एक पिंजरे में बिटकॉइन?

ऐसा हुआ कि मैं कंप्यूटर सिस्टम और नेटवर्क का एक पेशेवर प्रशासक हूं (संक्षेप में: sysadmin), और मैं प्रोफ बताने के लिए हुआ। उपरोक्त सुरक्षा उपायों के लिए [सहित] की आवश्यकता वाले सिस्टमों की एक विस्तृत विविधता की गतिविधि। और यह पता चला कि कुछ समय पहले मैंने बिटकॉइन को अपने लिए दिलचस्प पाया, और न केवल इसका इस्तेमाल किया, बल्कि विकास के दृष्टिकोण से बिटकॉइन नेटवर्क (यह सब के बाद भी) के साथ स्वतंत्र रूप से काम करने के लिए सीखने के लिए कई सूक्ष्म सेवाओं का शुभारंभ किया। (मैं, ज़ाहिर है, इस तरह के एक dev हूँ, इसलिए, द्वारा पारित)। लेकिन मैं विकास के बारे में बात नहीं कर रहा हूं, मैं अनुप्रयोगों के लिए एक सुरक्षित और प्रभावी वातावरण के बारे में बात कर रहा हूं।

वित्तीय प्रौद्योगिकियां ( फिनटेक ) सूचना सुरक्षा ( इन्फोसिस ) के साथ-साथ चलती हैं और पहले दूसरे के बिना काम कर सकती हैं, लेकिन लंबे समय तक नहीं। इसलिए मैं अपना अनुभव और मेरे द्वारा उपयोग किए जाने वाले उपकरणों के सेट को साझा करना चाहता हूं, जिसमें फिनटेक और इन्फोसिक दोनों शामिल हैं, और साथ ही, यह एक व्यापक या पूरी तरह से अलग उद्देश्य के लिए भी इस्तेमाल किया जा सकता है। इस लेख में मैं आपको बिटकॉइन के बारे में इतना नहीं बताऊंगा, लेकिन एक शब्द में उन सभी सेवाओं - जहां "बी" मायने रखता है, के विकास और वित्तीय (और न केवल) सेवाओं के विकास के बुनियादी ढांचे के मॉडल के बारे में। यह बिटकॉइन एक्सचेंज और किसी भी तरह से बिटकॉइन के साथ एक छोटी कंपनी की सेवाओं के सबसे विशिष्ट कॉर्पोरेट चिड़ियाघर के लिए लागू होता है।

मैं यह नोट करना चाहता हूं कि मैं "इसे बेवकूफ़ बनाये रखता हूँ " के सिद्धांतों का समर्थक हूँ और "कम ज्यादा है" , इसलिए लेख और उसमें वर्णित दोनों के गुण होंगे जिनके बारे में ये सिद्धांत हैं।

काल्पनिक परिदृश्य: चलो एक बिटकॉइन एक्सचेंजर के उदाहरण पर एक नज़र डालते हैं। हमने बिटकॉइन्स के लिए रूबल, डॉलर, यूरो का आदान-प्रदान शुरू करने का फैसला किया और इसके विपरीत, और हमारे पास पहले से ही एक कार्यशील समाधान है, लेकिन कीवी और वेबमनी जैसे अन्य डिजिटल पैसे के लिए, अर्थात्। हमने सभी कानूनी मुद्दों को बंद कर दिया है, एक तैयार अनुप्रयोग है जो रूबल, डॉलर और यूरो और अन्य भुगतान प्रणालियों के लिए भुगतान गेटवे के रूप में कार्य करता है। यह हमारे बैंक खातों से जुड़ा हुआ है और हमारे अंतिम अनुप्रयोगों के लिए किसी प्रकार का एपीआई है। हमारे पास एक वेब एप्लिकेशन भी है जो उपयोगकर्ताओं के लिए एक विशिष्ट कीवी या वेबमनी खाते की तरह एक एक्सचेंजर के रूप में कार्य करता है - एक खाता खोलें, एक कार्ड जोड़ें, और इसी तरह। यह LAN में REST API का उपयोग करते हुए, हमारे गेटवे एप्लिकेशन के साथ संचार करता है। और इसलिए हमने बिटकॉइन कनेक्ट करने का फैसला किया और उसी समय बुनियादी ढांचे को अपग्रेड किया, क्योंकि शुरू में मेज के नीचे कार्यालय में आभासी बक्से पर सब कुछ ले जाया गया था ... उन्होंने साइट का उपयोग करना शुरू कर दिया, और हम अपटाइम और प्रदर्शन के बारे में चिंता करने लगे।

