Bitcoin នៅក្នុងទ្រុង?

វាបានកើតឡើងដូច្នេះដោយវិជ្ជាជីវៈខ្ញុំជាអ្នកគ្រប់គ្រងប្រព័ន្ធកុំព្យូទ័រនិងបណ្តាញ (និយាយឱ្យខ្លី: អ្នកគ្រប់គ្រងប្រព័ន្ធ) ហើយខ្ញុំមានឱកាសប្រាប់ prof អស់រយៈពេលជាង 10 ឆ្នាំ។ សកម្មភាពនៃប្រព័ន្ធជាច្រើន រួមទាំងប្រព័ន្ធដែលទាមទារវិធានការសុវត្ថិភាព [ខ្លាំង]។ វាក៏បានកើតឡើងផងដែរដែលមួយរយៈមុនខ្ញុំបានរកឃើញថាវាគួរឱ្យចាប់អារម្មណ៍ bitcoinហើយមិនត្រឹមតែបានប្រើវាប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងបានបើកដំណើរការសេវាកម្មខ្នាតតូចជាច្រើនផងដែរ ដើម្បីរៀនពីរបៀបធ្វើការដោយឯករាជ្យជាមួយបណ្តាញ Bitcoin (aka p2p បន្ទាប់ពីទាំងអស់) ពីទស្សនៈរបស់អ្នកអភិវឌ្ឍន៍ (ជាការពិតណាស់ខ្ញុំជាមនុស្សម្នាក់ក្នុងចំណោមអ្នកទាំងនោះ។ devដូច្នេះខ្ញុំបានឆ្លងកាត់) ។ ប៉ុន្តែខ្ញុំមិននិយាយអំពីការអភិវឌ្ឍន៍ទេ ខ្ញុំកំពុងនិយាយអំពីបរិយាកាសសុវត្ថិភាព និងប្រសិទ្ធភាពសម្រាប់កម្មវិធី។

បច្ចេកវិទ្យាហិរញ្ញវត្ថុ (fintech) ទៅ​បន្ទាប់​សុវត្ថិភាព​ព័ត៌មាន (ខ្ញុំទទួលបានគ្មានកំណត់) ហើយទីមួយអាចដំណើរការដោយគ្មានទីពីរ ប៉ុន្តែមិនយូរទេ។ នោះហើយជាមូលហេតុដែលខ្ញុំចង់ចែករំលែកបទពិសោធន៍របស់ខ្ញុំ និងសំណុំឧបករណ៍ដែលខ្ញុំប្រើ ដែលរួមមានទាំងពីរ fintech, និង ខ្ញុំទទួលបានគ្មានកំណត់ហើយក្នុងពេលតែមួយ និងក៏អាចប្រើសម្រាប់គោលបំណងទូលំទូលាយ ឬខុសគ្នាទាំងស្រុងផងដែរ។ នៅក្នុងអត្ថបទនេះខ្ញុំនឹងប្រាប់អ្នកមិនច្រើនទេអំពី Bitcoin ប៉ុន្តែអំពីគំរូហេដ្ឋារចនាសម្ព័ន្ធសម្រាប់ការអភិវឌ្ឍន៍ និងប្រតិបត្តិការសេវាកម្មហិរញ្ញវត្ថុ (និងមិនត្រឹមតែប៉ុណ្ណោះ) - នៅក្នុងពាក្យមួយ សេវាកម្មទាំងនោះដែល "B" សំខាន់។ នេះអនុវត្តទាំងការប្តូរ Bitcoin និងចំពោះសេវាកម្មសាជីវកម្មធម្មតាបំផុតនៃក្រុមហ៊ុនតូចមួយដែលមិនភ្ជាប់ជាមួយ Bitcoin តាមមធ្យោបាយណាមួយឡើយ។

ខ្ញុំចង់កត់សម្គាល់ថាខ្ញុំជាអ្នកគាំទ្រគោលការណ៍ "រក្សាវាឱ្យសាមញ្ញ" и "តិចគឺច្រើន"ដូច្នេះ ទាំងអត្ថបទ និងអ្វីដែលបានពិពណ៌នានៅក្នុងវានឹងមានលក្ខណៈសម្បត្តិដែលគោលការណ៍ទាំងនេះនិយាយអំពី។

សេណារីយ៉ូ​ស្រមើស្រមៃ៖ សូមក្រឡេកមើលអ្វីគ្រប់យ៉ាងដោយប្រើឧទាហរណ៍នៃការផ្លាស់ប្តូរ bitcoin ។ យើងបានសម្រេចចិត្តបើកការដោះដូររូបិយបណ្ណ័ដុល្លារ អឺរ៉ូសម្រាប់ bitcoins និងត្រឡប់មកវិញ ហើយយើងមានដំណោះស្រាយការងាររួចហើយ ប៉ុន្តែសម្រាប់លុយឌីជីថលផ្សេងទៀតដូចជា qiwi និង webmoney ពោលគឺឧ។ យើងបានបិទរាល់បញ្ហាផ្លូវច្បាប់ យើងមានកម្មវិធីដែលត្រៀមរួចជាស្រេច ដែលបម្រើជាច្រកទូទាត់សម្រាប់រូប្លិង ដុល្លារ និងអឺរ៉ូ និងប្រព័ន្ធទូទាត់ផ្សេងទៀត។ វាត្រូវបានភ្ជាប់ទៅគណនីធនាគាររបស់យើង និងមានប្រភេទ API មួយចំនួនសម្រាប់កម្មវិធីបញ្ចប់របស់យើង។ យើងក៏មានកម្មវិធីគេហទំព័រដែលដើរតួជាអ្នកផ្លាស់ប្តូរសម្រាប់អ្នកប្រើប្រាស់ផងដែរ ដូចជាគណនី qiwi ឬ webmoney ធម្មតា - បង្កើតគណនី បន្ថែមកាតជាដើម។ វាទាក់ទងជាមួយកម្មវិធីច្រកផ្លូវរបស់យើង ទោះបីជាតាមរយៈ REST API ក្នុងតំបន់ក៏ដោយ។ ដូច្នេះហើយ យើងបានសម្រេចចិត្តភ្ជាប់ bitcoins ហើយក្នុងពេលតែមួយ ធ្វើឱ្យប្រសើរឡើងនូវហេដ្ឋារចនាសម្ព័ន្ធ ដោយសារតែ... ដំបូងឡើយ អ្វីគ្រប់យ៉ាងត្រូវបានដាក់ឱ្យប្រញាប់ប្រញាល់នៅលើប្រអប់និម្មិតនៅក្នុងការិយាល័យក្រោមតុ... គេហទំព័រនេះបានចាប់ផ្តើមប្រើប្រាស់ ហើយយើងចាប់ផ្តើមព្រួយបារម្ភអំពីម៉ោងធ្វើការ និងដំណើរការ។

ដូច្នេះសូមចាប់ផ្តើមជាមួយរឿងសំខាន់ - ការជ្រើសរើសម៉ាស៊ីនមេ។ ដោយសារតែ អាជីវកម្មក្នុងឧទាហរណ៍របស់យើងគឺតូច ហើយយើងជឿជាក់លើ hoster (OVH) ដែលយើងនឹងជ្រើសរើស ជម្រើសថវិកា ដែលវាមិនអាចទៅរួចទេក្នុងការដំឡើងប្រព័ន្ធពីរូបភាព .iso ដើម ប៉ុន្តែវាមិនមានបញ្ហានោះទេ នាយកដ្ឋានសន្តិសុខ IT នឹងវិភាគរូបភាពដែលបានដំឡើង។ ហើយនៅពេលដែលយើងធំឡើង យើងនឹងជួលទូខោអាវផ្ទាល់ខ្លួនរបស់យើងនៅក្រោមសោ និងសោជាមួយនឹងការចូលប្រើប្រាស់រាងកាយមានកម្រិត ហើយប្រហែលជាយើងនឹងបង្កើត DC ផ្ទាល់ខ្លួនរបស់យើង។ ក្នុងករណីណាក៏ដោយ គួរចងចាំថា នៅពេលជួលផ្នែករឹង និងដំឡើងរូបភាពដែលត្រៀមរួចជាស្រេច មានឱកាសដែលអ្នកនឹងមាន “Trojan from the hoster” ព្យួរនៅលើប្រព័ន្ធរបស់អ្នក ដែលក្នុងករណីភាគច្រើនមិនមានបំណងដើម្បីឈ្លបយកការណ៍លើអ្នកទេ។ ប៉ុន្តែដើម្បីផ្តល់ជូននូវឧបករណ៍គ្រប់គ្រងងាយស្រួលជាងម៉ាស៊ីនមេ។

