת שרת, זיכרון ECC, ZFS כבר "מחוץ לקופסה" דואגת לשלמות הנתונים ברמת סיביות המידע. צילומי מצב מיידיים מאפשרים לך לבצע גיבויים בכל עת תוך כדי תנועה. כלי ייצוא/ייבוא ​​תאים נוחים הופכים את שכפול התא לפשוט.

זמינות - זה כבר אופציונלי. תלוי במידת התהילה שלך ובעובדה שיש לך שונאים. בדוגמה שלנו, וידאנו שהארנק נגיש אך ורק מרשת TOP. במידת הצורך, ניתן לחסום הכל בחומת האש ולאפשר גישה לשרת אך ורק דרך מנהרות (TOR או VPN זה עניין אחר). כך, השרת יהיה מנותק מהעולם החיצון ככל האפשר, ורק אנחנו בעצמנו נוכל להשפיע על זמינותו.

חוסר אפשרות לסירוב - וזה תלוי בפעילות נוספת ובעמידה במדיניות הנכונה לגבי זכויות משתמש, גישה וכו'. אבל בגישה הנכונה, כל פעולות המשתמש עוברות ביקורת, ובזכות פתרונות קריפטוגרפיים ניתן לזהות באופן חד משמעי מי ביצע פעולות מסוימות ומתי.

כמובן, התצורה המתוארת אינה דוגמה מוחלטת לאיך שהיא צריכה להיות תמיד, אלא דוגמה אחת לאיך שהיא יכולה להיות, תוך שמירה על יכולות קנה מידה והתאמה אישית גמישות מאוד.

מה לגבי וירטואליזציה מלאה?

לגבי וירטואליזציה מלאה באמצעות cbsd אתה יכול קרא כאן. אני רק אוסיף את זה לעבודה bhyve אתה צריך להפעיל כמה אפשרויות ליבה.

# cat /etc/rc.conf

...
kld_list="vmm if_tap if_bridge nmdm"
...

# cat /boot/loader.conf

...
vmm_load="YES"
...

אז אם אתה פתאום צריך להפעיל Docker, אז התקן קצת דביאן ולך!

זה הכל

אני מניח שזה כל מה שרציתי לשתף. אם אהבתם את המאמר, אז אתם יכולים לשלוח לי כמה ביטקוינים - bc1qu7lhf45xw83ddll5mnzte6ahju8ktkeu6qhttc. אם אתה רוצה לנסות תאים בפעולה ויש לך כמה ביטקוינים, אתה יכול ללכת אל שלי פרויקט חיות מחמד.

מקור: www.habr.com