Биткоин во кафез?

Се случи по професија да сум администратор на компјутерски системи и мрежи (накратко: системски администратор), а нешто повеќе од 10 години имав можност да му кажам на проф. активностите на широк спектар на системи, вклучувајќи ги и оние кои бараат [екстремни] безбедносни мерки. Се случи и пред некое време да ми се чини интересно биткоин, и не само што го користеше, туку лансираше и неколку микро-услуги со цел да научи како самостојно да работиш со мрежата Bitcoin (на крајот на краиштата познат како p2p) од гледна точка на развивач (се разбира јас сум еден од тие dev, значи, минував). Но, не зборувам за развој, зборувам за безбедно и ефикасно опкружување за апликации.

Финансиска технологија (fintech) оди веднаш до безбедноста на информациите (инфосек) и првиот може да работи без вториот, но не долго. Затоа сакам да го споделам моето искуство и комплетот алатки што ги користам, а кои ги вклучуваат и двете fintechИ инфосек, а во исто време, а може да се користи и за поширока или сосема поинаква намена. Во оваа статија ќе ви кажам не толку за Биткоин, туку за инфраструктурниот модел за развој и функционирање на финансиски (и не само) услуги - со еден збор, оние услуги каде што е важно „Б“. Ова се однесува и на размената на Биткоин и на најтипичната корпоративна зоолошка градина на услуги на мала компанија која на кој било начин не е поврзана со Биткоин.

Би сакал да забележам дека сум поддржувач на принципите „Нека биде глупаво едноставно“ и "помалку е повеќе", затоа, и статијата и она што е опишано во него ќе ги имаат својствата за кои се однесуваат овие принципи.

Имагинарно сценарио: Ајде да погледнеме сè користејќи го примерот на разменувач на биткоин. Решивме да започнеме размена на рубли, долари, евра за биткоини и назад, и веќе имаме работно решение, но за други дигитални пари како qiwi и webmoney, т.е. Ги затворивме сите правни прашања, имаме готова апликација која служи како порта за плаќање на рубли, долари и евра и други платежни системи. Поврзан е со нашите банкарски сметки и има некој вид API за нашите крајни апликации. Имаме и веб-апликација која делува како разменувач за корисниците, добро, како типична сметка на qiwi или webmoney - креирајте сметка, додајте картичка итн. Комуницира со нашата портална апликација, иако преку REST API во локалната област. И така решивме да поврземе биткоини и во исто време да ја надградиме инфраструктурата, бидејќи ... Првично, сè беше поставено набрзина на виртуелните кутии во канцеларијата под масата... страницата почна да се користи, а ние почнавме да се грижиме за времето на работа и перформансите.

Значи, да почнеме со главната работа - избор на сервер. Бидејќи бизнисот во нашиот пример е мал и му веруваме на хостерот (OVH) што ќе го избереме буџетска опција во кој е невозможно да се инсталира системот од оригиналната слика .iso, но не е важно, одделот за ИТ безбедност дефинитивно ќе ја анализира инсталираната слика. И кога ќе пораснеме, ќе изнајмиме сопствен плакар под клуч со ограничен физички пристап, а можеби и ќе изградиме сопствен DC. Во секој случај, вреди да се запамети дека кога изнајмувате хардвер и инсталирате готови слики, постои можност на вашиот систем да виси „тројанец од хостерот“, кој во повеќето случаи не е наменет да ве шпионира. но да понуди попогодни алатки за управување со серверот.

Инсталација на сервер

Сè е едноставно овде. Ние го избираме хардверот што одговара на нашите потреби. Потоа изберете ја сликата на FreeBSD. Па, или се поврзуваме (во случај на друг хостер и наш сопствен хардвер) преку IPMI или со монитор и ја внесуваме сликата .iso FreeBSD во преземањето. За оркестарско поставување користам Ansible и mfsbsd. Единственото нешто, во нашиот случај со кимсуфи, го избравме прилагодена инсталација со цел двата диска во огледалото да имаат „отворени“ само партициите за подигање и /home, остатокот од просторот на дискот ќе биде шифриран, но повеќе за тоа подоцна.

Инсталирањето на системот се случува на стандарден начин, нема да се задржам на ова, само ќе забележам дека пред да започнете со работа вреди да се обрне внимание на стврднување опции што ги нуди bsdinstaller на крајот од инсталацијата (ако сами го инсталирате системот):

Постои добар материјал на оваа тема накратко ќе повторам овде.