ការដំឡើងម៉ាស៊ីនមេ

អ្វីគ្រប់យ៉ាងគឺសាមញ្ញនៅទីនេះ។ យើងជ្រើសរើសផ្នែករឹងដែលសាកសមនឹងតម្រូវការរបស់យើង។ បន្ទាប់មកជ្រើសរើសរូបភាព FreeBSD ។ ជាការប្រសើរណាស់ ឬយើងភ្ជាប់ (ក្នុងករណី hoster ផ្សេងទៀត និងផ្នែករឹងរបស់យើងផ្ទាល់) តាមរយៈ IPMI ឬជាមួយម៉ូនីទ័រ ហើយបញ្ចូលរូបភាព .iso FreeBSD ចូលទៅក្នុងការទាញយក។ សម្រាប់ការរៀបចំវង់ភ្លេង ខ្ញុំប្រើ Ansible и mfsbsd. រឿងតែមួយគត់ ក្នុងករណីរបស់យើងជាមួយ kimsufi យើងបានជ្រើសរើស ការដំឡើងផ្ទាល់ខ្លួន ដើម្បីឱ្យថាសទាំងពីរនៅក្នុងកញ្ចក់មានតែភាគថាសចាប់ផ្ដើម និង / ផ្ទះ "បើក" ទំហំថាសដែលនៅសល់នឹងត្រូវបានអ៊ិនគ្រីប ប៉ុន្តែច្រើនទៀតនៅពេលក្រោយ។

ការដំឡើងប្រព័ន្ធកើតឡើងតាមស្តង់ដារ ខ្ញុំនឹងមិនរស់នៅជាមួយនេះទេ ខ្ញុំនឹងកត់សម្គាល់ថាមុនពេលចាប់ផ្តើមប្រតិបត្តិការវាគួរអោយយកចិត្តទុកដាក់ចំពោះ រឹង ជម្រើសដែលវាផ្តល់ជូន bsdinstaller នៅចុងបញ្ចប់នៃការដំឡើង (ប្រសិនបើអ្នកដំឡើងប្រព័ន្ធដោយខ្លួនឯង)៖

មាន សម្ភារៈល្អ។ លើប្រធានបទនេះ ខ្ញុំនឹងនិយាយឡើងវិញដោយសង្ខេបនៅទីនេះ។

វាក៏អាចធ្វើទៅបានដើម្បីបើកប៉ារ៉ាម៉ែត្រដែលបានរៀបរាប់ខាងលើនៅលើប្រព័ន្ធដែលបានដំឡើងរួចហើយ។ ដើម្បីធ្វើដូចនេះអ្នកត្រូវកែសម្រួលឯកសារកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធហើយបើកប៉ារ៉ាម៉ែត្រខឺណែល។ *ee គឺជាកម្មវិធីនិពន្ធដូចនេះនៅក្នុង BSD

# ee /etc/rc.conf

...
#sec hard
clear_tmp_enable="YES"
syslogd_flags="-ss"    
sendmail_enable="NONE"

# ee /etc/sysctl.conf

...
#sec hard
security.bsd.see_other_uids=0
security.bsd.see_other_gids=0
security.bsd.unprivileged_read_msgbuf=0
security.bsd.unprivileged_proc_debug=0
kern.randompid=$(jot -r 1 9999)
security.bsd.stack_guard_page=1

អ្នកក៏គួរធ្វើឱ្យប្រាកដថាអ្នកមានកំណែចុងក្រោយបំផុតនៃប្រព័ន្ធដែលបានដំឡើង និង ធ្វើបច្ចុប្បន្នភាព និងការអាប់ដេតទាំងអស់។. ជាឧទាហរណ៍ក្នុងករណីរបស់យើង ការអាប់ដេតទៅកំណែចុងក្រោយបំផុតគឺត្រូវបានទាមទារ ពីព្រោះ... រូបភាពមុននៃការដំឡើងយឺតពី 6 ខែទៅមួយឆ្នាំ។ នៅទីនោះ យើងប្តូរច្រក SSH ទៅជាអ្វីដែលខុសពីលំនាំដើម បន្ថែមការផ្ទៀងផ្ទាត់គន្លឹះ និងបិទការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់។

បន្ទាប់មកយើងកំណត់រចនាសម្ព័ន្ធ aideត្រួតពិនិត្យស្ថានភាពនៃឯកសារកំណត់រចនាសម្ព័ន្ធប្រព័ន្ធ។ អ្នកអាចអានលម្អិតបន្ថែមទៀត នៅទីនេះ.

pkg install aide

និងកែសម្រួល crontab របស់យើង។

crontab -e

06 01 * * 0-6 /root/chkaide.sh

#! /bin/sh
#chkaide.sh
MYDATE=`date +%Y-%m-%d`
MYFILENAME="Aide-"$MYDATE.txt
/bin/echo "Aide check !! `date`" > /tmp/$MYFILENAME
/usr/local/bin/aide --check > /tmp/myAide.txt
/bin/cat /tmp/myAide.txt|/usr/bin/grep -v failed >> /tmp/$MYFILENAME
/bin/echo "**************************************" >> /tmp/$MYFILENAME
/usr/bin/tail -20 /tmp/myAide.txt >> /tmp/$MYFILENAME
/bin/echo "****************DONE******************" >> /tmp/$MYFILENAME

បើក សវនកម្មប្រព័ន្ធ

sysrc auditd_enable=YES

# service auditd start

របៀបគ្រប់គ្រងបញ្ហានេះត្រូវបានពិពណ៌នាយ៉ាងល្អឥតខ្ចោះនៅក្នុង ភាពជាអ្នកដឹកនាំ.

ឥឡូវនេះយើងចាប់ផ្តើមឡើងវិញហើយបន្តទៅកម្មវិធីនៅលើម៉ាស៊ីនមេ។ ម៉ាស៊ីនមេនីមួយៗគឺជា hypervisor សម្រាប់កុងតឺន័រ ឬម៉ាស៊ីននិម្មិតពេញលេញ។ ដូច្នេះវាមានសារៈសំខាន់ដែលខួរក្បាលគាំទ្រ VT-x និង EPT ប្រសិនបើយើងមានគម្រោងប្រើនិម្មិតពេញលេញ។

ដើម្បីគ្រប់គ្រងកុងតឺន័រ និងម៉ាស៊ីននិម្មិត ខ្ញុំប្រើ cbsd ពី អូលីវុលខ្ញុំសូមជូនពរឱ្យគាត់មានសុខភាពល្អនិងពរជ័យសម្រាប់ឧបករណ៍ដ៏អស្ចារ្យនេះ!

ធុង? Docker ម្តងទៀតឬអ្វី?

