🥇새장 속의 비트코인?

나는 직업 상 컴퓨터 시스템 및 네트워크 관리자 (간단히 시스템 관리자)이고 10 년이 조금 넘게 교수에게 말할 기회를 가졌습니다. [극단적인] 보안 조치가 필요한 시스템을 포함하여 다양한 시스템의 활동. 그리고 얼마 전에 나는 그것이 흥미로웠다는 일도 일어났습니다. 비트 코인, 이를 사용했을 뿐만 아니라 개발자의 관점에서 비트코인 네트워크(결국 p2p라고도 함)를 사용하여 독립적으로 작업하는 방법을 배우기 위해 여러 마이크로서비스를 시작했습니다(물론 저는 그 중 하나입니다). dev, 그래서 나는 지나가고있었습니다). 하지만 저는 개발에 대해 이야기하는 것이 아니라 애플리케이션을 위한 안전하고 효율적인 환경에 대해 이야기하고 있습니다.

금융기술(FINTECH) 정보 보안 옆으로 이동 (INFOSEC) 첫 번째는 두 번째 없이도 작동할 수 있지만 오래 가지 않습니다. 그래서 저는 제 경험과 제가 사용하는 도구 세트를 공유하고 싶습니다. 여기에는 두 가지 모두가 포함됩니다. FINTECH과 INFOSEC, 그리고 동시에 더 광범위하거나 완전히 다른 목적으로 사용될 수도 있습니다. 이 기사에서는 비트코인에 대해 이야기하기보다는 금융 서비스(그뿐만 아니라)의 개발 및 운영을 위한 인프라 모델, 한마디로 "B"가 중요한 서비스에 대해 이야기하겠습니다. 이는 비트코인 거래소와 비트코인과 어떤 식으로든 연결되지 않은 소규모 회사의 가장 일반적인 기업 서비스 동물원 모두에 적용됩니다.

나는 원칙을 지지한다는 점을 지적하고 싶습니다. "멍청하게 단순하게 유지하세요" и "적은 것이 더 많다", 따라서 기사와 기사에 설명된 내용 모두 이러한 원칙에 관한 속성을 갖습니다.

상상의 시나리오: 비트코인 교환기의 예를 사용하여 모든 것을 살펴보겠습니다. 우리는 루블, 달러, 유로를 비트코인으로 교환하기로 결정했으며 이미 작동하는 솔루션을 가지고 있지만 qiwi 및 webmoney와 같은 다른 디지털 화폐에 대한 솔루션도 있습니다. 우리는 모든 법적 문제를 종결했으며 루블, 달러, 유로 및 기타 결제 시스템에 대한 결제 게이트웨이 역할을 하는 기성 애플리케이션을 보유하고 있습니다. 이는 은행 계좌에 연결되어 있으며 최종 애플리케이션을 위한 일종의 API를 가지고 있습니다. 또한 일반적인 qiwi 또는 webmoney 계정처럼 사용자를 위한 교환기 역할을 하는 웹 애플리케이션도 있습니다(계정 생성, 카드 추가 등). 로컬 영역의 REST API를 통해서도 게이트웨이 애플리케이션과 통신합니다. 그래서 우리는 비트코인을 연결하는 동시에 인프라를 업그레이드하기로 결정했습니다. 왜냐하면... 처음에는 사무실 테이블 아래에 있는 가상박스에 모든 것이 서둘러 올려졌습니다... 사이트가 사용되기 시작했고 가동 시간과 성능에 대해 걱정하기 시작했습니다.

이제 가장 중요한 것부터 시작하겠습니다 - 서버 선택. 왜냐하면 이 예의 비즈니스는 규모가 작으며 우리가 선택할 호스팅 업체(OVH)를 신뢰합니다. 예산 옵션 원본 .iso 이미지에서 시스템을 설치할 수는 없지만 문제가 되지 않는 경우에는 IT 보안 부서에서 설치된 이미지를 확실히 분석합니다. 그리고 우리가 성장하면 물리적 접근이 제한된 옷장을 임대하고 어쩌면 우리 자신의 DC를 구축하게 될 것입니다. 어쨌든 하드웨어를 임대하고 기성 이미지를 설치할 때 시스템에 "호스터의 트로이 목마"가 걸릴 가능성이 있다는 점을 기억할 가치가 있습니다. 대부분의 경우 이는 사용자를 염탐하려는 의도가 아닙니다. 보다 편리한 관리 도구를 제공하기 위해 서버를 운영하고 있습니다.

서버 설치

여기에서는 모든 것이 간단합니다. 우리는 우리의 필요에 맞는 하드웨어를 선택합니다. 그런 다음 FreeBSD 이미지를 선택합니다. 아니면 IPMI나 모니터를 통해 연결하고(다른 호스팅 업체 및 자체 하드웨어의 경우) .iso FreeBSD 이미지를 다운로드에 공급합니다. 내가 사용하는 오케스트라 설정의 경우 책임감있는 и mfsbsd. 유일한 것은 우리의 경우 kimsufi를 선택했습니다. 사용자 정의 설치 미러에 있는 두 개의 디스크에 boot 및 /home 파티션만 "열려" 있도록 하기 위해 나머지 디스크 공간은 암호화되지만 이에 대한 자세한 내용은 나중에 설명합니다.