Исто така, можно е да ги овозможите горенаведените параметри на веќе инсталиран систем. За да го направите ова, треба да ја уредите датотеката на подигнувачот и да ги овозможите параметрите на јадрото. *ee е уредник како овој во BSD

# ee /etc/rc.conf

...
#sec hard
clear_tmp_enable="YES"
syslogd_flags="-ss"    
sendmail_enable="NONE"

# ee /etc/sysctl.conf

...
#sec hard
security.bsd.see_other_uids=0
security.bsd.see_other_gids=0
security.bsd.unprivileged_read_msgbuf=0
security.bsd.unprivileged_proc_debug=0
kern.randompid=$(jot -r 1 9999)
security.bsd.stack_guard_page=1

Исто така, треба да бидете сигурни дека ја имате инсталирано најновата верзија на системот и извршете ги сите ажурирања и надградби. Во нашиот случај, на пример, потребна е надградба на најновата верзија, бидејќи ... сликите пред инсталацијата заостануваат од шест месеци до една година. Па, таму ја менуваме SSH портата на нешто различно од стандардното, додаваме автентикација на клучот и ја оневозможуваме проверката на лозинката.

Потоа конфигурираме aide, следење на статусот на датотеките за конфигурација на системот. Можете да прочитате повеќе во детали тука.

pkg install aide

и уредете го нашиот кронтаб

crontab -e

06 01 * * 0-6 /root/chkaide.sh

#! /bin/sh
#chkaide.sh
MYDATE=`date +%Y-%m-%d`
MYFILENAME="Aide-"$MYDATE.txt
/bin/echo "Aide check !! `date`" > /tmp/$MYFILENAME
/usr/local/bin/aide --check > /tmp/myAide.txt
/bin/cat /tmp/myAide.txt|/usr/bin/grep -v failed >> /tmp/$MYFILENAME
/bin/echo "**************************************" >> /tmp/$MYFILENAME
/usr/bin/tail -20 /tmp/myAide.txt >> /tmp/$MYFILENAME
/bin/echo "****************DONE******************" >> /tmp/$MYFILENAME

Вклучуваме системска ревизија

sysrc auditd_enable=YES

# service auditd start

Како да се администрира оваа материја е совршено опишано во лидерство.

Сега се рестартираме и продолжуваме до софтверот на серверот. Секој сервер е хипервизор за контејнери или целосни виртуелни машини. Затоа, важно е процесорот да поддржува VT-x и EPT ако планираме да користиме целосна виртуелизација.

За управување со контејнери и виртуелни машини што ги користам cbsd од олевол, му посакувам повеќе здравје и благослов за оваа прекрасна корисност!

Контејнери? Докер повторно или што?

Но не. FreeBSD затвори е одлична алатка за контејнеризација, но споменатите cbsd да ги оркестрира овие контејнери, кои се нарекуваат клетки.

Кафезот е исклучително ефикасно решение за изградба на инфраструктура за различни намени, каде што на крајот е потребна целосна изолација на поединечни услуги или процеси. Во суштина, тоа е клон на системот домаќин, но не бара целосна виртуелизација на хардверот. И благодарение на ова, ресурсите не се трошат на „гостинскиот оперативен систем“, туку само на работата што се извршува. Кога ќелиите се користат за внатрешни потреби, ова е многу погодно решение за оптимално користење на ресурсите - еден куп ќелии на еден хардверски сервер може секој поединечно да го користи целиот ресурс на серверот доколку е потребно. Имајќи предвид дека обично на различни подуслуги им се потребни дополнителни. ресурси во различни периоди, можете да извлечете максимални перформанси од еден сервер ако правилно ги планирате и балансирате ќелиите помеѓу серверите. Доколку е потребно, на клетките може да им се дадат и ограничувања на користениот ресурс.

Што е со целосна виртуелизација?

Колку што знам, cbsd ја поддржува работата bhyve и XEN хипервизори. Вториот никогаш не сум го користел, но првиот е релативно нов хипервизор од FreeBSD. Ќе разгледаме пример за употреба bhyve во примерот подолу.

Инсталирање и конфигурирање на околината на домаќинот

Ние користиме FS ZFS. Ова е исклучително моќна алатка за управување со просторот на серверот. Благодарение на ZFS, можете директно да изградите низи од различни конфигурации од дискови, динамично „жешко“ да го проширите просторот, да менувате мртви дискови, да управувате со снимки и многу, многу повеќе, што може да се опише во цела серија написи. Да се ​​вратиме на нашиот сервер и неговите дискови. На почетокот на инсталацијата, оставивме слободен простор на дисковите за шифрирани партиции. Зошто е тоа? Ова е така што системот автоматски се буди и слуша преку SSH.

gpart add -t freebsd-zfs /dev/ada0

/dev/ada0p4 added!