ប៉ុន្តែទេ។ ពន្ធនាគារ FreeBSD គឺជាឧបករណ៍ដ៏ល្អសម្រាប់កុងតឺន័រ ប៉ុន្តែអ្វីដែលបានរៀបរាប់ cbsd ដើម្បីរៀបចំធុងទាំងនេះ ដែលត្រូវបានគេហៅថាកោសិកា។

ទ្រុងគឺជាដំណោះស្រាយដ៏មានប្រសិទ្ធភាពបំផុតសម្រាប់ការកសាងហេដ្ឋារចនាសម្ព័ន្ធសម្រាប់គោលបំណងផ្សេងៗ ដែលការផ្តាច់ទាំងស្រុងនៃសេវាកម្ម ឬដំណើរការនីមួយៗត្រូវបានទាមទារនៅទីបំផុត។ ជាការសំខាន់ វាគឺជាក្លូននៃប្រព័ន្ធម៉ាស៊ីន ប៉ុន្តែវាមិនតម្រូវឱ្យមានការនិម្មិតផ្នែករឹងពេញលេញនោះទេ។ ហើយអរគុណចំពោះបញ្ហានេះ ធនធានមិនត្រូវបានចំណាយលើ "ប្រព័ន្ធប្រតិបត្តិការភ្ញៀវ" ទេ ប៉ុន្តែមានតែលើការងារដែលកំពុងអនុវត្តប៉ុណ្ណោះ។ នៅពេលដែលកោសិកាត្រូវបានប្រើប្រាស់សម្រាប់តម្រូវការខាងក្នុង នេះគឺជាដំណោះស្រាយដ៏ងាយស្រួលសម្រាប់ការប្រើប្រាស់ធនធានដ៏ល្អប្រសើរ - បណ្តុំនៃកោសិកានៅលើម៉ាស៊ីនមេផ្នែករឹងមួយអាចប្រើប្រាស់ធនធានម៉ាស៊ីនមេទាំងមូលដោយឡែកពីគ្នាប្រសិនបើចាំបាច់។ ដោយពិចារណាថាជាធម្មតាសេវារងផ្សេងៗគ្នាត្រូវការបន្ថែម។ ធនធាននៅពេលផ្សេងៗគ្នា អ្នកអាចទាញយកដំណើរការអតិបរមាពីម៉ាស៊ីនមេមួយ ប្រសិនបើអ្នករៀបចំផែនការ និងតុល្យភាពកោសិការវាងម៉ាស៊ីនមេបានត្រឹមត្រូវ។ បើចាំបាច់ ក្រឡាក៏អាចត្រូវបានផ្តល់ការរឹតបន្តឹងលើធនធានដែលបានប្រើផងដែរ។

ចុះយ៉ាងណាចំពោះនិម្មិតពេញលេញ?

តាមខ្ញុំដឹង cbsd គាំទ្រការងារ bhyve និង XEN hypervisors ។ ខ្ញុំមិនដែលប្រើទីពីរទេ ប៉ុន្តែទីមួយគឺថ្មីណាស់។ អ្នកត្រួតពិនិត្យខ្ពស់ពី FreeBSD. យើងនឹងមើលឧទាហរណ៍នៃការប្រើប្រាស់ bhyve ក្នុងឧទាហរណ៍ខាងក្រោម។

ការដំឡើង និងកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនបរិស្ថាន

យើងប្រើ FS ហ្សូអេស។. នេះគឺជាឧបករណ៍ដ៏មានឥទ្ធិពលបំផុតសម្រាប់គ្រប់គ្រងទំហំម៉ាស៊ីនមេ។ សូមអរគុណដល់ ZFS អ្នកអាចបង្កើតអារេនៃការកំណត់រចនាសម្ព័ន្ធផ្សេងៗពីថាសដោយផ្ទាល់ ពង្រីកទំហំ "ក្តៅ" ថាមវន្ត ផ្លាស់ប្តូរថាសស្លាប់ គ្រប់គ្រងរូបថត និងអ្វីៗជាច្រើនទៀតដែលអាចត្រូវបានពិពណ៌នានៅក្នុងស៊េរីទាំងមូលនៃអត្ថបទ។ ចូរយើងត្រឡប់ទៅម៉ាស៊ីនមេរបស់យើង និងថាសរបស់វាវិញ។ នៅដើមដំបូងនៃការដំឡើង យើងបានទុកកន្លែងទំនេរនៅលើថាសសម្រាប់ភាគថាសដែលបានអ៊ិនគ្រីប។ ហេតុអ្វីបានជា​អញ្ចឹង? នេះគឺដើម្បីឱ្យប្រព័ន្ធភ្ញាក់ឡើងដោយស្វ័យប្រវត្តិ ហើយស្តាប់តាមរយៈ SSH ។

gpart add -t freebsd-zfs /dev/ada0

/dev/ada0p4 added!

បន្ថែមភាគថាសទៅកន្លែងទំនេរ

geli init /dev/ada0p4

បញ្ចូលពាក្យសម្ងាត់អ៊ិនគ្រីបរបស់យើង។

geli attach /dev/ada0p4

យើងបញ្ចូលពាក្យសម្ងាត់ម្តងទៀត ហើយយើងមានឧបករណ៍ /dev/ada0p4.eli - នេះគឺជាកន្លែងដែលបានអ៊ិនគ្រីបរបស់យើង។ បន្ទាប់មកយើងធ្វើម្តងទៀតដូចគ្នាសម្រាប់ /dev/ada1 និងថាសដែលនៅសល់ក្នុងអារេ។ ហើយយើងបង្កើតថ្មី។ អាង ZFS.

zpool create vms mirror /dev/ada0p4.eli /dev/ada1p4.eli /dev/ada3p4.eli - អញ្ចឹងយើងមានឧបករណ៍ប្រយុទ្ធអប្បបរមារួចរាល់ហើយ។ អារេឆ្លុះនៃថាសក្នុងករណីមួយក្នុងចំណោមបីបរាជ័យ។

ការបង្កើតសំណុំទិន្នន័យនៅលើ "អាង" ថ្មី

zfs create vms/jails

pkg install cbsd — យើង​បាន​បង្កើត​ក្រុម​មួយ និង​រៀបចំ​ការ​គ្រប់​គ្រង​សម្រាប់​កោសិកា​របស់​យើង។

បន្ទាប់ពី cbsd ដំឡើង វាត្រូវតែចាប់ផ្តើម៖

# env workdir="/vms/jails" /usr/local/cbsd/sudoexec/initenv

ជាការប្រសើរណាស់, យើងឆ្លើយសំណួរជាច្រើន, ភាគច្រើនជាមួយនឹងចម្លើយលំនាំដើម។

* ប្រសិនបើអ្នកកំពុងប្រើការអ៊ិនគ្រីប វាមានសារៈសំខាន់ដែលដេមិន cbsdd មិន​បាន​ចាប់​ផ្តើ​ម​ដោយ​ស្វ័យ​ប្រវត្តិ​រហូត​ដល់​អ្នក​ឌិគ្រីប​ថាស​ដោយ​ដៃ​ឬ​ដោយ​ស្វ័យ​ប្រវត្តិ (ក្នុង​ឧទាហរណ៍​របស់​យើង​នេះ​ត្រូវ​បាន​ធ្វើ​ដោយ zabbix)

** ខ្ញុំក៏មិនប្រើ NAT ពី cbsdហើយខ្ញុំកំណត់រចនាសម្ព័ន្ធវាដោយខ្លួនឯងនៅក្នុង pf.

# sysrc pf_enable=YES

# ee /etc/pf.conf

IF_PUBLIC="em0"
IP_PUBLIC="1.23.34.56"
JAIL_IP_POOL="192.168.0.0/24"

#WHITE_CL="{ 127.0.0.1 }"

icmp_types="echoreq"

set limit { states 20000, frags 20000, src-nodes 20000 }
set skip on lo0
scrub in all

#NAT for jails
nat pass on $IF_PUBLIC from $JAIL_IP_POOL to any -> $IP_PUBLIC

## Bitcoin network port forward
IP_JAIL="192.168.0.1"
PORT_JAIL="{8333}"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

# service pf start

# pfctl -f /etc/pf.conf

ការដំឡើងគោលការណ៍ជញ្ជាំងភ្លើងក៏ជាប្រធានបទដាច់ដោយឡែកមួយដែរ ដូច្នេះខ្ញុំនឹងមិនស៊ីជម្រៅក្នុងការដំឡើងគោលការណ៍ BLOCK ALL និងការបង្កើតបញ្ជីសទេ អ្នកអាចធ្វើវាបានដោយការអាន ឯកសារផ្លូវការ ឬអត្ថបទមួយចំនួនធំដែលមាននៅលើ Google ។

មែនហើយ... យើងបានដំឡើង cbsd វាដល់ពេលហើយដើម្បីបង្កើត workhorse ដំបូងរបស់យើង - បិសាច Bitcoin ជាប់ទ្រុង!

cbsd jconstruct-tui

នៅទីនេះយើងឃើញប្រអប់បង្កើតក្រឡា។ បន្ទាប់ពីកំណត់តម្លៃទាំងអស់ហើយ តោះបង្កើត!