तो, चलो मुख्य एक - सर्वर चयन के साथ शुरू करते हैं। क्योंकि हमारे उदाहरण में व्यवसाय छोटा है और हम मेजबान (OVH) पर भरोसा करते हैं, हम एक बजट विकल्प चुनेंगे जिसमें मूल .iso छवि से सिस्टम को स्थापित करना असंभव है, लेकिन यह कोई बात नहीं है, आईटी सुरक्षा विभाग निश्चित रूप से स्थापित छवि का विश्लेषण करेगा। और जब हम बड़े हो जाते हैं, तो हम आम तौर पर सीमित भौतिक पहुंच के साथ ताला और चाबी के तहत अपनी कोठरी किराए पर लेते हैं, या शायद हम अपने स्वयं के डीसी का निर्माण करेंगे। किसी भी मामले में, यह याद रखने योग्य है कि लोहे को काम पर रखने और तैयार चित्रों को स्थापित करने के दौरान, एक मौका है कि आपके सिस्टम में "मेजबान से ट्रोजन" होगा, जो ज्यादातर मामलों में आपको ट्रैक करने के लिए नहीं है, बल्कि अधिक सुविधाजनक प्रबंधन उपकरण प्रदान करने के लिए है। सर्वर।

सर्वर स्थापना

यहां सब कुछ सरल है। हम अपनी आवश्यकताओं के अनुरूप लोहा चुनते हैं। फिर FreeBSD छवि का चयन करें। खैर, या तो हम IPMI के माध्यम से या एक मॉनिटर के साथ (एक अन्य होस्टर और हमारे अपने हार्डवेयर के मामले में) कनेक्ट करते हैं और डाउनलोड के लिए .iso FreeBSD छवि फ़ीड करते हैं। आर्केस्ट्रा प्रतिष्ठानों के लिए, मैं Ansible और mfsbsd का उपयोग करता हूं । केवल एक चीज, किम्शुफी के साथ हमारे मामले में, हमने कस्टम इंस्टॉलेशन को चुना ताकि मिरर में दो डिस्क में केवल "बूट" और / होम पार्टिशन "ओपन" हो, बाकी डिस्क स्पेस को एन्क्रिप्ट किया जाएगा, लेकिन बाद में उस पर और अधिक।

सिस्टम को मानक तरीके से स्थापित किया गया है, मैं वहां नहीं bsdinstaller , मैं बस ध्यान देता हूं कि ऑपरेशन शुरू करने से पहले, सख्त विकल्पों पर ध्यान दें, जो स्थापना के अंत में bsdinstaller प्रदान करता है (यदि आप सिस्टम को स्वयं स्थापित करते हैं):

इस विषय पर अच्छी सामग्री है , संक्षेप में मैं इसे यहां दोहराऊंगा।

पहले से स्थापित सिस्टम पर उसी तरह से उपरोक्त मापदंडों को सक्षम करना संभव है। ऐसा करने के लिए, बूटलोडर फ़ाइल को संपादित करें और कर्नेल पैरामीटर को सक्षम करें। * ee बीएसडी में इस तरह का एक संपादक है

# ee /etc/rc.conf

 ... #sec hard clear_tmp_enable="YES" syslogd_flags="-ss" sendmail_enable="NONE" 

# ee /etc/sysctl.conf

 ... #sec hard security.bsd.see_other_uids=0 security.bsd.see_other_gids=0 security.bsd.unprivileged_read_msgbuf=0 security.bsd.unprivileged_proc_debug=0 kern.randompid=$(jot -r 1 9999) security.bsd.stack_guard_page=1 

यह भी सुनिश्चित करने के लायक है कि आपके पास स्थापित सिस्टम का नवीनतम संस्करण है, और सभी अपडेट और अपग्रेड को पूरा करें । हमारे मामले में, उदाहरण के लिए, नवीनतम संस्करण के उन्नयन की आवश्यकता है, क्योंकि पूर्व-स्थापना चित्र छह महीने से एक वर्ष पीछे हैं। खैर, हम डिफ़ॉल्ट रूप से SSH पोर्ट को अलग-अलग बदल देते हैं, कुंजी प्रमाणीकरण जोड़ते हैं और इसे पासवर्ड से अक्षम करते हैं।