додадете партиција на дискот на преостанатиот простор

geli init /dev/ada0p4

внесете ја нашата лозинка за шифрирање

geli attach /dev/ada0p4

Повторно ја внесуваме лозинката и имаме уред /dev/ada0p4.eli - ова е нашиот шифриран простор. Потоа го повторуваме истото за /dev/ada1 и останатите дискови во низата. И создаваме нов ЗФС базен.

zpool create vms mirror /dev/ada0p4.eli /dev/ada1p4.eli /dev/ada3p4.eli - Па, го имаме спремен минималниот борбен комплет. Прегледана низа од дискови во случај еден од трите да не успее.

Создавање база на податоци за нов „базен“

zfs create vms/jails

pkg install cbsd — Лансиравме тим и воспоставивме управување со нашите ќелии.

По cbsd инсталиран, треба да се иницијализира:

# env workdir="/vms/jails" /usr/local/cbsd/sudoexec/initenv

Па, ние одговараме на еден куп прашања, главно со стандардни одговори.

*Ако користите шифрирање, важно е демонот cbsdd не започна автоматски се додека не ги дешифрирате дисковите рачно или автоматски (во нашиот пример тоа го прави zabbix)

**Јас исто така не користам NAT од cbsd, и јас самиот го конфигурирам во pf.

# sysrc pf_enable=YES

# ee /etc/pf.conf

IF_PUBLIC="em0"
IP_PUBLIC="1.23.34.56"
JAIL_IP_POOL="192.168.0.0/24"

#WHITE_CL="{ 127.0.0.1 }"

icmp_types="echoreq"

set limit { states 20000, frags 20000, src-nodes 20000 }
set skip on lo0
scrub in all

#NAT for jails
nat pass on $IF_PUBLIC from $JAIL_IP_POOL to any -> $IP_PUBLIC

## Bitcoin network port forward
IP_JAIL="192.168.0.1"
PORT_JAIL="{8333}"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

# service pf start

# pfctl -f /etc/pf.conf

Поставувањето политики за заштитен ѕид е исто така посебна тема, така што нема да навлегувам длабоко во поставувањето на политиката БЛОКИРАЈ СИТЕ и поставување бели листи, тоа можете да го направите со читање официјална документација или која било од огромниот број статии достапни на Google.

Па... имаме инсталирано cbsd, време е да го создадеме нашиот прв работник - затворениот демон на Биткоин!

cbsd jconstruct-tui

Овде го гледаме дијалогот за создавање ќелија. Откако ќе се постават сите вредности, ајде да создадеме!

Кога ја креирате вашата прва ќелија, треба да изберете што да користите како основа за ќелиите. Избирам дистрибуција од складиштето на FreeBSD со командата repo. Овој избор се прави само кога се креира првата ќелија од одредена верзија (може да се хостираат ќелии од која било верзија што е постара од верзијата на домаќинот).

Откако ќе се инсталира сè, го лансираме кафезот!

# cbsd jstart bitcoind

Но, ние треба да инсталираме софтвер во кафезот.

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind

jexec bitcoind за да влезете во конзолата на ќелијата

и веќе внатре во ќелијата го инсталираме софтверот со неговите зависности (нашиот систем на домаќин останува чист)

bitcoind:/@[15:25] # pkg install bitcoin-daemon bitcoin-utils

bitcoind:/@[15:30] # sysrc bitcoind_enable=YES

bitcoind:/@[15:30] # service bitcoind start

Има Биткоин во кафезот, но ни треба анонимност бидејќи сакаме да се поврземе со некои кафези преку ТОП мрежата. Општо земено, планираме повеќето ќелии да ги извршуваме со сомнителен софтвер само преку прокси. Благодарение на pf Можете да го оневозможите NAT за одреден опсег на IP адреси на локалната мрежа и да дозволите NAT само за нашиот TOR јазол. Така, дури и ако малициозен софтвер влезе во ќелијата, најверојатно нема да комуницира со надворешниот свет, а ако го направи тоа, нема да ја открие IP-а на нашиот сервер. Затоа, создаваме друга ќелија за „препраќање“ на услугите како услуга „.onion“ и како прокси за пристап до Интернет до поединечни ќелии.

# cbsd jsconstruct-tui

# cbsd jstart tor

# jexec tor

tor:/@[15:38] # pkg install tor

tor:/@[15:38] # sysrc tor_enable=YES

tor:/@[15:38] # ee /usr/local/etc/tor/torrc

Поставете да слушате на локална адреса (достапна за сите ќелии)

SOCKSPort 192.168.0.2:9050

Што друго ни треба за целосна среќа? Да, ни треба услуга за нашата веб-страница, можеби повеќе од една. Ајде да го лансираме nginx, кој ќе дејствува како обратен прокси и ќе се грижи за обновување на сертификатите Let’s Encrypt

# cbsd jsconstruct-tui

# cbsd jstart nginx-rev

# jexec nginx-rev

nginx-rev:/@[15:47] # pkg install nginx py36-certbot

И така ставивме 150 MB зависности во кафез. А домаќинот е уште чист.