시스템 설치는 표준 방식으로 이루어집니다. 이에 대해 자세히 설명하지 않겠습니다. 작동을 시작하기 전에 주의를 기울일 가치가 있다는 점만 참고하겠습니다. 경화 제공하는 옵션 bsdinstaller 설치가 끝나면(시스템을 직접 설치하는 경우):

이 좋은 재료 이 주제에 대해서는 여기서 간단히 반복하겠습니다.

이미 설치된 시스템에서 위에서 언급한 매개변수를 활성화하는 것도 가능합니다. 이렇게 하려면 부트로더 파일을 편집하고 커널 매개변수를 활성화해야 합니다. *ee는 BSD에서 이와 같은 편집기입니다.

# ee /etc/rc.conf

...
#sec hard
clear_tmp_enable="YES"
syslogd_flags="-ss"    
sendmail_enable="NONE"

# ee /etc/sysctl.conf

...
#sec hard
security.bsd.see_other_uids=0
security.bsd.see_other_gids=0
security.bsd.unprivileged_read_msgbuf=0
security.bsd.unprivileged_proc_debug=0
kern.randompid=$(jot -r 1 9999)
security.bsd.stack_guard_page=1

또한 최신 버전의 시스템이 설치되어 있는지 확인해야 합니다. 모든 업데이트 및 업그레이드 수행. 예를 들어 우리의 경우 최신 버전으로의 업그레이드가 필요합니다. 왜냐하면... 사전 설치 이미지는 XNUMX개월에서 XNUMX년 정도 지연됩니다. 글쎄, SSH 포트를 기본 포트와 다른 것으로 변경하고 키 인증을 추가하고 비밀번호 인증을 비활성화합니다.

그런 다음 구성합니다. aide, 시스템 구성 파일의 상태를 모니터링합니다. 더 자세히 읽어보실 수 있어요 여기에.

pkg install aide

그리고 crontab을 편집하세요

crontab -e

06 01 * * 0-6 /root/chkaide.sh

#! /bin/sh
#chkaide.sh
MYDATE=`date +%Y-%m-%d`
MYFILENAME="Aide-"$MYDATE.txt
/bin/echo "Aide check !! `date`" > /tmp/$MYFILENAME
/usr/local/bin/aide --check > /tmp/myAide.txt
/bin/cat /tmp/myAide.txt|/usr/bin/grep -v failed >> /tmp/$MYFILENAME
/bin/echo "**************************************" >> /tmp/$MYFILENAME
/usr/bin/tail -20 /tmp/myAide.txt >> /tmp/$MYFILENAME
/bin/echo "****************DONE******************" >> /tmp/$MYFILENAME

켜 시스템 감사

sysrc auditd_enable=YES

# service auditd start

이 문제를 관리하는 방법은 다음에 완벽하게 설명되어 있습니다. 안내서.

이제 재부팅하고 서버의 소프트웨어로 진행합니다. 각 서버는 컨테이너 또는 전체 가상 머신을 위한 하이퍼바이저입니다. 따라서 전체 가상화를 사용하려는 경우 프로세서가 VT-x 및 EPT를 지원하는 것이 중요합니다.

내가 사용하는 컨테이너와 가상 머신을 관리하려면 cbsd 부터 올레볼레, 이 놀라운 유용성을 위해 그에게 더 많은 건강과 축복이 있기를 바랍니다!

컨테이너? Docker를 다시 또는 무엇?

그리고 여기 아닙니다. FreeBSD 감옥 컨테이너화를 위한 훌륭한 도구이지만 언급된 cbsd 셀이라고 불리는 이러한 컨테이너를 조정합니다.

케이지는 개별 서비스 또는 프로세스의 완전한 격리가 궁극적으로 필요한 다양한 목적을 위한 인프라 구축을 위한 매우 효과적인 솔루션입니다. 기본적으로 이는 호스트 시스템의 복제본이지만 전체 하드웨어 가상화가 필요하지 않습니다. 덕분에 리소스는 "게스트 OS"에 소비되지 않고 수행 중인 작업에만 소비됩니다. 셀이 내부 요구에 사용될 때 이는 최적의 리소스 사용을 위한 매우 편리한 솔루션입니다. 필요한 경우 하나의 하드웨어 서버에 있는 여러 셀이 각각 개별적으로 전체 서버 리소스를 사용할 수 있습니다. 일반적으로 다른 하위 서비스에는 추가 서비스가 필요하다는 점을 고려합니다. 서로 다른 시점에 리소스를 적절히 계획하고 서버 간의 셀 균형을 조정하면 한 서버에서 최대 성능을 끌어낼 수 있습니다. 필요한 경우 셀에 사용되는 리소스에 대한 제한이 적용될 수도 있습니다.

전체 가상화는 어떻습니까?

내가 아는 한, cbsd 일을 지원하다 bhyve 및 XEN 하이퍼바이저. 두 번째는 사용해본 적이 없지만 첫 번째는 비교적 새것이에요 FreeBSD의 하이퍼바이저. 사용예를 살펴보겠습니다 bhyve 아래 예에서.