तब हम aide कॉन्फ़िगर करते हैं, सिस्टम कॉन्फ़िगरेशन फ़ाइलों की स्थिति की निगरानी करते हैं। अधिक चबाया जा सकता है यहां पढ़ा जा सकता है ।

pkg install aide

और हमारे crontab को संपादित करें

crontab -e

06 01 * * 0-6 /root/chkaide.sh

 #! /bin/sh #chkaide.sh MYDATE=`date +%Y-%m-%d` MYFILENAME="Aide-"$MYDATE.txt /bin/echo "Aide check !! `date`" > /tmp/$MYFILENAME /usr/local/bin/aide --check > /tmp/myAide.txt /bin/cat /tmp/myAide.txt|/usr/bin/grep -v failed >> /tmp/$MYFILENAME /bin/echo "**************************************" >> /tmp/$MYFILENAME /usr/bin/tail -20 /tmp/myAide.txt >> /tmp/$MYFILENAME /bin/echo "****************DONE******************" >> /tmp/$MYFILENAME 

सिस्टम ऑडिटिंग चालू करें

sysrc auditd_enable=YES

# service auditd start

इस व्यवसाय को कैसे प्रबंधित करें यह मैनुअल में अच्छी तरह से वर्णित है।

अब हम रिबूट करते हैं और सर्वर पर सॉफ्टवेयर के साथ आगे बढ़ते हैं। प्रत्येक सर्वर कंटेनरों या पूर्ण आभासी मशीनों के लिए एक हाइपरविजर है। इसलिए, यह महत्वपूर्ण है कि अगर हम पूर्ण वर्चुअलाइजेशन का उपयोग करने की योजना बनाते हैं, तो प्रोसेसर वीटी-एक्स और ईपीटी का समर्थन करता है।

एक कंटेनर और आभासी मशीन प्रबंधन के रूप में, मैं ओलेवोल से clevd का उपयोग करता हूं , मैं इस अद्भुत उपयोगिता के लिए उसके अधिक स्वास्थ्य और लाभ की कामना करता हूं!

कंटेनर? फिर से डॉकटर या क्या?

लेकिन नहीं। FreeBSD जेल एक महान कंटेनरीकरण उपकरण है, लेकिन जिस cbsd उल्लेख किया गया है cbsd इन कंटेनरों को ऑर्केस्ट्रेट करने के लिए है, जिनका नाम कोशिकाओं है।

एक सेल विभिन्न प्रयोजनों के लिए बुनियादी ढांचे के निर्माण के लिए एक अत्यंत प्रभावी समाधान है, जिसे अंततः व्यक्तिगत सेवाओं या प्रक्रियाओं के पूर्ण अलगाव की आवश्यकता होती है। यह अनिवार्य रूप से मेजबान प्रणाली का एक क्लोन है, लेकिन इसमें हार्डवेयर के पूर्ण वर्चुअलाइजेशन की आवश्यकता नहीं होती है। और इसके कारण संसाधनों को "अतिथि ओएस" पर खर्च नहीं किया जाता है, लेकिन केवल प्रदर्शन किए गए कार्य पर। जब आंतरिक आवश्यकताओं के लिए कोशिकाओं का उपयोग किया जाता है, तो यह संसाधन के इष्टतम उपयोग के लिए एक बहुत ही सुविधाजनक समाधान है - एक लोहे के सर्वर पर कोशिकाओं का एक गुच्छा यदि आवश्यक हो तो प्रत्येक व्यक्ति पूरे सर्वर संसाधन का उपयोग कर सकता है। यह देखते हुए कि आमतौर पर विभिन्न उप-सेवाओं को अतिरिक्त की आवश्यकता होती है। संसाधनों को अलग-अलग समय पर, आप एक सर्वर से अधिकतम प्रदर्शन निकाल सकते हैं, यदि आप सही ढंग से सर्वर के बीच की कोशिकाओं को असंतुलित करते हैं। यदि आवश्यक हो, तो कोशिकाएं उपयोग किए गए संसाधन पर सीमाएं भी निर्धारित कर सकती हैं।

पूर्ण वर्चुअलाइजेशन के बारे में क्या?

जहां तक ​​मुझे पता है, cbsd bhyve और XEN हाइपरवाइजर्स के काम का समर्थन करता है। मैंने दूसरे का कभी उपयोग नहीं किया, लेकिन पहला FreeBSD का एक अपेक्षाकृत युवा हाइपरवाइजर है । हम नीचे दिए गए उदाहरण में bhyve का उपयोग करने के एक उदाहरण को bhyve ।