Ајде да се вратиме на поставувањето на nginx подоцна, треба да подигнеме уште две ќелии за нашиот портал за плаќање на nodejs and rust и веб-апликација, која поради некоја причина е во Apache и PHP, а втората исто така бара MySQL база на податоци.

# cbsd jsconstruct-tui

# cbsd jstart paygw

# jexec paygw

paygw:/@[15:55] # pkg install git node npm

paygw:/@[15:55] # curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh

...и изолирани уште 380 MB пакети

Следно, ја преземаме нашата апликација со git и ја стартуваме.

# cbsd jsconstruct-tui

# cbsd jstart webapp

# jexec webapp

webapp:/@[16:02] # pkg install mariadb104-server apache24 php74 mod_php74 php74-pdo_mysql

Пакети од 450 MB. во кафез.

овде му даваме пристап на развивачот преку SSH директно до ќелијата, тие сами ќе направат сè таму:

webapp:/@[16:02] # ee /etc/ssh/sshd_config

Port 2267 — сменете ја SSH портата на ќелијата во која било произволна

webapp:/@[16:02] # sysrc sshd_enable=YES

webapp:/@[16:02] # service sshd start

Па, услугата работи, останува само да се додаде правилото pf ѕид

Ајде да видиме каква IP адреса имаат нашите ќелии и како генерално изгледа нашата „локална област“.

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind
     2  192.168.0.2     tor.space.com                 /zroot/jails/jails/tor
     3  192.168.0.3     nginx-rev.space.com           /zroot/jails/jails/nginx-rev
     4  192.168.0.4     paygw.space.com               /zroot/jails/jails/paygw
     5  192.168.0.5     webapp.my.domain              /zroot/jails/jails/webapp

и додадете правило

# ee /etc/pf.conf

## SSH for web-Devs
IP_JAIL="192.168.0.5"
PORT_JAIL="{ 2267 }"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

Па, бидејќи сме тука, ајде да додадеме и правило за обратно прокси:

## web-ports for nginx-rev
IP_JAIL="192.168.0.3"
PORT_JAIL="{ 80, 443 }"
rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL

# pfctl -f /etc/pf.conf

Па, сега малку за биткоини

Она што го имаме е дека имаме веб-апликација која е изложена надворешно и зборува локално со нашиот портал за плаќање. Сега треба да подготвиме работна средина за интеракција со самата мрежа на Биткоин - јазолот bitcoind тоа е само демон кој ја одржува локалната копија на блокчејнот ажурирана. Овој демон има функционалност за RPC и паричник, но има попогодни „обвивки“ за развој на апликации. За почеток, решивме да ставиме electrum е CLI паричник. Овој паричник ќе го користиме како „ладно складирање“ за нашите биткоини - генерално, оние биткоини што ќе треба да се складираат „надвор“ од системот достапен за корисниците и генерално далеку од сите. Има и GUI, така што ќе го користиме истиот паричник на нашиот
лаптопи. Засега ќе користиме Electrum со јавни сервери, а подоцна ќе го подигнеме во друга ќелија ElectrumXза воопшто да не зависи од никого.

# cbsd jsconstruct-tui

# cbsd jstart electrum

# jexec electrum

electrum:/@[8:45] # pkg install py36-electrum

уште 700 MB софтвер во нашиот кафез

electrum:/@[8:53] # adduser

Username: wallet
Full name: 
Uid (Leave empty for default): 
Login group [wallet]: 
Login group is wallet. Invite wallet into other groups? []: 
Login class [default]: 
Shell (sh csh tcsh nologin) [sh]: tcsh
Home directory [/home/wallet]: 
Home directory permissions (Leave empty for default): 
Use password-based authentication? [yes]: no
Lock out the account after creation? [no]: 
Username   : wallet
Password   : <disabled>
Full Name  : 
Uid        : 1001
Class      : 
Groups     : wallet 
Home       : /home/wallet
Home Mode  : 
Shell      : /bin/tcsh
Locked     : no
OK? (yes/no): yes
adduser: INFO: Successfully added (wallet) to the user database.
Add another user? (yes/no): no
Goodbye!
electrum:/@[8:53] # su wallet

electrum:/@[8:53] # su wallet

wallet@electrum:/ % electrum-3.6 create

{
    "msg": "Please keep your seed in a safe place; if you lose it, you will not be able to restore your wallet.",
    "path": "/usr/home/wallet/.electrum/wallets/default_wallet",
    "seed": "jealous win pig material ribbon young punch visual okay cactus random bird"
}