호스트 환경 설치 및 구성

우리는 FS를 사용합니다 ZFS. 이는 서버 공간 관리를 위한 매우 강력한 도구입니다. ZFS 덕분에 디스크에서 다양한 구성의 배열을 직접 구축하고, 공간을 동적으로 "핫" 확장하고, 데드 디스크를 변경하고, 스냅샷을 관리하는 등의 작업을 전체 기사 시리즈에서 설명할 수 있습니다. 서버와 해당 디스크로 돌아가 보겠습니다. 설치 시작 시 암호화된 파티션을 위해 디스크에 여유 공간을 남겨 두었습니다. 왜 그런 겁니까? 이는 시스템이 자동으로 깨어나 SSH를 통해 수신하도록 하기 위한 것입니다.

gpart add -t freebsd-zfs /dev/ada0

/dev/ada0p4 added!

남은 공간에 디스크 파티션 추가

geli init /dev/ada0p4

암호화 비밀번호를 입력하세요

geli attach /dev/ada0p4

비밀번호를 다시 입력하면 /dev/ada0p4.eli 장치가 생성됩니다. 이것이 암호화된 공간입니다. 그런 다음 /dev/ada1 및 어레이의 나머지 디스크에 대해 동일한 작업을 반복합니다. 그리고 우리는 새로운 것을 만듭니다 ZFS 풀.

zpool create vms mirror /dev/ada0p4.eli /dev/ada1p4.eli /dev/ada3p4.eli - 자, 최소한의 전투 키트는 준비되어 있습니다. 세 개 중 하나가 실패할 경우를 대비해 미러링된 디스크 배열입니다.

새로운 "풀"에 데이터 세트 생성

zfs create vms/jails

pkg install cbsd — 우리는 팀을 시작하고 셀 관리를 설정했습니다.

이후 cbsd 설치되었으면 초기화해야 합니다.

# env workdir="/vms/jails" /usr/local/cbsd/sudoexec/initenv

글쎄, 우리는 대부분 기본 답변을 사용하여 많은 질문에 답변합니다.

*암호화를 사용하는 경우 데몬이 cbsdd 디스크를 수동 또는 자동으로 해독할 때까지 자동으로 시작되지 않았습니다(이 예에서는 zabbix에 의해 수행됨).

**또한 NAT를 사용하지 않습니다. cbsd, 그리고 내가 직접 구성 pf.

# sysrc pf_enable=YES

# ee /etc/pf.conf

IF_PUBLIC="em0"
IP_PUBLIC="1.23.34.56"
JAIL_IP_POOL="192.168.0.0/24"

#WHITE_CL="{ 127.0.0.1 }"

icmp_types="echoreq"

set limit { states 20000, frags 20000, src-nodes 20000 }
set skip on lo0
scrub in all

#NAT for jails
nat pass on $IF_PUBLIC from $JAIL_IP_POOL to any -> $IP_PUBLIC

## Bitcoin network port forward
IP_JAIL="192.168.0.1"
PORT_JAIL="{8333}"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

# service pf start

# pfctl -f /etc/pf.conf

방화벽 정책 설정도 별도의 주제이므로 BLOCK ALL 정책 설정과 화이트리스트 설정에 대해서는 자세히 다루지 않겠습니다. 공식 문서 또는 Google에서 제공하는 수많은 기사 중 하나를 선택하세요.

음... 우리는 cbsd를 설치했습니다. 이제 우리의 첫 번째 일꾼인 갇힌 비트코인 악마를 만들 시간입니다!

cbsd jconstruct-tui

여기서는 셀 생성 대화 상자를 볼 수 있습니다. 모든 값을 설정한 후 생성해 봅시다!

첫 번째 셀을 만들 때 셀의 기본으로 사용할 항목을 선택해야 합니다. 다음 명령을 사용하여 FreeBSD 저장소에서 배포판을 선택합니다. repo. 이 선택은 특정 버전의 첫 번째 셀을 생성할 때만 이루어집니다. 호스트 버전보다 이전 버전의 셀을 호스트할 수 있습니다.

모든 것이 설치되면 케이지를 시작합니다!

# cbsd jstart bitcoind

하지만 케이지에 소프트웨어를 설치해야 합니다.

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind

jexec bitcoind 셀 콘솔에 들어가려면

이미 셀 내부에 종속성과 함께 소프트웨어를 설치합니다(호스트 시스템은 깨끗하게 유지됩니다).

bitcoind:/@[15:25] # pkg install bitcoin-daemon bitcoin-utils

bitcoind:/@[15:30] # sysrc bitcoind_enable=YES

bitcoind:/@[15:30] # service bitcoind start

케이지에는 비트코인이 있지만 TOP 네트워크를 통해 일부 케이지에 연결하려고 하기 때문에 익명성이 필요합니다. 일반적으로 우리는 의심스러운 소프트웨어가 포함된 대부분의 셀을 프록시를 통해서만 실행할 계획입니다. 덕분에 pf 로컬 네트워크의 특정 범위의 IP 주소에 대해 NAT를 비활성화하고 TOR 노드에 대해서만 NAT를 허용할 수 있습니다. 따라서 악성코드가 셀에 들어가더라도 외부 세계와 통신하지 않을 가능성이 높으며, 통신하더라도 우리 서버의 IP를 공개하지 않습니다. 따라서 서비스를 ".onion" 서비스로 "전달"하고 인터넷에 액세스하기 위한 프록시로 개별 셀에 대한 또 다른 셀을 만듭니다.