होस्ट वातावरण को स्थापित और कॉन्फ़िगर करें

हम FS ZFS का उपयोग करते हैं। यह सर्वर स्पेस के प्रबंधन के लिए एक अत्यंत शक्तिशाली उपकरण है। ZFS के लिए धन्यवाद, आप सीधे डिस्क से सीधे विभिन्न कॉन्फ़िगरेशन के सरणियों का निर्माण कर सकते हैं, गतिशील रूप से अंतरिक्ष "हॉट" का विस्तार कर सकते हैं, मृत डिस्क बदल सकते हैं, स्नैपशॉट का प्रबंधन कर सकते हैं और बहुत कुछ, जो लेखों की एक श्रृंखला में वर्णित किया जा सकता है। आइए अपने सर्वर और इसके डिस्क पर वापस जाएं। डिस्क पर इंस्टॉलेशन की शुरुआत में, हमने एन्क्रिप्टेड विभाजन के लिए खाली स्थान छोड़ दिया। ऐसा क्यों? ऐसा इसलिए है ताकि सिस्टम अपने आप उठ जाए और SSH को सुन ले।

gpart add -t freebsd-zfs /dev/ada0

/dev/ada0p4 added!

शेष स्थान पर डिस्क विभाजन जोड़ें

geli init /dev/ada0p4

हमारे एन्क्रिप्शन पासवर्ड को ड्राइव करें

geli attach /dev/ada0p4

फिर से पासवर्ड दर्ज करें और हमारे पास डिवाइस /dev/ada0p4.eli है - यह हमारा एन्क्रिप्टेड स्पेस है। फिर हम सरणी में / dev / ada1 और अन्य डिस्क के लिए समान दोहराते हैं। और एक नया ZFS पूल बनाएँ।

zpool create vms mirror /dev/ada0p4.eli /dev/ada1p4.eli /dev/ada3p4.eli - ठीक है, अब हमारे पास न्यूनतम मुकाबला सेट तैयार है। तीन विफलताओं के मामले में एक प्रतिबिंबित डिस्क सरणी।

नए "पूल" पर एक डाटासेट बनाएं

zfs create vms/jails

pkg install cbsd - कमांड चलाएँ, और हमारी कोशिकाओं के लिए प्रबंधन स्थापित करें।

cbsd स्थापित होने के बाद, इसे आरंभीकृत करने की आवश्यकता है:

# env workdir="/vms/jails" /usr/local/cbsd/sudoexec/initenv

खैर, हम सवालों के एक समूह का जवाब देते हैं, ज्यादातर डिफ़ॉल्ट रूप से उत्तर देते हैं।

* यदि आप एन्क्रिप्शन का उपयोग करते हैं, तो यह महत्वपूर्ण है कि जब तक आप मैन्युअल रूप से या स्वचालित रूप से डिस्क को डिक्रिप्ट नहीं करते हैं तब तक cbsdd डेमन स्वचालित रूप से शुरू नहीं होता है (हमारे उदाहरण में, zabbix ऐसा करता है)

** इसके अलावा, मैं cbsd से NAT का उपयोग नहीं करता cbsd , लेकिन इसे स्वयं pf में कॉन्फ़िगर करता हूं।

# sysrc pf_enable=YES

# ee /etc/pf.conf

 IF_PUBLIC="em0" IP_PUBLIC="1.23.34.56" JAIL_IP_POOL="192.168.0.0/24" #WHITE_CL="{ 127.0.0.1 }" icmp_types="echoreq" set limit { states 20000, frags 20000, src-nodes 20000 } set skip on lo0 scrub in all #NAT for jails nat pass on $IF_PUBLIC from $JAIL_IP_POOL to any -> $IP_PUBLIC ## Bitcoin network port forward IP_JAIL="192.168.0.1" PORT_JAIL="{8333}" rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL 

# service pf start

# pfctl -f /etc/pf.conf

फ़ायरवॉल नीतियों को कॉन्फ़िगर करना भी एक अलग विषय है, इसलिए मैं सभी नीतियों को कॉन्फ़िगर करने और श्वेत सूची स्थापित करने में गहराई से नहीं जाता; आप Google पर उपलब्ध आधिकारिक दस्तावेज़ या किसी भी विशाल लेख को पढ़कर ऐसा कर सकते हैं।

ठीक है ... हमने cbsd स्थापित किया है, यह हमारी पहली वर्कहोर बनाने का समय है - एक पिंजरे में एक बिटकॉइन दानव!

cbsd jconstruct-tui

यहां हम सेल निर्माण संवाद देखते हैं। सभी मान सेट होने के बाद, बनाएं!

पहली सेल बनाते समय, आपको यह चुनना चाहिए कि कोशिकाओं के लिए आधार के रूप में क्या उपयोग किया जाए। मैं repo कमांड के साथ फ्रीबीएसडी रिपॉजिटरी से वितरण किट का चयन करता हूं। यह विकल्प केवल एक विशिष्ट संस्करण की पहली सेल बनाते समय किया जाता है (आप किसी भी संस्करण की कोशिकाओं को होस्ट कर सकते हैं जो होस्ट संस्करण से पुराने हैं)।

सब कुछ स्थापित होने के बाद - सेल चलाएं!