Сега имаме создаден паричник.

wallet@electrum:/ % electrum-3.6 listaddresses

[
    "18WEhbjvMLGRMfwudzUrUd25U5C7uZYkzE",
    "14XHSejhxsZNDRtk4eFbqAX3L8rftzwQQU",
    "1KQXaN8RXiCN1ne9iYngUWAr6KJ6d4pPas",
    ...
    "1KeVcAwEYhk29qEyAfPwcBgF5mMMoy4qjw",
    "18VaUuSeBr6T2GwpSHYF3XyNgLyLCt1SWk"
]

wallet@electrum:/ % electrum-3.6 help

На нашите на синџир Само ограничен број луѓе отсега ќе можат да се поврзат со паричникот. За да не се отвори пристап до оваа ќелија однадвор, врските преку SSH ќе се случуваат преку TOP (децентрализирана верзија на VPN). Го стартуваме SSH во ќелијата, но не го допирајте нашиот pf.conf на домаќинот.

electrum:/@[9:00] # sysrc sshd_enable=YES

electrum:/@[9:00] # service sshd start

Сега да ја исклучиме ќелијата со пристап до Интернет на паричникот. Ајде да му дадеме IP адреса од друг простор на подмрежа што не е NATed. Прво да се смениме /etc/pf.conf на домаќинот

# ee /etc/pf.conf

JAIL_IP_POOL="192.168.0.0/24" ајде да го промениме во JAIL_IP_POOL="192.168.0.0/25", со што сите адреси 192.168.0.126-255 нема да имаат директен пристап до Интернет. Еден вид софтверска мрежа „air-gap“. И правилото NAT останува како што беше

nat pass on $IF_PUBLIC from $JAIL_IP_POOL to any -> $IP_PUBLIC

Преоптоварување на правилата

# pfctl -f /etc/pf.conf

Сега да ја преземеме нашата ќелија

# cbsd jconfig jname=electrum

jset mode=quiet jname=electrum ip4_addr="192.168.0.200"
Remove old IP: /sbin/ifconfig em0 inet 192.168.0.6 -alias
Setup new IP: /sbin/ifconfig em0 inet 192.168.0.200 alias
ip4_addr: 192.168.0.200

Хм, но сега самиот систем ќе престане да работи кај нас. Сепак, можеме да одредиме системски прокси. Но, има една работа, на TOR тоа е прокси SOCKS5, а за погодност би сакале и HTTP прокси.

# cbsd jsconstruct-tui

# cbsd jstart polipo

# jexec polipo

polipo:/@[9:28] # pkg install polipo

polipo:/@[9:28] # ee /usr/local/etc/polipo/config

socksParentProxy = "192.168.0.2:9050"
socksProxyType = socks5

polipo:/@[9:42] # sysrc polipo_enable=YES

polipo:/@[9:43] # service polipo start

Па, сега има два прокси-сервери во нашиот систем, и двата излезат преку TOR: socks5://192.168.0.2:9050 и http://192.168.0.6:8123

Сега можеме да ја конфигурираме околината на нашиот паричник

# jexec electrum

electrum:/@[9:45] # su wallet

wallet@electrum:/ % ee ~/.cshrc

#in the end of file proxy config
setenv http_proxy http://192.168.0.6:8123
setenv https_proxy http://192.168.0.6:8123

Па, сега школката ќе работи од под прокси. Ако сакаме да инсталираме пакети, тогаш треба да додадеме во /usr/local/etc/pkg.conf од под коренот на кафезот

pkg_env: {
               http_proxy: "http://my_proxy_ip:8123",
           }

Па, сега е време да ја додадеме скриената услуга TOR како адреса на нашата услуга SSH во кафезот на паричникот.

# jexec tor

tor:/@[9:59] # ee /usr/local/etc/tor/torrc

HiddenServiceDir /var/db/tor/electrum/
HiddenServicePort 22 192.168.0.200:22

tor:/@[10:01] # mkdir /var/db/tor/electrum

tor:/@[10:01] # chown -R _tor:_tor /var/db/tor/electrum

tor:/@[10:01] # chmod 700 /var/db/tor/electrum

tor:/@[10:03] # service tor restart

tor:/@[10:04] # cat /var/db/tor/electrum/hostname

mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion

Ова е нашата адреса за поврзување. Ајде да провериме од локалната машина. Но, прво треба да го додадеме нашиот SSH клуч:

wallet@electrum:/ % mkdir ~/.ssh

wallet@electrum:/ % ee ~/.ssh/authorized_keys

ecdsa-sha2-nistp521 AAAAE2VjZHNhLXNoYTItbmlzdHA1MjEAAAAIbmlzdHA1MjEAAACFBAG9Fk2Lqi4GQ8EXZrsH3EgSrVIQPQaAlS38MmJLBabihv9KHIDGXH7r018hxqLNNGbaJWO/wrWk7sG4T0yLHAbdQAFsMYof9kjoyuG56z0XZ8qaD/X/AjrhLMsIoBbUNj0AzxjKNlPJL4NbHsFwbmxGulKS0PdAD5oLcTQi/VnNdU7iFw== user@local