នៅពេលបង្កើតក្រឡាដំបូងរបស់អ្នក អ្នកគួរតែជ្រើសរើសអ្វីដែលត្រូវប្រើជាមូលដ្ឋានសម្រាប់ក្រឡា។ ខ្ញុំជ្រើសរើសការចែកចាយពីឃ្លាំង FreeBSD ដោយប្រើពាក្យបញ្ជា repo. ជម្រើសនេះត្រូវបានធ្វើឡើងតែនៅពេលបង្កើតក្រឡាដំបូងនៃកំណែជាក់លាក់មួយ (អ្នកអាចធ្វើជាម្ចាស់ផ្ទះក្រឡានៃកំណែណាមួយដែលចាស់ជាងកំណែម៉ាស៊ីន)។

បន្ទាប់ពីអ្វីៗត្រូវបានតំឡើង យើងបើកទ្រុង!

# cbsd jstart bitcoind

ប៉ុន្តែយើងត្រូវដំឡើងកម្មវិធីនៅក្នុងទ្រុង។

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind

jexec bitcoind ដើម្បីចូលទៅក្នុងកុងសូលកោសិកា

ហើយនៅក្នុងក្រឡារួចហើយ យើងដំឡើងកម្មវិធីដោយភាពអាស្រ័យរបស់វា (ប្រព័ន្ធម៉ាស៊ីនរបស់យើងនៅតែស្អាត)

bitcoind:/@[15:25] # pkg install bitcoin-daemon bitcoin-utils

bitcoind:/@[15:30] # sysrc bitcoind_enable=YES

bitcoind:/@[15:30] # service bitcoind start

មាន Bitcoin នៅក្នុងទ្រុង ប៉ុន្តែយើងត្រូវការអនាមិក ព្រោះយើងចង់ភ្ជាប់ទៅទ្រុងមួយចំនួនតាមរយៈបណ្តាញ TOP ។ ជាទូទៅ យើងមានគម្រោងដំណើរការក្រឡាភាគច្រើនជាមួយនឹងកម្មវិធីដែលគួរឱ្យសង្ស័យតែតាមរយៈប្រូកស៊ីប៉ុណ្ណោះ។ អរគុណ​ចំពោះ pf អ្នកអាចបិទ NAT សម្រាប់ជួរជាក់លាក់នៃអាសយដ្ឋាន IP នៅលើបណ្តាញមូលដ្ឋាន ហើយអនុញ្ញាតឱ្យ NAT សម្រាប់តែថ្នាំង TOR របស់យើង។ ដូច្នេះ ទោះបីជាមេរោគចូលទៅក្នុងក្រឡាក៏ដោយ វាទំនងជានឹងមិនទាក់ទងជាមួយពិភពខាងក្រៅទេ ហើយប្រសិនបើវាកើតឡើង វានឹងមិនអាចបង្ហាញ IP នៃម៉ាស៊ីនមេរបស់យើងបានទេ។ ដូច្នេះហើយ យើងបង្កើតក្រឡាមួយផ្សេងទៀតដើម្បី "បញ្ជូនបន្ត" សេវាកម្មជាសេវាកម្ម ".onion" និងជាប្រូកស៊ីសម្រាប់ការចូលប្រើអ៊ីនធឺណិតទៅកាន់កោសិកានីមួយៗ។

# cbsd jsconstruct-tui

# cbsd jstart tor

# jexec tor

tor:/@[15:38] # pkg install tor

tor:/@[15:38] # sysrc tor_enable=YES

tor:/@[15:38] # ee /usr/local/etc/tor/torrc

កំណត់ដើម្បីស្តាប់តាមអាសយដ្ឋានមូលដ្ឋាន (មានសម្រាប់ក្រឡាទាំងអស់)

SOCKSPort 192.168.0.2:9050

តើយើងត្រូវការអ្វីទៀតសម្រាប់សុភមង្គលពេញលេញ? បាទ/ចាស យើងត្រូវការសេវាកម្មសម្រាប់គេហទំព័ររបស់យើង ប្រហែលជាច្រើនជាងមួយ។ សូមបើកដំណើរការ nginx ដែលនឹងដើរតួជាប្រូកស៊ីបញ្ច្រាស និងថែរក្សាការបន្តវិញ្ញាបនបត្រ Let's Encrypt

# cbsd jsconstruct-tui

# cbsd jstart nginx-rev

# jexec nginx-rev

nginx-rev:/@[15:47] # pkg install nginx py36-certbot

ដូច្នេះហើយ យើងបានដាក់ 150 MB នៃភាពអាស្រ័យនៅក្នុងទ្រុងមួយ។ ហើយម្ចាស់ផ្ទះនៅតែស្អាត។

ចូរយើងត្រលប់ទៅការដំឡើង nginx វិញនៅពេលក្រោយ យើងត្រូវលើកក្រឡាពីរបន្ថែមទៀតសម្រាប់ច្រកផ្លូវទូទាត់របស់យើងនៅលើ nodejs និង rust និងកម្មវិធីបណ្តាញដែលសម្រាប់ហេតុផលមួយចំនួនគឺនៅក្នុង Apache និង PHP ហើយក្រោយមកទៀតក៏ត្រូវការមូលដ្ឋានទិន្នន័យ MySQL ផងដែរ។

# cbsd jsconstruct-tui

# cbsd jstart paygw

# jexec paygw

paygw:/@[15:55] # pkg install git node npm

paygw:/@[15:55] # curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh

... និងកញ្ចប់ 380 MB ផ្សេងទៀតដាច់ដោយឡែក

បន្ទាប់យើងទាញយកកម្មវិធីរបស់យើងជាមួយ git ហើយបើកដំណើរការវា។

# cbsd jsconstruct-tui

# cbsd jstart webapp

# jexec webapp

webapp:/@[16:02] # pkg install mariadb104-server apache24 php74 mod_php74 php74-pdo_mysql

កញ្ចប់ 450 MB ។ នៅក្នុងទ្រុងមួយ។

នៅទីនេះយើងផ្តល់ឱ្យអ្នកអភិវឌ្ឍន៍ចូលដំណើរការតាមរយៈ SSH ដោយផ្ទាល់ទៅកាន់ក្រឡា ពួកគេនឹងធ្វើអ្វីគ្រប់យ៉ាងនៅទីនោះដោយខ្លួនឯង៖

webapp:/@[16:02] # ee /etc/ssh/sshd_config

Port 2267 - ផ្លាស់ប្តូរច្រក SSH នៃក្រឡាទៅជាការបំពានណាមួយ។

webapp:/@[16:02] # sysrc sshd_enable=YES

webapp:/@[16:02] # service sshd start

ជាការប្រសើរណាស់ សេវាកម្មកំពុងដំណើរការ ហើយអ្វីដែលនៅសល់គឺត្រូវបន្ថែមច្បាប់ទៅ pf ជញ្ជាំងភ្លើង

តោះមើលថាតើ IP របស់យើងមានកោសិកាអ្វីខ្លះ និងជាទូទៅ "តំបន់" របស់យើងមើលទៅដូចអ្វី។

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind
     2  192.168.0.2     tor.space.com                 /zroot/jails/jails/tor
     3  192.168.0.3     nginx-rev.space.com           /zroot/jails/jails/nginx-rev
     4  192.168.0.4     paygw.space.com               /zroot/jails/jails/paygw
     5  192.168.0.5     webapp.my.domain              /zroot/jails/jails/webapp