# cbsd jstart bitcoind

लेकिन हमें पिंजरे में सॉफ़्टवेयर स्थापित करने की आवश्यकता है।

# jls

  JID IP Address Hostname Path 1 192.168.0.1 bitcoind.space.com /zroot/jails/jails/bitcoind 

सेल कंसोल में जाने के लिए jexec bitcoind

और पहले से ही सेल के अंदर हम इसकी निर्भरता के साथ सॉफ्टवेयर स्थापित करते हैं (हमारा मेजबान सिस्टम साफ रहता है)

bitcoind:/@[15:25] # pkg install bitcoin-daemon bitcoin-utils

bitcoind:/@[15:30] # sysrc bitcoind_enable=YES

bitcoind:/@[15:30] # service bitcoind start

सेल में बिटकॉइन है, लेकिन हमें गुमनामी की आवश्यकता है, क्योंकि हम टॉप नेटवर्क के माध्यम से कुछ कोशिकाओं से जुड़ना चाहते हैं। सामान्य तौर पर, हमारे पास केवल प्रॉक्सी के माध्यम से संदिग्ध सॉफ्टवेयर वाले अधिकांश कोशिकाओं को चालू करने की योजना है। pf के लिए धन्यवाद pf आप स्थानीय नेटवर्क पर विशिष्ट आईपी पते के लिए NAT को अक्षम कर सकते हैं, और NAT को केवल हमारे TOR नोड के लिए अनुमति दे सकते हैं। इस प्रकार, भले ही मैलवेयर सेल में जाता है, यह सबसे अधिक संभावना बाहरी दुनिया से संपर्क नहीं करेगा, और यदि यह होता है, तो यह हमारे सर्वर के आईपी को प्रकट नहीं करेगा। इसलिए, हम एक ".onion" सेवा के रूप में "अग्रेषण" सेवाओं के लिए और व्यक्तिगत कोशिकाओं के लिए इंटरनेट तक पहुँचने के लिए एक प्रॉक्सी के रूप में, एक और सेल बनाते हैं।

# cbsd jsconstruct-tui

# cbsd jstart tor

# jexec tor

tor:/@[15:38] # pkg install tor

tor:/@[15:38] # sysrc tor_enable=YES

tor:/@[15:38] # ee /usr/local/etc/tor/torrc

हम स्थानीय पते पर सुनते हैं (सभी कोशिकाओं के लिए उपलब्ध)

SOCKSPort 192.168.0.2:9050

क्या हम अभी भी पूरी खुशी के लिए गायब हैं। हां, हमें अपने वेब के लिए एक सेवा की आवश्यकता है, शायद एक नहीं। नग्नेक्स चलाएं, जो रिवर्स-प्रॉक्सी के रूप में कार्य करेगा और लेट्स एनक्रिप्ट क्रिएट करने के लिए नए सिरे से ध्यान रखेगा

# cbsd jsconstruct-tui

# cbsd jstart nginx-rev

# jexec nginx-rev

nginx-rev:/@[15:47] # pkg install nginx py36-certbot

और अब हम 150 एमबी निर्भरता को एक पिंजरे में रखते हैं। और मेजबान अभी भी साफ है।

चलो बाद में nginx को कॉन्फ़िगर करने के लिए वापस आते हैं, हमें अपने भुगतान गेटवे से नोडज और जंग और एक वेब एप्लिकेशन के लिए दो और सेल बढ़ाने की आवश्यकता है, जो किसी कारण से अपाचे और पीएचपी पर है, और बाद के लिए MySQL डेटाबेस की भी आवश्यकता है।

# cbsd jsconstruct-tui

# cbsd jstart paygw

# jexec paygw

paygw:/@[15:55] # pkg install git node npm

paygw:/@[15:55] # curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh

... और अलगाव में संकुल के अन्य 380 एमबी

इसके बाद, हम अपने एप्लिकेशन को गिट के साथ पंप करते हैं और इसे चलाते हैं।

# cbsd jsconstruct-tui

# cbsd jstart webapp

# jexec webapp

webapp:/@[16:02] # pkg install mariadb104-server apache24 php74 mod_php74 php74-pdo_mysql