Па, од машина за клиент на Линукс

user@local ~$ nano ~/.ssh/config

#remote electrum wallet
Host remotebtc
        User wallet
        Port 22
        Hostname mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion
        ProxyCommand /bin/ncat --proxy localhost:9050 --proxy-type socks5 %h %p

Ајде да се поврземе (За ова да функционира, потребен ви е локален TOR демон кој слуша на 9050)

user@local ~$ ssh remotebtc

The authenticity of host 'mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion (<no hostip for proxy command>)' can't be established.
ECDSA key fingerprint is SHA256:iW8FKjhVF4yyOZB1z4sBkzyvCM+evQ9cCL/EuWm0Du4.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion' (ECDSA) to the list of known hosts.
FreeBSD 12.1-RELEASE-p1 GENERIC 
To save disk space in your home directory, compress files you rarely
use with "gzip filename".
        -- Dru <[email protected]>
wallet@electrum:~ % logout

Успех!

За да работиме со инстант и микро-плаќања, ни треба и јазол Молња мрежа, всушност, ова ќе биде нашата главна работна алатка со Bitcoin. U*в-молњашто ќе го користиме како демон е Sparko приклучок, кој е полноправен HTTP (REST) ​​интерфејс и ви овозможува да работите и со трансакции надвор од синџирот и преку синџир. c-lightning потребни за функционирање bitcoind но да.

*Постојат различни имплементации на протоколот Lightning Network на различни јазици. Од оние што ги тестиравме, c-lightning (напишан во C) се чинеше најстабилен и најефикасен за ресурси

# cbsd jsconstruct-tui

# cbsd jstart cln

# jexec cln

lightning:/@[10:23] # adduser

Username: lightning
...

lightning:/@[10:24] # pkg install git

lightning:/@[10:23] # su lightning

cd ~ && git clone https://github.com/ElementsProject/lightning

lightning@lightning:~ % exit

lightning:/@[10:30] # cd /home/lightning/lightning/

lightning:/home/lightning/lightning@[10:31] # pkg install autoconf automake gettext git gmp gmake libtool python python3 sqlite3 libsodium py36-mako bash bitcoin-utils

lightning:/home/lightning/lightning@[10:34] # ./configure && gmake && gmake install

Додека сè што е потребно е компајлирано и инсталирано, ајде да создадеме корисник RPC за lightningd в bitcoind

# jexec bitcoind

bitcoind:/@[10:36] # ee /usr/local/etc/bitcoin.conf

rpcbind=192.168.0.1
rpcuser=test
rpcpassword=test
#allow only c-lightning
rpcallowip=192.168.0.7/32

bitcoind:/@[10:39] # service bitcoind restart

Моето хаотично префрлување помеѓу ќелиите се покажува дека не е толку хаотично ако ја забележите корисноста tmux, што ви овозможува да креирате повеќе терминални потсесии во рамките на една сесија. Аналоген: screen

Значи, не сакаме да ја откриеме вистинската IP адреса на нашиот јазол и сакаме да ги спроведеме сите финансиски трансакции преку ТОП. Затоа, уште еден .кромид не е потребен.

# jexec tor

tor:/@[9:59] # ee /usr/local/etc/tor/torrc

HiddenServiceDir /var/db/tor/cln/
HiddenServicePort 9735 192.168.0.7:9735

tor:/@[10:01] # mkdir /var/db/tor/cln

tor:/@[10:01] # chown -R _tor:_tor /var/db/tor/cln

tor:/@[10:01] # chmod 700 /var/db/tor/cln

tor:/@[10:03] # service tor restart

tor:/@[10:04] # cat /var/db/tor/cln/hostname

en5wbkavnytti334jc5uzaudkansypfs6aguv6kech4hbzpcz2ove3yd.onion

Сега ајде да создадеме конфигурација за c-lightning

lightning:/home/lightning/lightning@[10:31] # su lightning

lightning@lightning:~ % mkdir .lightning

lightning@lightning:~ % ee .lightning/config

alias=My-LN-Node
bind-addr=192.168.0.7:9735
rgb=ff0000
announce-addr=en5wbkavnytti334jc5uzaudkansypfs6aguv6kech4hbzpcz2ove3yd.onion:9735
network=bitcoin
log-level=info
fee-base=0
fee-per-satoshi=1
proxy=192.168.0.2:9050
log-file=/home/lightning/.lightning/c-lightning.log
min-capacity-sat=200000