ហើយបន្ថែមច្បាប់

# ee /etc/pf.conf

## SSH for web-Devs
IP_JAIL="192.168.0.5"
PORT_JAIL="{ 2267 }"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

មែនហើយ ដោយសារយើងនៅទីនេះ យើងក៏បន្ថែមច្បាប់សម្រាប់បញ្ច្រាសប្រូកស៊ី៖

## web-ports for nginx-rev
IP_JAIL="192.168.0.3"
PORT_JAIL="{ 80, 443 }"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

# pfctl -f /etc/pf.conf

ឥឡូវនេះបន្តិចអំពី bitcoins

អ្វី​ដែល​យើង​មាន​គឺ​យើង​មាន​កម្មវិធី​បណ្ដាញ​ដែល​ត្រូវ​បាន​លាតត្រដាង​ពី​ខាង​ក្រៅ ហើយ​វា​និយាយ​ក្នុង​ស្រុក​ទៅ​ច្រក​ផ្លូវ​ទូទាត់​ប្រាក់​របស់​យើង។ ឥឡូវនេះយើងត្រូវរៀបចំបរិយាកាសការងារសម្រាប់ការធ្វើអន្តរកម្មជាមួយបណ្តាញ Bitcoin ខ្លួនវា - ថ្នាំង bitcoind វាគ្រាន់តែជាដេមិនដែលរក្សាច្បាប់ចម្លងក្នុងស្រុកនៃ blockchain ទាន់សម័យ។ ដេមិននេះមានមុខងារ RPC និងកាបូប ប៉ុន្តែមាន "រុំ" ងាយស្រួលជាងសម្រាប់ការអភិវឌ្ឍន៍កម្មវិធី។ ដើម្បីចាប់ផ្តើមជាមួយយើងសម្រេចចិត្តដាក់ electrum គឺជាកាបូប CLI ។ កាបូបនេះ។ យើងនឹងប្រើវាជា "កន្លែងផ្ទុកត្រជាក់" សម្រាប់ bitcoins របស់យើង - ជាទូទៅ bitcoins ទាំងនោះដែលនឹងត្រូវរក្សាទុក "នៅខាងក្រៅ" ប្រព័ន្ធដែលអាចចូលប្រើបានសម្រាប់អ្នកប្រើប្រាស់ ហើយជាទូទៅនៅឆ្ងាយពីមនុស្សគ្រប់គ្នា។ វាក៏មាន GUI ផងដែរ ដូច្នេះយើងនឹងប្រើកាបូបដូចគ្នានៅលើរបស់យើង។
កុំព្យូទ័រយួរដៃ។ សម្រាប់ពេលនេះ យើងនឹងប្រើ Electrum ជាមួយម៉ាស៊ីនមេសាធារណៈ ហើយនៅពេលក្រោយ យើងនឹងលើកវានៅក្នុងក្រឡាមួយផ្សេងទៀត ElectrumXដូច្នេះដើម្បីកុំឱ្យពឹងផ្អែកលើនរណាម្នាក់ទាំងអស់។

# cbsd jsconstruct-tui

# cbsd jstart electrum

# jexec electrum

electrum:/@[8:45] # pkg install py36-electrum

កម្មវិធី 700 MB ផ្សេងទៀតនៅក្នុងទ្រុងរបស់យើង។

electrum:/@[8:53] # adduser

Username: wallet
Full name: 
Uid (Leave empty for default): 
Login group [wallet]: 
Login group is wallet. Invite wallet into other groups? []: 
Login class [default]: 
Shell (sh csh tcsh nologin) [sh]: tcsh
Home directory [/home/wallet]: 
Home directory permissions (Leave empty for default): 
Use password-based authentication? [yes]: no
Lock out the account after creation? [no]: 
Username   : wallet
Password   : <disabled>
Full Name  : 
Uid        : 1001
Class      : 
Groups     : wallet 
Home       : /home/wallet
Home Mode  : 
Shell      : /bin/tcsh
Locked     : no
OK? (yes/no): yes
adduser: INFO: Successfully added (wallet) to the user database.
Add another user? (yes/no): no
Goodbye!
electrum:/@[8:53] # su wallet

electrum:/@[8:53] # su wallet

wallet@electrum:/ % electrum-3.6 create

{
    "msg": "Please keep your seed in a safe place; if you lose it, you will not be able to restore your wallet.",
    "path": "/usr/home/wallet/.electrum/wallets/default_wallet",
    "seed": "jealous win pig material ribbon young punch visual okay cactus random bird"
}

ឥឡូវនេះយើងបានបង្កើតកាបូបមួយ។

wallet@electrum:/ % electrum-3.6 listaddresses

[
    "18WEhbjvMLGRMfwudzUrUd25U5C7uZYkzE",
    "14XHSejhxsZNDRtk4eFbqAX3L8rftzwQQU",
    "1KQXaN8RXiCN1ne9iYngUWAr6KJ6d4pPas",
    ...
    "1KeVcAwEYhk29qEyAfPwcBgF5mMMoy4qjw",
    "18VaUuSeBr6T2GwpSHYF3XyNgLyLCt1SWk"
]

wallet@electrum:/ % electrum-3.6 help

ទៅរបស់យើង។ នៅលើខ្សែសង្វាក់ មានតែមនុស្សមួយចំនួនប៉ុណ្ណោះដែលអាចភ្ជាប់ទៅកាន់កាបូបចាប់ពីពេលនេះតទៅ។ ដើម្បីមិនបើកការចូលប្រើក្រឡានេះពីខាងក្រៅ ការតភ្ជាប់តាមរយៈ SSH នឹងកើតឡើងតាមរយៈ TOP (កំណែវិមជ្ឈការនៃ VPN)។ យើងបើកដំណើរការ SSH នៅក្នុងក្រឡា ប៉ុន្តែកុំប៉ះ pf.conf របស់យើងនៅលើម៉ាស៊ីន។

electrum:/@[9:00] # sysrc sshd_enable=YES

electrum:/@[9:00] # service sshd start

ឥឡូវនេះ សូមបិទក្រឡាជាមួយនឹងការចូលប្រើអ៊ីនធឺណិតរបស់កាបូប។ ចូរផ្តល់ឱ្យវានូវអាសយដ្ឋាន IP ពីចន្លោះបណ្តាញរងមួយផ្សេងទៀតដែលមិនត្រូវបាន NATed ។ ជាដំបូងសូមផ្លាស់ប្តូរ /etc/pf.conf នៅលើម្ចាស់ផ្ទះ

# ee /etc/pf.conf

JAIL_IP_POOL="192.168.0.0/24" តោះប្តូរវាទៅ JAIL_IP_POOL="192.168.0.0/25"ដូច្នេះអាស័យដ្ឋានទាំងអស់ 192.168.0.126-255 នឹងមិនអាចចូលប្រើអ៊ីនធឺណិតដោយផ្ទាល់បានទេ។ ប្រភេទនៃកម្មវិធីបណ្តាញ "air-gap" ។ ហើយច្បាប់ NAT នៅតែដូចដើម

nat pass on $IF_PUBLIC from $JAIL_IP_POOL to any -> $IP_PUBLIC

ផ្ទុកលើសទម្ងន់ច្បាប់

# pfctl -f /etc/pf.conf

ឥឡូវនេះ ចូរយើងយកក្រឡារបស់យើង។

# cbsd jconfig jname=electrum

jset mode=quiet jname=electrum ip4_addr="192.168.0.200"
Remove old IP: /sbin/ifconfig em0 inet 192.168.0.6 -alias
Setup new IP: /sbin/ifconfig em0 inet 192.168.0.200 alias
ip4_addr: 192.168.0.200

ហ៊ឺ ប៉ុន្តែឥឡូវនេះប្រព័ន្ធខ្លួនឯងនឹងឈប់ដំណើរការសម្រាប់យើង។ ទោះយ៉ាងណាក៏ដោយ យើងអាចបញ្ជាក់ប្រូកស៊ីប្រព័ន្ធ។ ប៉ុន្តែមានរឿងមួយនៅលើ TOR វាគឺជាប្រូកស៊ី SOCKS5 ហើយសម្រាប់ភាពងាយស្រួល យើងក៏ចង់បានប្រូកស៊ី HTTP ផងដែរ។