450 एमबी पैकेज। पिंजरे में।

यहां हम डेवलपर को सीधे सेल के माध्यम से एसएसएच तक पहुंच प्रदान करते हैं, वे वहां सब कुछ स्वयं करेंगे:

webapp:/@[16:02] # ee /etc/ssh/sshd_config

Port 2267 - एसएसएच सेल के पोर्ट को किसी भी मनमाने तरीके से बदलें

webapp:/@[16:02] # sysrc sshd_enable=YES

webapp:/@[16:02] # service sshd start

खैर, सेवा चल रही है, यह pf फ़ायरवॉल में एक नियम जोड़ने के लिए बनी हुई है

आइए देखें कि हमारे पास कोशिकाओं में आईपी क्या है और हमारा "लोलक" कैसा दिखता है

# jls

  JID IP Address Hostname Path 1 192.168.0.1 bitcoind.space.com /zroot/jails/jails/bitcoind 2 192.168.0.2 tor.space.com /zroot/jails/jails/tor 3 192.168.0.3 nginx-rev.space.com /zroot/jails/jails/nginx-rev 4 192.168.0.4 paygw.space.com /zroot/jails/jails/paygw 5 192.168.0.5 webapp.my.domain /zroot/jails/jails/webapp 

और एक नियम जोड़ें

# ee /etc/pf.conf

 ## SSH for web-Devs IP_JAIL="192.168.0.5" PORT_JAIL="{ 2267 }" rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL 

खैर, जब से हम यहाँ हैं, हम रिवर्स-प्रॉक्सी पर समान नियम जोड़ेंगे:

 ## web-ports for nginx-rev IP_JAIL="192.168.0.3" PORT_JAIL="{ 80, 443 }" rdr pass on $IF_PUBLIC proto tcp from any to $IP_PUBLIC port $PORT_JAIL -> $IP_JAIL 

# pfctl -f /etc/pf.conf

खैर, अब बिटकॉइन के बारे में थोड़ा सा जानते हैं

हमारे पास क्या है - हमारे पास एक वेब एप्लिकेशन है जो बाहर से सुलभ है, और यह हमारे भुगतान गेटवे के साथ स्थानीय रूप से संचार करता है। अब हमें स्वयं बिटकॉइन नेटवर्क के साथ बातचीत के लिए एक कार्यशील वातावरण तैयार करने की आवश्यकता है - बिटकॉइन नोड केवल एक डेमॉन है जो वर्तमान ब्लॉकचेन की एक स्थानीय प्रति का समर्थन करता है। इस डेमॉन में आरपीसी और वॉलेट की कार्यक्षमता है, लेकिन विकासशील अनुप्रयोगों के लिए अधिक सुविधाजनक "रैपर" हैं। शुरू करने के लिए, हमने electrum डालने का फैसला किया - यह एक सीएलआई वॉलेट है। हम इस वॉलेट को अपने बिटकॉइन के लिए "कोल्ड स्टोरेज" के रूप में उपयोग करेंगे - सामान्य तौर पर, उन बिटकॉइन को जिन्हें उपयोगकर्ताओं के लिए सिस्टम को "बाहर" स्टोर करना होगा और आम तौर पर सभी से दूर रहना होगा। उसके पास एक GUI भी है, इसलिए हम उसी वॉलेट का उपयोग करने जा रहे हैं
लैपटॉप। जबकि हम इलेक्ट्रोम का उपयोग सार्वजनिक सर्वरों के साथ करेंगे, और बाद में एक अन्य सेल में हम इलेक्ट्रमएक्स को बढ़ाएंगे, ताकि यह किसी पर भी निर्भर न हो।

# cbsd jsconstruct-tui

# cbsd jstart electrum

# jexec electrum

electrum:/@[8:45] # pkg install py36-electrum

हमारे पिंजरे में एक और 700 एमबी सॉफ्टवेयर

electrum:/@[8:53] # adduser

 Username: wallet Full name: Uid (Leave empty for default): Login group [wallet]: Login group is wallet. Invite wallet into other groups? []: Login class [default]: Shell (sh csh tcsh nologin) [sh]: tcsh Home directory [/home/wallet]: Home directory permissions (Leave empty for default): Use password-based authentication? [yes]: no Lock out the account after creation? [no]: Username : wallet Password : <disabled> Full Name : Uid : 1001 Class : Groups : wallet Home : /home/wallet Home Mode : Shell : /bin/tcsh Locked : no OK? (yes/no): yes adduser: INFO: Successfully added (wallet) to the user database. Add another user? (yes/no): no Goodbye! electrum:/@[8:53] # su wallet 

electrum:/@[8:53] # su wallet

wallet@electrum:/ % electrum-3.6 create

 { "msg": "Please keep your seed in a safe place; if you lose it, you will not be able to restore your wallet.", "path": "/usr/home/wallet/.electrum/wallets/default_wallet", "seed": "jealous win pig material ribbon young punch visual okay cactus random bird" } 