# sparko plugin
# https://github.com/fiatjaf/lightningd-gjson-rpc/tree/master/cmd/sparko

sparko-host=192.168.0.7
sparko-port=9737

sparko-tls-path=sparko-tls

#sparko-login=mywalletusername:mywalletpassword

#sparko-keys=masterkey;secretread:+listchannels,+listnodes;secretwrite:+invoice,+listinvoices,+delinvoice,+decodepay,+waitpay,+waitinvoice
sparko-keys=masterkey;secretread:+listchannels,+listnodes;ultrawrite:+invoice,+listinvoices,+delinvoice,+decodepay,+waitpay,+waitinvoice
# for the example above the initialization logs (mixed with lightningd logs) should print something like

lightning@lightning:~ % mkdir .lightning/plugins

lightning@lightning:~ % cd .lightning/plugins/

lightning@lightning:~/.lightning/plugins:% fetch https://github.com/fiatjaf/sparko/releases/download/v0.2.1/sparko_full_freebsd_amd64

lightning@lightning:~/.lightning/plugins % mkdir ~/.lightning/sparko-tls

lightning@lightning:~/.lightning/sparko-tls % cd ~/.lightning/sparko-tls

lightning@lightning:~/.lightning/sparko-tls % openssl genrsa -out key.pem 2048

lightning@lightning:~/.lightning/sparko-tls % openssl req -new -x509 -sha256 -key key.pem -out cert.pem -days 3650

lightning@lightning:~/.lightning/plugins % chmod +x sparko_full_freebsd_amd64

lightning@lightning:~/.lightning/plugins % mv sparko_full_freebsd_amd64 sparko

lightning@lightning:~/.lightning/plugins % cd ~

исто така треба да креирате конфигурациска датотека за bitcoin-cli, алатка која комуницира со bitcoind

lightning@lightning:~ % mkdir .bitcoin

lightning@lightning:~ % ee .bitcoin/bitcoin.conf

rpcconnect=192.168.0.1
rpcuser=test
rpcpassword=test

провери

lightning@lightning:~ % bitcoin-cli echo "test"

[
  "test"
]

лансира lightningd

lightning@lightning:~ % lightningd --daemon

Самиот lightningd можете да ја контролирате алатката lightning-cli, на пример:

lightning-cli newaddr добијте ја адресата за ново дојдовно плаќање

{
   "address": "bc1q2n2ffq3lplhme8jufcxahfrnfhruwjgx3c78pv",
   "bech32": "bc1q2n2ffq3lplhme8jufcxahfrnfhruwjgx3c78pv"
}

lightning-cli withdraw bc1jufcxahfrnfhruwjgx3cq2n2ffq3lplhme878pv all испратете ги сите пари во паричникот на адресата (сите адреси на синџирот)

Исто така команди за операции надвор од синџирот lightning-cli invoice, lightning-cli listinvoices, lightning-cli pay и така натаму

Па, за комуникација со апликацијата имаме REST Api

curl -k https://192.168.0.7:9737/rpc -d '{"method": "pay", "params": ["lnbc..."]}' -H 'X-Access masterkey'

Сумира

# jls

   JID  IP Address      Hostname                      Path
     1  192.168.0.1     bitcoind.space.com            /zroot/jails/jails/bitcoind
     2  192.168.0.2     tor.space.com                 /zroot/jails/jails/tor
     3  192.168.0.3     nginx-rev.space.com           /zroot/jails/jails/nginx-rev
     4  192.168.0.4     paygw.space.com               /zroot/jails/jails/paygw
     5  192.168.0.5     webapp.my.domain              /zroot/jails/jails/webapp
     7  192.168.0.200   electrum.space.com            /zroot/jails/jails/electrum
     8  192.168.0.6     polipo.space.com              /zroot/jails/jails/polipo
     9  192.168.0.7     lightning.space.com           /zroot/jails/jails/cln

Имаме сет на контејнери, секој со свое ниво на пристап и од и до локалната мрежа.