# cbsd jsconstruct-tui

# cbsd jstart tor

# jexec tor

tor:/@[15:38] # pkg install tor

tor:/@[15:38] # sysrc tor_enable=YES

tor:/@[15:38] # ee /usr/local/etc/tor/torrc

로컬 주소에서 청취하도록 설정(모든 셀에 사용 가능)

SOCKSPort 192.168.0.2:9050

완전한 행복을 위해 또 무엇이 필요합니까? 예, 웹을 위한 서비스가 하나 이상 필요할 수도 있습니다. 역방향 프록시 역할을 하고 Let's Encrypt 인증서 갱신을 처리하는 nginx를 시작하겠습니다.

# cbsd jsconstruct-tui

# cbsd jstart nginx-rev

# jexec nginx-rev

nginx-rev:/@[15:47] # pkg install nginx py36-certbot

그래서 우리는 케이지에 150MB의 종속성을 배치했습니다. 그리고 호스트는 여전히 깨끗합니다.

나중에 nginx 설정으로 돌아가서 nodejs와 Rust의 결제 게이트웨이와 웹 애플리케이션을 위해 두 개의 셀을 더 키워야 합니다. 웹 애플리케이션은 어떤 이유로 Apache와 PHP에 있고 후자에는 MySQL 데이터베이스도 필요합니다.

# cbsd jsconstruct-tui

# cbsd jstart paygw

# jexec paygw

paygw:/@[15:55] # pkg install git node npm

paygw:/@[15:55] # curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh

...그리고 또 다른 380MB의 패키지가 분리되었습니다.

다음으로 git을 사용하여 애플리케이션을 다운로드하고 실행합니다.

# cbsd jsconstruct-tui

# cbsd jstart webapp

# jexec webapp

webapp:/@[16:02] # pkg install mariadb104-server apache24 php74 mod_php74 php74-pdo_mysql

450MB 패키지. 우리 안에.

여기에서는 개발자에게 SSH를 통해 셀에 직접 액세스할 수 있는 권한을 부여하고 개발자가 직접 모든 작업을 수행합니다.

webapp:/@[16:02] # ee /etc/ssh/sshd_config

Port 2267 — 셀의 SSH 포트를 임의의 포트로 변경합니다.

webapp:/@[16:02] # sysrc sshd_enable=YES

webapp:/@[16:02] # service sshd start

서비스가 실행 중입니다. 남은 것은 규칙을 추가하는 것뿐입니다. pf 방화벽

우리 셀이 어떤 IP를 갖고 있는지, 그리고 우리의 "로컬 영역"이 일반적으로 어떤 모습인지 살펴보겠습니다.

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind
     2  192.168.0.2     tor.space.com                 /zroot/jails/jails/tor
     3  192.168.0.3     nginx-rev.space.com           /zroot/jails/jails/nginx-rev
     4  192.168.0.4     paygw.space.com               /zroot/jails/jails/paygw
     5  192.168.0.5     webapp.my.domain              /zroot/jails/jails/webapp

규칙을 추가하고

# ee /etc/pf.conf

## SSH for web-Devs
IP_JAIL="192.168.0.5"
PORT_JAIL="{ 2267 }"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

자, 여기까지 왔으니 역방향 프록시에 대한 규칙도 추가해 보겠습니다.

## web-ports for nginx-rev
IP_JAIL="192.168.0.3"
PORT_JAIL="{ 80, 443 }"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

# pfctl -f /etc/pf.conf

자, 이제 비트코인에 대해 조금

우리가 가지고 있는 것은 외부에 노출되고 결제 게이트웨이와 로컬로 통신하는 웹 애플리케이션이 있다는 것입니다. 이제 우리는 비트코인 네트워크 자체, 즉 노드와 상호작용하기 위한 작업 환경을 준비해야 합니다. bitcoind 이는 블록체인의 로컬 복사본을 최신 상태로 유지하는 데몬일 뿐입니다. 이 데몬에는 RPC 및 지갑 기능이 있지만 애플리케이션 개발을 위한 더 편리한 "래퍼"가 있습니다. 우선, 우리는 넣기로 결정했습니다. electrum CLI 지갑입니다. 이 지갑 우리는 이를 비트코인의 "콜드 스토리지"로 사용할 것입니다. 일반적으로 사용자가 접근할 수 있고 일반적으로 모든 사람이 접근할 수 없는 시스템 "외부"에 저장해야 하는 비트코인입니다. GUI도 있으므로 우리는 동일한 지갑을 사용할 것입니다.
노트북. 지금은 공용 서버에서 Electrum을 사용하고 나중에 다른 셀에서 이를 올릴 것입니다. 일렉트럼X누구에게도 전혀 의존하지 않도록.