अब हमने एक वॉलेट बनाया है।

wallet@electrum:/ % electrum-3.6 listaddresses

 [ "18WEhbjvMLGRMfwudzUrUd25U5C7uZYkzE", "14XHSejhxsZNDRtk4eFbqAX3L8rftzwQQU", "1KQXaN8RXiCN1ne9iYngUWAr6KJ6d4pPas", ... "1KeVcAwEYhk29qEyAfPwcBgF5mMMoy4qjw", "18VaUuSeBr6T2GwpSHYF3XyNgLyLCt1SWk" ] 

wallet@electrum:/ % electrum-3.6 help

अब से, केवल सीमित लोगों के लोग ही हमारे ऑन-चेन वॉलेट से जुड़ पाएंगे। इस सेल के लिए बाहर से पहुंच न खोलने के लिए, एसएसएच कनेक्शन टीओआर (वीपीएन का ऐसा विकेंद्रीकृत संस्करण) के माध्यम से होगा। हम SSH को सेल में शुरू करते हैं, लेकिन मेजबान पर हमारे pf.conf को स्पर्श नहीं करते हैं।

electrum:/@[9:00] # sysrc sshd_enable=YES

electrum:/@[9:00] # service sshd start

अब वॉलेट के साथ सेल तक इंटरनेट का उपयोग बंद करें। हम इसे दूसरे सबनेट स्पेस से एक आईपी एड्रेस देंगे जो NAT-based नहीं है। सबसे पहले, होस्ट पर /etc/pf.conf बदलें

# ee /etc/pf.conf

JAIL_IP_POOL="192.168.0.0/24" बदलकर JAIL_IP_POOL="192.168.0.0/25" , इसलिए सभी पते 192.168.0.126-255 पर इंटरनेट की सीधी पहुँच नहीं होगी। एक प्रकार का सॉफ्टवेयर "एयर-गैप" नेटवर्क। और NAT नियम वैसा ही बना हुआ है जैसा कि था

nat pass on $IF_PUBLIC from $JAIL_IP_POOL to any -> $IP_PUBLIC

नियमों को ओवरलोड करना

# pfctl -f /etc/pf.conf

अब हमारा पिंजरा ले लो

# cbsd jconfig jname=electrum

 jset mode=quiet jname=electrum ip4_addr="192.168.0.200" Remove old IP: /sbin/ifconfig em0 inet 192.168.0.6 -alias Setup new IP: /sbin/ifconfig em0 inet 192.168.0.200 alias ip4_addr: 192.168.0.200 

हम्म, लेकिन अब सिस्टम ही हमारे लिए काम करना बंद कर देगा। हालाँकि, हम एक सिस्टम प्रॉक्सी निर्दिष्ट कर सकते हैं। लेकिन एक बात है लेकिन, TOR पर यह SOCKS5 प्रॉक्सी है, और सुविधा के लिए हमारे पास एक HTTP प्रॉक्सी भी होगा।

# cbsd jsconstruct-tui

# cbsd jstart polipo

# jexec polipo

polipo:/@[9:28] # pkg install polipo

polipo:/@[9:28] # ee /usr/local/etc/polipo/config

 socksParentProxy = "192.168.0.2:9050" socksProxyType = socks5 

polipo:/@[9:42] # sysrc polipo_enable=YES

polipo:/@[9:43] # service polipo start

खैर, अब हमारी प्रणाली में दो समीपताएं हैं, और दोनों टीओआर के माध्यम से आउटपुट: मोजे 5: //192.168.0.2: 9050 और http://192.168.0.6:8123

अब आप हमारे वॉलेट के वातावरण को अनुकूलित कर सकते हैं

# jexec electrum

electrum:/@[9:45] # su wallet

wallet@electrum:/ % ee ~/.cshrc

 #in the end of file proxy config setenv http_proxy http://192.168.0.6:8123 setenv https_proxy http://192.168.0.6:8123 

खैर, अब शेल एक प्रॉक्सी के तहत काम करेगा। यदि आप पैकेज स्थापित करना चाहते हैं, तो यह सेल की जड़ के नीचे से /usr/local/etc/pkg.conf जोड़ने लायक है

 pkg_env: { http_proxy: "http://my_proxy_ip:8123", } 

खैर, अब वॉलेट सेल में हमारी एसएसएच सेवा के पते के रूप में टीओआर छिपी हुई सेवा को जोड़ने का समय है।