# zfs list

NAME                    USED  AVAIL  REFER  MOUNTPOINT
zroot                   279G  1.48T    88K  /zroot
zroot/ROOT             1.89G  1.48T    88K  none
zroot/ROOT/default     1.89G  17.6G  1.89G  /
zroot/home               88K  1.48T    88K  /home
zroot/jails             277G  1.48T   404M  /zroot/jails
zroot/jails/bitcoind    190G  1.48T   190G  /zroot/jails/jails-data/bitcoind-data
zroot/jails/cln         653M  1.48T   653M  /zroot/jails/jails-data/cln-data
zroot/jails/electrum    703M  1.48T   703M  /zroot/jails/jails-data/electrum-data
zroot/jails/nginx-rev   190M  1.48T   190M  /zroot/jails/jails-data/nginx-rev-data
zroot/jails/paygw      82.4G  1.48T  82.4G  /zroot/jails/jails-data/paygw-data
zroot/jails/polipo     57.6M  1.48T  57.6M  /zroot/jails/jails-data/polipo-data
zroot/jails/tor        81.5M  1.48T  81.5M  /zroot/jails/jails-data/tor-data
zroot/jails/webapp      360M  1.48T   360M  /zroot/jails/jails-data/webapp-data

Како што можете да видите, биткоинот ги зафаќа сите 190 GB простор. Што ако ни треба друг јазол за тестови? Ова е местото каде што ZFS доаѓа добро. Со помош cbsd jclone old=bitcoind new=bitcoind-clone host_hostname=clonedbtc.space.com можете да креирате слика и да прикачите нова ќелија на оваа слика. Новата ќелија ќе има свој простор, но само разликата помеѓу моменталната состојба и оригиналот ќе се земе предвид во датотечниот систем (ќе заштедиме најмалку 190 GB)

Секоја ќелија е сопствена посебна база на податоци на ZFS, и ова е исклучително погодно. ЗФС исто така дозволува правете разни други интересни работи, како испраќање снимки преку SSH. Нема да го опишеме, веќе има многу.

Исто така, вреди да се напомене потребата за далечинско следење на домаќинот, за овие цели што ги имаме Zabbix.

Б - безбедност

Во однос на безбедноста, да тргнеме од клучните принципи во контекст на инфраструктурата:

Доверливост - Стандардните алатки на системи слични на UNIX обезбедуваат имплементација на овој принцип. Логично го одделуваме пристапот до секој логички одделен елемент на системот - ќелија. Пристапот се обезбедува преку стандардна автентикација на корисникот со користење на личните клучеви на корисниците. Целата комуникација помеѓу и до крајните ќелии се случува во шифрирана форма. Благодарение на шифрирањето на дискот, не мора да се грижиме за безбедноста на податоците при замена на диск или при мигрирање на друг сервер. Единствениот критичен пристап е пристапот до системот на домаќинот, бидејќи таквиот пристап генерално обезбедува пристап до податоците во контејнерите.

Интегритет „Имплементацијата на овој принцип се случува на неколку различни нивоа. Прво, важно е да се забележи дека во случајот на хардверот на серверот, ECC меморијата, ZFS веќе „надвор од кутијата“ се грижи за интегритетот на податоците на ниво на информациски битови. Инстант снимките ви овозможуваат да правите резервни копии во секое време додека сте во лет. Практичните алатки за извоз/увоз на ќелии ја прават репликацијата на клетките едноставна.

Достапност - Ова е веќе опционално. Зависи од степенот на твојата слава и од фактот дека имаш хејтери. Во нашиот пример, обезбедивме дека паричникот е достапен исклучиво од ТОП мрежата. Доколку е потребно, можете да блокирате сè на заштитниот ѕид и да дозволите пристап до серверот исклучиво преку тунели (TOR или VPN е друга работа). Така, серверот ќе биде колку што е можно отсечен од надворешниот свет, а само ние самите ќе можеме да влијаеме на неговата достапност.

Неможност за одбивање - И ова зависи од понатамошното работење и усогласеноста со правилните политики за кориснички права, пристап итн. Но, со правилен пристап, сите кориснички дејства се ревидираат, а благодарение на криптографските решенија е можно недвосмислено да се идентификува кој и кога извршил одредени дејства.

Се разбира, опишаната конфигурација не е апсолутен пример за тоа како треба секогаш да биде, туку е еден пример за тоа како може да биде, додека задржува многу флексибилни можности за скалирање и прилагодување.

Што е со целосна виртуелизација?

За целосна виртуелизација користејќи cbsd можете прочитај тука. Ќе го додадам само за работа bhyve Треба да овозможите некои опции на кернелот.

# cat /etc/rc.conf

...
kld_list="vmm if_tap if_bridge nmdm"
...

# cat /boot/loader.conf

...
vmm_load="YES"
...

Значи, ако одеднаш треба да стартувате докер, тогаш инсталирајте некој дебиан и одете!

Тоа е се

Претпоставувам дека тоа е сè што сакав да споделам. Ако ви се допадна статијата, тогаш можете да ми испратите неколку биткоини - bc1qu7lhf45xw83ddll5mnzte6ahju8ktkeu6qhttc. Ако сакате да ги испробате ќелиите во акција и да имате некои биткоини, можете да отидете на мојот домашно милениче-проект.

Извор: www.habr.com