# cbsd jsconstruct-tui

# cbsd jstart polipo

# jexec polipo

polipo:/@[9:28] # pkg install polipo

polipo:/@[9:28] # ee /usr/local/etc/polipo/config

socksParentProxy = "192.168.0.2:9050"
socksProxyType = socks5

polipo:/@[9:42] # sysrc polipo_enable=YES

polipo:/@[9:43] # service polipo start

ឥឡូវនេះមានម៉ាស៊ីនមេប្រូកស៊ីពីរនៅក្នុងប្រព័ន្ធរបស់យើង ហើយលទ្ធផលទាំងពីរតាមរយៈ TOR: socks5://192.168.0.2:9050 និង http://192.168.0.6:8123

ឥឡូវនេះយើងអាចកំណត់រចនាសម្ព័ន្ធកាបូបរបស់យើងបាន។

# jexec electrum

electrum:/@[9:45] # su wallet

wallet@electrum:/ % ee ~/.cshrc

#in the end of file proxy config
setenv http_proxy http://192.168.0.6:8123
setenv https_proxy http://192.168.0.6:8123

ឥឡូវនេះសែលនឹងដំណើរការពីក្រោមប្រូកស៊ី។ ប្រសិនបើយើងចង់ដំឡើងកញ្ចប់ នោះយើងគួរតែបន្ថែមទៅ /usr/local/etc/pkg.conf ពីក្រោមឫសនៃទ្រុង

pkg_env: {
               http_proxy: "http://my_proxy_ip:8123",
           }

ឥឡូវនេះវាដល់ពេលហើយដើម្បីបន្ថែមសេវាលាក់ TOR ជាអាសយដ្ឋាននៃសេវាកម្ម SSH របស់យើងនៅក្នុងក្រឡាកាបូប។

# jexec tor

tor:/@[9:59] # ee /usr/local/etc/tor/torrc

HiddenServiceDir /var/db/tor/electrum/
HiddenServicePort 22 192.168.0.200:22

tor:/@[10:01] # mkdir /var/db/tor/electrum

tor:/@[10:01] # chown -R _tor:_tor /var/db/tor/electrum

tor:/@[10:01] # chmod 700 /var/db/tor/electrum

tor:/@[10:03] # service tor restart

tor:/@[10:04] # cat /var/db/tor/electrum/hostname

mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion

នេះគឺជាអាសយដ្ឋានតភ្ជាប់របស់យើង។ តោះពិនិត្យមើលម៉ាស៊ីនក្នុងស្រុក។ ប៉ុន្តែដំបូងយើងត្រូវបន្ថែមសោ SSH របស់យើង៖

wallet@electrum:/ % mkdir ~/.ssh

wallet@electrum:/ % ee ~/.ssh/authorized_keys

ecdsa-sha2-nistp521 AAAAE2VjZHNhLXNoYTItbmlzdHA1MjEAAAAIbmlzdHA1MjEAAACFBAG9Fk2Lqi4GQ8EXZrsH3EgSrVIQPQaAlS38MmJLBabihv9KHIDGXH7r018hxqLNNGbaJWO/wrWk7sG4T0yLHAbdQAFsMYof9kjoyuG56z0XZ8qaD/X/AjrhLMsIoBbUNj0AzxjKNlPJL4NbHsFwbmxGulKS0PdAD5oLcTQi/VnNdU7iFw== user@local

ជាការប្រសើរណាស់, ពីម៉ាស៊ីនភ្ញៀវលីនុច

user@local ~$ nano ~/.ssh/config

#remote electrum wallet
Host remotebtc
        User wallet
        Port 22
        Hostname mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion
        ProxyCommand /bin/ncat --proxy localhost:9050 --proxy-type socks5 %h %p

តោះភ្ជាប់ (ដើម្បីឱ្យវាដំណើរការ អ្នកត្រូវការដេមិន TOR ក្នុងស្រុកដែលស្តាប់នៅលើ 9050)

user@local ~$ ssh remotebtc

The authenticity of host 'mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion (<no hostip for proxy command>)' can't be established.
ECDSA key fingerprint is SHA256:iW8FKjhVF4yyOZB1z4sBkzyvCM+evQ9cCL/EuWm0Du4.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion' (ECDSA) to the list of known hosts.
FreeBSD 12.1-RELEASE-p1 GENERIC 
To save disk space in your home directory, compress files you rarely
use with "gzip filename".
        -- Dru <genesis@istar.ca>
wallet@electrum:~ % logout

ជោគជ័យ!

ដើម្បីធ្វើការជាមួយការទូទាត់ភ្លាមៗ និងខ្នាតតូច យើងក៏ត្រូវការថ្នាំងផងដែរ។ បណ្តាញរន្ទះតាមពិតទៅ នេះនឹងក្លាយជាឧបករណ៍សំខាន់របស់យើងជាមួយ Bitcoin ។ U*គ-រន្ទះដែលយើងនឹងប្រើជាដេមិន កម្មវិធីជំនួយ Sparkoដែលជាចំណុចប្រទាក់ HTTP (REST) ​​ពេញលេញ និងអនុញ្ញាតឱ្យអ្នកធ្វើការជាមួយទាំងប្រតិបត្តិការក្រៅបណ្តាញ និងនៅលើខ្សែសង្វាក់។ c-lightning ត្រូវការសម្រាប់ដំណើរការ bitcoind ប៉ុន្តែបាទ។

*មានការអនុវត្តខុសៗគ្នានៃពិធីការបណ្តាញរន្ទះជាភាសាផ្សេងៗគ្នា។ ក្នុងចំណោមអ្វីដែលយើងបានសាកល្បង c-lightning (សរសេរជា C) ហាក់ដូចជាមានស្ថេរភាព និងសន្សំសំចៃបំផុត

# cbsd jsconstruct-tui

# cbsd jstart cln

# jexec cln

lightning:/@[10:23] # adduser

Username: lightning
...

lightning:/@[10:24] # pkg install git

lightning:/@[10:23] # su lightning

cd ~ && git clone https://github.com/ElementsProject/lightning

lightning@lightning:~ % exit

lightning:/@[10:30] # cd /home/lightning/lightning/

lightning:/home/lightning/lightning@[10:31] # pkg install autoconf automake gettext git gmp gmake libtool python python3 sqlite3 libsodium py36-mako bash bitcoin-utils

lightning:/home/lightning/lightning@[10:34] # ./configure && gmake && gmake install

ខណៈពេលដែលអ្វីៗគ្រប់យ៉ាងចាំបាច់ត្រូវបានចងក្រង និងដំឡើង សូមបង្កើតអ្នកប្រើប្រាស់ RPC សម្រាប់ lightningd в bitcoind

# jexec bitcoind

bitcoind:/@[10:36] # ee /usr/local/etc/bitcoin.conf

rpcbind=192.168.0.1
rpcuser=test
rpcpassword=test
#allow only c-lightning
rpcallowip=192.168.0.7/32

bitcoind:/@[10:39] # service bitcoind restart

ការផ្លាស់ប្តូរដ៏ច្របូកច្របល់របស់ខ្ញុំរវាងក្រឡា ប្រែទៅជាមិនមានភាពច្របូកច្របល់ទេ ប្រសិនបើអ្នកកត់សម្គាល់ឧបករណ៍ប្រើប្រាស់ tmuxដែលអនុញ្ញាតឱ្យអ្នកបង្កើតវគ្គរងស្ថានីយច្រើនក្នុងវគ្គមួយ។ អាណាឡូក៖ screen

ដូច្នេះ យើងមិនចង់បង្ហាញ IP ពិតប្រាកដនៃថ្នាំងរបស់យើងទេ ហើយយើងចង់ធ្វើប្រតិបត្តិការហិរញ្ញវត្ថុទាំងអស់តាមរយៈ TOP ។ ដូច្នេះ .onion មួយផ្សេងទៀតគឺមិនចាំបាច់ទេ។