# cbsd jsconstruct-tui

# cbsd jstart electrum

# jexec electrum

electrum:/@[8:45] # pkg install py36-electrum

우리 케이지에 또 다른 700MB의 소프트웨어

electrum:/@[8:53] # adduser

Username: wallet
Full name: 
Uid (Leave empty for default): 
Login group [wallet]: 
Login group is wallet. Invite wallet into other groups? []: 
Login class [default]: 
Shell (sh csh tcsh nologin) [sh]: tcsh
Home directory [/home/wallet]: 
Home directory permissions (Leave empty for default): 
Use password-based authentication? [yes]: no
Lock out the account after creation? [no]: 
Username   : wallet
Password   : <disabled>
Full Name  : 
Uid        : 1001
Class      : 
Groups     : wallet 
Home       : /home/wallet
Home Mode  : 
Shell      : /bin/tcsh
Locked     : no
OK? (yes/no): yes
adduser: INFO: Successfully added (wallet) to the user database.
Add another user? (yes/no): no
Goodbye!
electrum:/@[8:53] # su wallet

electrum:/@[8:53] # su wallet

wallet@electrum:/ % electrum-3.6 create

{
    "msg": "Please keep your seed in a safe place; if you lose it, you will not be able to restore your wallet.",
    "path": "/usr/home/wallet/.electrum/wallets/default_wallet",
    "seed": "jealous win pig material ribbon young punch visual okay cactus random bird"
}

이제 지갑이 생성되었습니다.

wallet@electrum:/ % electrum-3.6 listaddresses

[
    "18WEhbjvMLGRMfwudzUrUd25U5C7uZYkzE",
    "14XHSejhxsZNDRtk4eFbqAX3L8rftzwQQU",
    "1KQXaN8RXiCN1ne9iYngUWAr6KJ6d4pPas",
    ...
    "1KeVcAwEYhk29qEyAfPwcBgF5mMMoy4qjw",
    "18VaUuSeBr6T2GwpSHYF3XyNgLyLCt1SWk"
]

wallet@electrum:/ % electrum-3.6 help

우리에게 체인 연결 앞으로는 제한된 수의 사람들만 지갑에 연결할 수 있습니다. 외부에서 이 셀에 대한 액세스를 열지 않기 위해 SSH를 통한 연결은 TOP(분산형 VPN 버전)를 통해 이루어집니다. 셀에서 SSH를 시작하지만 호스트의 pf.conf를 건드리지 않습니다.

electrum:/@[9:00] # sysrc sshd_enable=YES

electrum:/@[9:00] # service sshd start

이제 지갑의 인터넷 접속이 가능한 셀을 꺼보겠습니다. NAT가 적용되지 않은 다른 서브넷 공간의 IP 주소를 제공하겠습니다. 먼저 바꾸자 /etc/pf.conf 호스트에서

# ee /etc/pf.conf

JAIL_IP_POOL="192.168.0.0/24" 그것을로 바꾸자 JAIL_IP_POOL="192.168.0.0/25", 따라서 모든 주소 192.168.0.126-255는 인터넷에 직접 액세스할 수 없습니다. 일종의 소프트웨어 "공극" 네트워크입니다. NAT 규칙은 그대로 유지됩니다.

nat pass on $IF_PUBLIC from $JAIL_IP_POOL to any -> $IP_PUBLIC

규칙 오버로드

# pfctl -f /etc/pf.conf

이제 세포를 맡아보자

# cbsd jconfig jname=electrum

jset mode=quiet jname=electrum ip4_addr="192.168.0.200"
Remove old IP: /sbin/ifconfig em0 inet 192.168.0.6 -alias
Setup new IP: /sbin/ifconfig em0 inet 192.168.0.200 alias
ip4_addr: 192.168.0.200

흠, 하지만 이제 시스템 자체가 더 이상 작동하지 않습니다. 그러나 시스템 프록시를 지정할 수 있습니다. 그러나 한 가지가 있습니다. TOR에는 SOCKS5 프록시가 있으며 편의상 HTTP 프록시도 필요합니다.

# cbsd jsconstruct-tui

# cbsd jstart polipo

# jexec polipo

polipo:/@[9:28] # pkg install polipo

polipo:/@[9:28] # ee /usr/local/etc/polipo/config

socksParentProxy = "192.168.0.2:9050"
socksProxyType = socks5

polipo:/@[9:42] # sysrc polipo_enable=YES

polipo:/@[9:43] # service polipo start

이제 우리 시스템에는 두 개의 프록시 서버가 있으며 둘 다 TOR을 통해 출력됩니다: 양말5://192.168.0.2:9050 및 http://192.168.0.6:8123

이제 지갑 환경을 구성할 수 있습니다

# jexec electrum

electrum:/@[9:45] # su wallet

wallet@electrum:/ % ee ~/.cshrc

#in the end of file proxy config
setenv http_proxy http://192.168.0.6:8123
setenv https_proxy http://192.168.0.6:8123

이제 쉘은 프록시 아래에서 작동합니다. 패키지를 설치하려면 다음에 추가해야 합니다. /usr/local/etc/pkg.conf 새장의 뿌리 아래에서

pkg_env: {
               http_proxy: "http://my_proxy_ip:8123",
           }

이제 지갑 셀에 SSH 서비스 주소로 TOR 숨겨진 서비스를 추가할 차례입니다.

# jexec tor

tor:/@[9:59] # ee /usr/local/etc/tor/torrc

HiddenServiceDir /var/db/tor/electrum/
HiddenServicePort 22 192.168.0.200:22

tor:/@[10:01] # mkdir /var/db/tor/electrum

tor:/@[10:01] # chown -R _tor:_tor /var/db/tor/electrum

tor:/@[10:01] # chmod 700 /var/db/tor/electrum

tor:/@[10:03] # service tor restart

tor:/@[10:04] # cat /var/db/tor/electrum/hostname

mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion

이것이 우리의 연결 주소입니다. 로컬 머신에서 확인해 보겠습니다. 하지만 먼저 SSH 키를 추가해야 합니다.

wallet@electrum:/ % mkdir ~/.ssh

wallet@electrum:/ % ee ~/.ssh/authorized_keys

ecdsa-sha2-nistp521 AAAAE2VjZHNhLXNoYTItbmlzdHA1MjEAAAAIbmlzdHA1MjEAAACFBAG9Fk2Lqi4GQ8EXZrsH3EgSrVIQPQaAlS38MmJLBabihv9KHIDGXH7r018hxqLNNGbaJWO/wrWk7sG4T0yLHAbdQAFsMYof9kjoyuG56z0XZ8qaD/X/AjrhLMsIoBbUNj0AzxjKNlPJL4NbHsFwbmxGulKS0PdAD5oLcTQi/VnNdU7iFw== user@local

음, Linux 클라이언트 시스템에서

user@local ~$ nano ~/.ssh/config

#remote electrum wallet
Host remotebtc
        User wallet
        Port 22
        Hostname mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion
        ProxyCommand /bin/ncat --proxy localhost:9050 --proxy-type socks5 %h %p

연결하자 (이것이 작동하려면 9050을 수신하는 로컬 TOR 데몬이 필요합니다)

user@local ~$ ssh remotebtc

The authenticity of host 'mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion (<no hostip for proxy command>)' can't be established.
ECDSA key fingerprint is SHA256:iW8FKjhVF4yyOZB1z4sBkzyvCM+evQ9cCL/EuWm0Du4.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion' (ECDSA) to the list of known hosts.
FreeBSD 12.1-RELEASE-p1 GENERIC 
To save disk space in your home directory, compress files you rarely
use with "gzip filename".
        -- Dru <[email protected]>
wallet@electrum:~ % logout

성공!

즉시 및 소액 결제를 사용하려면 노드도 필요합니다. 번개 네트워크, 실제로 이것은 비트코인을 사용하는 주요 작업 도구가 될 것입니다. 유*c-라이트닝우리가 데몬으로 사용할 것은 스파코 플러그인, 이는 완전한 HTTP(REST) 인터페이스이며 오프체인 및 온체인 트랜잭션 모두에 사용할 수 있습니다. c-lightning 작동에 필요한 bitcoind 하지만 그렇습니다.

*라이트닝 네트워크 프로토콜은 다양한 언어로 구현되어 있습니다. 우리가 테스트한 것 중에서 c-lightning(C로 작성된)이 가장 안정적이고 리소스 효율적인 것으로 보였습니다.

# cbsd jsconstruct-tui

# cbsd jstart cln

# jexec cln

lightning:/@[10:23] # adduser

Username: lightning
...

lightning:/@[10:24] # pkg install git

lightning:/@[10:23] # su lightning

cd ~ && git clone https://github.com/ElementsProject/lightning

lightning@lightning:~ % exit

lightning:/@[10:30] # cd /home/lightning/lightning/

lightning:/home/lightning/lightning@[10:31] # pkg install autoconf automake gettext git gmp gmake libtool python python3 sqlite3 libsodium py36-mako bash bitcoin-utils

lightning:/home/lightning/lightning@[10:34] # ./configure && gmake && gmake install

필요한 모든 것이 컴파일되고 설치되는 동안 RPC 사용자를 생성해 보겠습니다. lightningd в bitcoind

# jexec bitcoind

bitcoind:/@[10:36] # ee /usr/local/etc/bitcoin.conf

rpcbind=192.168.0.1
rpcuser=test
rpcpassword=test
#allow only c-lightning
rpcallowip=192.168.0.7/32

bitcoind:/@[10:39] # service bitcoind restart

유틸리티에 주목하면 셀 간의 혼란스러운 전환이 그렇게 혼란스럽지 않은 것으로 나타났습니다. tmux, 하나의 세션 내에서 여러 터미널 하위 세션을 생성할 수 있습니다. 비슷한 물건: screen

그래서 우리는 우리 노드의 실제 IP를 공개하고 싶지 않으며 모든 금융 거래는 TOP를 통해 수행하고자 합니다. 따라서 또 다른 .onion이 필요하지 않습니다.