# jexec tor

tor:/@[9:59] # ee /usr/local/etc/tor/torrc

HiddenServiceDir /var/db/tor/cln/
HiddenServicePort 9735 192.168.0.7:9735

tor:/@[10:01] # mkdir /var/db/tor/cln

tor:/@[10:01] # chown -R _tor:_tor /var/db/tor/cln

tor:/@[10:01] # chmod 700 /var/db/tor/cln

tor:/@[10:03] # service tor restart

tor:/@[10:04] # cat /var/db/tor/cln/hostname

en5wbkavnytti334jc5uzaudkansypfs6aguv6kech4hbzpcz2ove3yd.onion

ឥឡូវនេះ ចូរយើងបង្កើត config សម្រាប់ c-lightning

lightning:/home/lightning/lightning@[10:31] # su lightning

lightning@lightning:~ % mkdir .lightning

lightning@lightning:~ % ee .lightning/config

alias=My-LN-Node
bind-addr=192.168.0.7:9735
rgb=ff0000
announce-addr=en5wbkavnytti334jc5uzaudkansypfs6aguv6kech4hbzpcz2ove3yd.onion:9735
network=bitcoin
log-level=info
fee-base=0
fee-per-satoshi=1
proxy=192.168.0.2:9050
log-file=/home/lightning/.lightning/c-lightning.log
min-capacity-sat=200000

# sparko plugin
# https://github.com/fiatjaf/lightningd-gjson-rpc/tree/master/cmd/sparko

sparko-host=192.168.0.7
sparko-port=9737

sparko-tls-path=sparko-tls

#sparko-login=mywalletusername:mywalletpassword

#sparko-keys=masterkey;secretread:+listchannels,+listnodes;secretwrite:+invoice,+listinvoices,+delinvoice,+decodepay,+waitpay,+waitinvoice
sparko-keys=masterkey;secretread:+listchannels,+listnodes;ultrawrite:+invoice,+listinvoices,+delinvoice,+decodepay,+waitpay,+waitinvoice
# for the example above the initialization logs (mixed with lightningd logs) should print something like

lightning@lightning:~ % mkdir .lightning/plugins

lightning@lightning:~ % cd .lightning/plugins/

lightning@lightning:~/.lightning/plugins:% fetch https://github.com/fiatjaf/sparko/releases/download/v0.2.1/sparko_full_freebsd_amd64

lightning@lightning:~/.lightning/plugins % mkdir ~/.lightning/sparko-tls

lightning@lightning:~/.lightning/sparko-tls % cd ~/.lightning/sparko-tls

lightning@lightning:~/.lightning/sparko-tls % openssl genrsa -out key.pem 2048

lightning@lightning:~/.lightning/sparko-tls % openssl req -new -x509 -sha256 -key key.pem -out cert.pem -days 3650

lightning@lightning:~/.lightning/plugins % chmod +x sparko_full_freebsd_amd64

lightning@lightning:~/.lightning/plugins % mv sparko_full_freebsd_amd64 sparko

lightning@lightning:~/.lightning/plugins % cd ~

អ្នកក៏ត្រូវបង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធសម្រាប់ bitcoin-cli ដែលជាឧបករណ៍ប្រើប្រាស់ដែលទាក់ទងជាមួយ bitcoind

lightning@lightning:~ % mkdir .bitcoin

lightning@lightning:~ % ee .bitcoin/bitcoin.conf

rpcconnect=192.168.0.1
rpcuser=test
rpcpassword=test

ខ្ញុំនឹងពិនិត្យ

lightning@lightning:~ % bitcoin-cli echo "test"

[
  "test"
]

បើកដំណើរការ lightningd

lightning@lightning:~ % lightningd --daemon

ខ្លួនគាត់ផ្ទាល់ lightningd អ្នកអាចគ្រប់គ្រងឧបករណ៍ប្រើប្រាស់ lightning-cliឧទាហរណ៍:

lightning-cli newaddr ទទួលបានអាសយដ្ឋានសម្រាប់ការទូទាត់ចូលថ្មី។

{
   "address": "bc1q2n2ffq3lplhme8jufcxahfrnfhruwjgx3c78pv",
   "bech32": "bc1q2n2ffq3lplhme8jufcxahfrnfhruwjgx3c78pv"
}

lightning-cli withdraw bc1jufcxahfrnfhruwjgx3cq2n2ffq3lplhme878pv all ផ្ញើប្រាក់ទាំងអស់នៅក្នុងកាបូបទៅអាសយដ្ឋាន (អាសយដ្ឋាននៅលើខ្សែសង្វាក់ទាំងអស់)

ក៏មានពាក្យបញ្ជាសម្រាប់ប្រតិបត្តិការក្រៅសង្វាក់ផងដែរ។ lightning-cli invoice, lightning-cli listinvoices, lightning-cli pay ល។

ជាការប្រសើរណាស់សម្រាប់ការទំនាក់ទំនងជាមួយកម្មវិធីយើងមាន REST Api

curl -k https://192.168.0.7:9737/rpc -d '{"method": "pay", "params": ["lnbc..."]}' -H 'X-Access masterkey'

ចូរសន្មតលទ្ធផល

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind
     2  192.168.0.2     tor.space.com                 /zroot/jails/jails/tor
     3  192.168.0.3     nginx-rev.space.com           /zroot/jails/jails/nginx-rev
     4  192.168.0.4     paygw.space.com               /zroot/jails/jails/paygw
     5  192.168.0.5     webapp.my.domain              /zroot/jails/jails/webapp
     7  192.168.0.200   electrum.space.com            /zroot/jails/jails/electrum
     8  192.168.0.6     polipo.space.com              /zroot/jails/jails/polipo
     9  192.168.0.7     lightning.space.com           /zroot/jails/jails/cln

យើងមានសំណុំនៃកុងតឺន័រ ដែលនីមួយៗមានកម្រិតនៃការចូលប្រើរបស់វាទាំងពី និងទៅកាន់បណ្តាញមូលដ្ឋាន។

# zfs list

NAME                    USED  AVAIL  REFER  MOUNTPOINT
zroot                   279G  1.48T    88K  /zroot
zroot/ROOT             1.89G  1.48T    88K  none
zroot/ROOT/default     1.89G  17.6G  1.89G  /
zroot/home               88K  1.48T    88K  /home
zroot/jails             277G  1.48T   404M  /zroot/jails
zroot/jails/bitcoind    190G  1.48T   190G  /zroot/jails/jails-data/bitcoind-data
zroot/jails/cln         653M  1.48T   653M  /zroot/jails/jails-data/cln-data
zroot/jails/electrum    703M  1.48T   703M  /zroot/jails/jails-data/electrum-data
zroot/jails/nginx-rev   190M  1.48T   190M  /zroot/jails/jails-data/nginx-rev-data
zroot/jails/paygw      82.4G  1.48T  82.4G  /zroot/jails/jails-data/paygw-data
zroot/jails/polipo     57.6M  1.48T  57.6M  /zroot/jails/jails-data/polipo-data
zroot/jails/tor        81.5M  1.48T  81.5M  /zroot/jails/jails-data/tor-data
zroot/jails/webapp      360M  1.48T   360M  /zroot/jails/jails-data/webapp-data

ដូចដែលអ្នកអាចឃើញ bitcoind យកទំហំទាំងអស់ 190 GB ។ ចុះប្រសិនបើយើងត្រូវការថ្នាំងផ្សេងទៀតសម្រាប់ការធ្វើតេស្ត? នេះជាកន្លែងដែល ZFS ងាយស្រួល។ ដោយមានជំនួយ cbsd jclone old=bitcoind new=bitcoind-clone host_hostname=clonedbtc.space.com អ្នកអាចបង្កើតរូបថតមួយសន្លឹក និងភ្ជាប់ក្រឡាថ្មីមួយទៅរូបថតនេះ។ ក្រឡាថ្មីនឹងមានទំហំផ្ទាល់ខ្លួនរបស់វា ប៉ុន្តែមានតែភាពខុសគ្នារវាងស្ថានភាពបច្ចុប្បន្ន និងស្ថានភាពដើមប៉ុណ្ណោះដែលនឹងត្រូវយកមកពិចារណានៅក្នុងប្រព័ន្ធឯកសារ (យើងនឹងរក្សាទុកយ៉ាងហោចណាស់ 190 GB)

ក្រឡានីមួយៗគឺជាសំណុំទិន្នន័យ ZFS ដាច់ដោយឡែករបស់វា ហើយនេះគឺជាការងាយស្រួលបំផុត។ ZFS ក៏អនុញ្ញាតផងដែរ។ ធ្វើរឿងល្អៗផ្សេងទៀត ដូចជាការផ្ញើរូបថតតាមរយៈ SSH ជាដើម។ យើង​នឹង​មិន​ពណ៌នា​វា​ទេ មាន​ច្រើន​ហើយ​។

វាក៏គួរឱ្យកត់សម្គាល់ផងដែរអំពីតម្រូវការសម្រាប់ការត្រួតពិនិត្យពីចម្ងាយរបស់ម៉ាស៊ីនសម្រាប់គោលបំណងទាំងនេះដែលយើងមាន Zabbix.