# jexec tor

tor:/@[9:59] # ee /usr/local/etc/tor/torrc

HiddenServiceDir /var/db/tor/cln/
HiddenServicePort 9735 192.168.0.7:9735

tor:/@[10:01] # mkdir /var/db/tor/cln

tor:/@[10:01] # chown -R _tor:_tor /var/db/tor/cln

tor:/@[10:01] # chmod 700 /var/db/tor/cln

tor:/@[10:03] # service tor restart

tor:/@[10:04] # cat /var/db/tor/cln/hostname

en5wbkavnytti334jc5uzaudkansypfs6aguv6kech4hbzpcz2ove3yd.onion

이제 c-lightning에 대한 구성을 만들어 보겠습니다.

lightning:/home/lightning/lightning@[10:31] # su lightning

lightning@lightning:~ % mkdir .lightning

lightning@lightning:~ % ee .lightning/config

alias=My-LN-Node
bind-addr=192.168.0.7:9735
rgb=ff0000
announce-addr=en5wbkavnytti334jc5uzaudkansypfs6aguv6kech4hbzpcz2ove3yd.onion:9735
network=bitcoin
log-level=info
fee-base=0
fee-per-satoshi=1
proxy=192.168.0.2:9050
log-file=/home/lightning/.lightning/c-lightning.log
min-capacity-sat=200000

# sparko plugin
# https://github.com/fiatjaf/lightningd-gjson-rpc/tree/master/cmd/sparko

sparko-host=192.168.0.7
sparko-port=9737

sparko-tls-path=sparko-tls

#sparko-login=mywalletusername:mywalletpassword

#sparko-keys=masterkey;secretread:+listchannels,+listnodes;secretwrite:+invoice,+listinvoices,+delinvoice,+decodepay,+waitpay,+waitinvoice
sparko-keys=masterkey;secretread:+listchannels,+listnodes;ultrawrite:+invoice,+listinvoices,+delinvoice,+decodepay,+waitpay,+waitinvoice
# for the example above the initialization logs (mixed with lightningd logs) should print something like

lightning@lightning:~ % mkdir .lightning/plugins

lightning@lightning:~ % cd .lightning/plugins/

lightning@lightning:~/.lightning/plugins:% fetch https://github.com/fiatjaf/sparko/releases/download/v0.2.1/sparko_full_freebsd_amd64

lightning@lightning:~/.lightning/plugins % mkdir ~/.lightning/sparko-tls

lightning@lightning:~/.lightning/sparko-tls % cd ~/.lightning/sparko-tls

lightning@lightning:~/.lightning/sparko-tls % openssl genrsa -out key.pem 2048

lightning@lightning:~/.lightning/sparko-tls % openssl req -new -x509 -sha256 -key key.pem -out cert.pem -days 3650

lightning@lightning:~/.lightning/plugins % chmod +x sparko_full_freebsd_amd64

lightning@lightning:~/.lightning/plugins % mv sparko_full_freebsd_amd64 sparko

lightning@lightning:~/.lightning/plugins % cd ~

또한 다음과 통신하는 유틸리티인 bitcoin-cli에 대한 구성 파일을 생성해야 합니다. bitcoind

lightning@lightning:~ % mkdir .bitcoin

lightning@lightning:~ % ee .bitcoin/bitcoin.conf

rpcconnect=192.168.0.1
rpcuser=test
rpcpassword=test

검사

lightning@lightning:~ % bitcoin-cli echo "test"

[
  "test"
]

시작하다 lightningd

lightning@lightning:~ % lightningd --daemon

그 자신 lightningd 유틸리티를 제어할 수 있습니다. lightning-cli예 :

lightning-cli newaddr 새로 입금될 주소를 알아보세요

{
   "address": "bc1q2n2ffq3lplhme8jufcxahfrnfhruwjgx3c78pv",
   "bech32": "bc1q2n2ffq3lplhme8jufcxahfrnfhruwjgx3c78pv"
}

lightning-cli withdraw bc1jufcxahfrnfhruwjgx3cq2n2ffq3lplhme878pv all 지갑에 있는 모든 돈을 해당 주소(모든 온체인 주소)로 보냅니다.

오프체인 작업을 위한 명령도 있습니다. lightning-cli invoice, lightning-cli listinvoices, lightning-cli pay 등등

음, 애플리케이션과의 통신을 위해 REST API가 있습니다.

curl -k https://192.168.0.7:9737/rpc -d '{"method": "pay", "params": ["lnbc..."]}' -H 'X-Access masterkey'

합계하다

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind
     2  192.168.0.2     tor.space.com                 /zroot/jails/jails/tor
     3  192.168.0.3     nginx-rev.space.com           /zroot/jails/jails/nginx-rev
     4  192.168.0.4     paygw.space.com               /zroot/jails/jails/paygw
     5  192.168.0.5     webapp.my.domain              /zroot/jails/jails/webapp
     7  192.168.0.200   electrum.space.com            /zroot/jails/jails/electrum
     8  192.168.0.6     polipo.space.com              /zroot/jails/jails/polipo
     9  192.168.0.7     lightning.space.com           /zroot/jails/jails/cln

우리는 로컬 네트워크에 대한 액세스 수준이 각각 다른 컨테이너 세트를 가지고 있습니다.