ខ - សុវត្ថិភាព

ទាក់ទងនឹងសន្តិសុខ សូមចាប់ផ្តើមពីគោលការណ៍សំខាន់ៗក្នុងបរិបទនៃហេដ្ឋារចនាសម្ព័ន្ធ៖

ការសម្ងាត់ - ឧបករណ៍ស្តង់ដារនៃប្រព័ន្ធដូច UNIX ធានានូវគោលការណ៍នេះ។ យើងបែងចែកការចូលប្រើដោយឡូជីខលទៅធាតុដាច់ដោយឡែកនីមួយៗនៃប្រព័ន្ធ - ក្រឡាមួយ។ ការចូលប្រើត្រូវបានផ្តល់ជូនតាមរយៈការផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់ស្តង់ដារដោយប្រើសោផ្ទាល់ខ្លួនរបស់អ្នកប្រើប្រាស់។ ការទំនាក់ទំនងទាំងអស់រវាង និងទៅក្រឡាចុងក្រោយកើតឡើងក្នុងទម្រង់ដែលបានអ៊ិនគ្រីប។ សូមអរគុណចំពោះការអ៊ិនគ្រីបថាស យើងមិនចាំបាច់ព្រួយបារម្ភអំពីសុវត្ថិភាពនៃទិន្នន័យនៅពេលជំនួសថាស ឬផ្ទេរទៅម៉ាស៊ីនមេផ្សេងនោះទេ។ ការចូលប្រើដ៏សំខាន់តែមួយគត់គឺការចូលប្រើប្រព័ន្ធម៉ាស៊ីន ដោយសារការចូលប្រើបែបនេះជាទូទៅផ្តល់នូវការចូលប្រើទិន្នន័យនៅក្នុងកុងតឺន័រ។

សុចរិតភាព “ការអនុវត្តគោលការណ៍នេះកើតឡើងនៅកម្រិតផ្សេងៗគ្នា។ ជាដំបូង វាជារឿងសំខាន់ក្នុងការកត់សម្គាល់ថាក្នុងករណីនៃផ្នែករឹងរបស់ម៉ាស៊ីនមេ អង្គចងចាំ ECC ZFS រួចហើយ "ចេញពីប្រអប់" យកចិត្តទុកដាក់លើភាពត្រឹមត្រូវនៃទិន្នន័យនៅកម្រិតនៃប៊ីតព័ត៌មាន។ រូបថតភ្លាមៗអនុញ្ញាតឱ្យអ្នកធ្វើការបម្រុងទុកនៅពេលណាក៏បាន។ ឧបករណ៍នាំចេញ/នាំចូលកោសិកាងាយស្រួលធ្វើឱ្យការចម្លងកោសិកាសាមញ្ញ។

ភាពទំនេរ - នេះគឺជាជម្រើសរួចហើយ។ អាស្រ័យលើកម្រិតនៃកិត្តិនាមរបស់អ្នក និងការពិតដែលថាអ្នកមានអ្នកស្អប់។ ក្នុងឧទាហរណ៍របស់យើង យើងធានាថាកាបូបអាចចូលប្រើបានទាំងស្រុងពីបណ្តាញ TOP ។ បើចាំបាច់ អ្នកអាចបិទអ្វីៗគ្រប់យ៉ាងនៅលើជញ្ជាំងភ្លើង និងអនុញ្ញាតឱ្យចូលប្រើម៉ាស៊ីនមេទាំងស្រុងតាមរយៈផ្លូវរូងក្រោមដី (TOR ឬ VPN គឺជាបញ្ហាមួយផ្សេងទៀត)។ ដូច្នេះហើយ ម៉ាស៊ីនមេនឹងត្រូវកាត់ផ្តាច់ចេញពីពិភពខាងក្រៅតាមដែលអាចធ្វើទៅបាន ហើយមានតែយើងខ្លួនឯងប៉ុណ្ណោះដែលអាចមានឥទ្ធិពលលើភាពអាចរកបានរបស់វា។

ភាពមិនអាចទៅរួចនៃការបដិសេធ - ហើយនេះអាស្រ័យទៅលើប្រតិបត្តិការបន្ថែមទៀត និងការអនុលោមតាមគោលការណ៍ត្រឹមត្រូវសម្រាប់សិទ្ធិអ្នកប្រើប្រាស់ ការចូលប្រើប្រាស់។ល។ ប៉ុន្តែជាមួយនឹងវិធីសាស្រ្តត្រឹមត្រូវ សកម្មភាពរបស់អ្នកប្រើប្រាស់ទាំងអស់ត្រូវបានសវនកម្ម ហើយអរគុណចំពោះដំណោះស្រាយគ្រីប វាអាចកំណត់អត្តសញ្ញាណដោយមិនច្បាស់ថាអ្នកណាបានធ្វើសកម្មភាពជាក់លាក់ និងនៅពេលណា។

ជាការពិតណាស់ ការកំណត់រចនាសម្ព័ន្ធដែលបានពិពណ៌នាមិនមែនជាឧទាហរណ៍ដាច់ខាតនៃរបៀបដែលវាគួរតែមានជានិច្ច វាគឺជាឧទាហរណ៍មួយនៃរបៀបដែលវាអាចជា ខណៈពេលដែលរក្សាបាននូវលទ្ធភាពនៃការធ្វើមាត្រដ្ឋាន និងការផ្លាស់ប្តូរដែលអាចបត់បែនបាន។

ចុះយ៉ាងណាចំពោះនិម្មិតពេញលេញ?

អំពីនិម្មិតពេញលេញដោយប្រើ cbsd អ្នកអាចធ្វើបាន អាននៅទីនេះ. ខ្ញុំនឹងបន្ថែមវាសម្រាប់ការងារ bhyve អ្នកត្រូវបើកជម្រើសខឺណែលមួយចំនួន។

# cat /etc/rc.conf

...
kld_list="vmm if_tap if_bridge nmdm"
...

# cat /boot/loader.conf

...
vmm_load="YES"
...

ដូច្នេះប្រសិនបើភ្លាមៗនោះមានតម្រូវការក្នុងការចាប់ផ្តើម docker នោះយើងបង្កើនខ្លះ debian ហើយទៅមុខ!

អស់ហើយ

ខ្ញុំគិតថានោះជាអ្វីដែលខ្ញុំចង់ចែករំលែក។ ប្រសិនបើអ្នកចូលចិត្តអត្ថបទនោះ អ្នកអាចផ្ញើ bitcoins ខ្លះមកខ្ញុំ bc1qu7lhf45xw83ddll5mnzte6ahju8ktkeu6qhttc. ប្រសិនបើអ្នកចង់សាកល្បងកោសិកានៅក្នុងសកម្មភាព និងមាន bitcoins ខ្លះ អ្នកអាចចូលទៅកាន់របស់ខ្ញុំ គម្រោងសត្វចិញ្ចឹម.

ប្រភព: www.habr.com