# zfs list

NAME                    USED  AVAIL  REFER  MOUNTPOINT
zroot                   279G  1.48T    88K  /zroot
zroot/ROOT             1.89G  1.48T    88K  none
zroot/ROOT/default     1.89G  17.6G  1.89G  /
zroot/home               88K  1.48T    88K  /home
zroot/jails             277G  1.48T   404M  /zroot/jails
zroot/jails/bitcoind    190G  1.48T   190G  /zroot/jails/jails-data/bitcoind-data
zroot/jails/cln         653M  1.48T   653M  /zroot/jails/jails-data/cln-data
zroot/jails/electrum    703M  1.48T   703M  /zroot/jails/jails-data/electrum-data
zroot/jails/nginx-rev   190M  1.48T   190M  /zroot/jails/jails-data/nginx-rev-data
zroot/jails/paygw      82.4G  1.48T  82.4G  /zroot/jails/jails-data/paygw-data
zroot/jails/polipo     57.6M  1.48T  57.6M  /zroot/jails/jails-data/polipo-data
zroot/jails/tor        81.5M  1.48T  81.5M  /zroot/jails/jails-data/tor-data
zroot/jails/webapp      360M  1.48T   360M  /zroot/jails/jails-data/webapp-data

보시다시피 bitcoind는 190GB의 공간을 모두 차지합니다. 테스트를 위해 또 다른 노드가 필요하면 어떻게 되나요? 이것이 ZFS가 유용한 곳입니다. 도움을 받아 cbsd jclone old=bitcoind new=bitcoind-clone host_hostname=clonedbtc.space.com 스냅샷을 생성하고 이 스냅샷에 새 셀을 연결할 수 있습니다. 새 셀에는 자체 공간이 있지만 파일 시스템에서는 현재 상태와 원본 사이의 차이만 고려됩니다(최소 190GB를 절약합니다).

각 셀은 자체적인 별도의 ZFS 데이터 세트이므로 매우 편리합니다. ZFS는 또한 허용합니다 SSH를 통해 스냅샷을 보내는 등 다양한 멋진 작업을 수행해 보세요. 우리는 그것을 설명하지 않을 것입니다. 이미 많이 있습니다.

또한 호스트를 원격으로 모니터링해야 한다는 점도 주목할 가치가 있습니다. 이러한 목적을 위해 우리는 자 비츠.

B - 안전

보안과 관련하여 인프라 측면의 주요 원칙부터 시작해 보겠습니다.

Конфиденциальность - UNIX 계열 시스템의 표준 도구는 이 원칙의 구현을 보장합니다. 우리는 시스템의 논리적으로 분리된 각 요소(셀)에 대한 액세스를 논리적으로 분리합니다. 액세스는 사용자의 개인 키를 사용한 표준 사용자 인증을 통해 제공됩니다. 엔드 셀 사이의 모든 통신은 암호화된 형태로 발생합니다. 디스크 암호화 덕분에 디스크를 교체하거나 다른 서버로 마이그레이션할 때 데이터의 안전을 걱정할 필요가 없습니다. 유일한 중요한 액세스는 호스트 시스템에 대한 액세스입니다. 이러한 액세스는 일반적으로 컨테이너 내부의 데이터에 대한 액세스를 제공하기 때문입니다.

무결성 “이 원칙의 구현은 여러 다른 수준에서 발생합니다. 첫째, 서버 하드웨어, ECC 메모리의 경우 ZFS는 이미 "기본적으로" 정보 비트 수준에서 데이터 무결성을 관리한다는 점에 유의하는 것이 중요합니다. 인스턴트 스냅샷을 사용하면 언제든지 즉시 백업을 만들 수 있습니다. 편리한 셀 내보내기/가져오기 도구를 사용하면 셀 복제가 간단해집니다.

가용성 - 이것은 이미 선택 사항입니다. 명성의 정도와 싫어하는 사람이 있다는 사실에 따라 다릅니다. 이 예에서는 TOP 네트워크에서만 지갑에 액세스할 수 있음을 확인했습니다. 필요한 경우 방화벽의 모든 것을 차단하고 터널을 통해서만 서버에 대한 액세스를 허용할 수 있습니다(TOR 또는 VPN은 또 다른 문제입니다). 따라서 서버는 가능한 한 외부 세계와 차단되며 우리 자신만이 서버의 가용성에 영향을 미칠 수 있습니다.

거절불가 - 이는 추가 운영 및 사용자 권한, 액세스 등에 대한 올바른 정책 준수 여부에 따라 달라집니다. 그러나 올바른 접근 방식을 사용하면 모든 사용자 작업이 감사되며 암호화 솔루션 덕분에 누가 특정 작업을 언제 수행했는지 명확하게 식별할 수 있습니다.

물론 설명된 구성은 항상 그래야 한다는 절대적인 예는 아니며 매우 유연한 확장 및 사용자 정의 기능을 유지하면서 어떻게 될 수 있는지에 대한 하나의 예입니다.

전체 가상화는 어떻습니까?

cbsd를 사용한 전체 가상화에 대해 다음을 수행할 수 있습니다. 여기를 읽으십시오.. 업무용으로 추가하겠습니다 bhyve 일부 커널 옵션을 활성화해야 합니다.

# cat /etc/rc.conf

...
kld_list="vmm if_tap if_bridge nmdm"
...

# cat /boot/loader.conf

...
vmm_load="YES"
...

따라서 갑자기 도커를 시작해야 한다면 데비안을 설치하고 시작하세요!

그게 다야

그게 제가 공유하고 싶었던 전부인 것 같아요. 기사가 마음에 드셨다면 저에게 비트코인을 보내주세요. bc1qu7lhf45xw83ddll5mnzte6ahju8ktkeu6qhttc. 실제 세포를 시험해보고 비트코인을 갖고 싶다면 내 사이트로 이동하세요. 애완동물 프로젝트.

출처 : habr.com

우리 안에 있는 비트코인?