# jexec tor

tor:/@[9:59] # ee /usr/local/etc/tor/torrc

 HiddenServiceDir /var/db/tor/electrum/ HiddenServicePort 22 192.168.0.200:22 

tor:/@[10:01] # mkdir /var/db/tor/electrum

tor:/@[10:01] # chown -R _tor:_tor /var/db/tor/electrum

tor:/@[10:01] # chmod 700 /var/db/tor/electrum

tor:/@[10:03] # service tor restart

tor:/@[10:04] # cat /var/db/tor/electrum/hostname

 mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion 

यहाँ यह हमारा कनेक्शन पता है। स्थानीय मशीन से जांच करते हैं। लेकिन पहले आपको हमारी SSH कुंजी जोड़ने की आवश्यकता है:

wallet@electrum:/ % mkdir ~/.ssh

wallet@electrum:/ % ee ~/.ssh/authorized_keys

 ecdsa-sha2-nistp521 AAAAE2VjZHNhLXNoYTItbmlzdHA1MjEAAAAIbmlzdHA1MjEAAACFBAG9Fk2Lqi4GQ8EXZrsH3EgSrVIQPQaAlS38MmJLBabihv9KHIDGXH7r018hxqLNNGbaJWO/wrWk7sG4T0yLHAbdQAFsMYof9kjoyuG56z0XZ8qaD/X/AjrhLMsIoBbUNj0AzxjKNlPJL4NbHsFwbmxGulKS0PdAD5oLcTQi/VnNdU7iFw== user@local 

ठीक है, क्लाइंट लिनक्स मशीन से

user@local ~$ nano ~/.ssh/config

 #remote electrum wallet Host remotebtc User wallet Port 22 Hostname mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion ProxyCommand /bin/ncat --proxy localhost:9050 --proxy-type socks5 %h %p 

कनेक्ट (इसके लिए काम करने के लिए, आपको एक स्थानीय टीओआर डेमन की आवश्यकता है जो 9050 पर सुनता है)

user@local ~$ ssh remotebtc

 The authenticity of host 'mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion (<no hostip for proxy command>)' can't be established. ECDSA key fingerprint is SHA256:iW8FKjhVF4yyOZB1z4sBkzyvCM+evQ9cCL/EuWm0Du4. Are you sure you want to continue connecting (yes/no/[fingerprint])? yes Warning: Permanently added 'mdjus4gmduhofwcso57b3zl3ufoitguh2knitjco5cmgrokpreuxumad.onion' (ECDSA) to the list of known hosts. FreeBSD 12.1-RELEASE-p1 GENERIC To save disk space in your home directory, compress files you rarely use with "gzip filename". -- Dru <genesis@istar.ca> wallet@electrum:~ % logout 

सफलता!

तत्काल और माइक्रो-भुगतान के साथ काम करने के लिए, हमें लाइटनिंग नेटवर्क नोड की भी आवश्यकता है, वास्तव में, यह बिटकॉइन के साथ हमारा मुख्य काम करने वाला उपकरण होगा। * सी-लाइटनिंग , जिसे हम डेमॉन के रूप में उपयोग करने जा रहे हैं, में स्पार्को प्लगइन है , जो एक पूर्ण HTTP (REST) ​​इंटरफ़ेस है और ऑफ-चेन लेनदेन और ऑन-चेन लेनदेन दोनों के साथ काम करने की अनुमति देता है। c-lightning को कार्य करने के लिए bitcoind नोड की आवश्यकता होती है।

* लाइटनिंग नेटवर्क प्रोटोकॉल के विभिन्न पीएल पर अलग-अलग कार्यान्वयन हैं। उनमें से जो हमने सी-लाइटनिंग का परीक्षण किया (सी में लिखा गया) सबसे स्थिर और संसाधन कुशल लग रहा था

# cbsd jsconstruct-tui

# cbsd jstart cln

# jexec cln

lightning:/@[10:23] # adduser

 Username: lightning ... 

lightning:/@[10:24] # pkg install git

lightning:/@[10:23] # su lightning

cd ~ && git clone https://github.com/ElementsProject/lightning

lightning@lightning:~ % exit

lightning:/@[10:30] # cd /home/lightning/lightning/

lightning:/home/lightning/lightning@[10:31] # pkg install autoconf automake gettext git gmp gmake libtool python python3 sqlite3 libsodium py36-mako bash bitcoin-utils

lightning:/home/lightning/lightning@[10:34] # ./configure && gmake && gmake install

जबकि आपको जो कुछ भी चाहिए वह संकलित और स्थापित है, bitcoind में lightningd लिए आरपीसी उपयोगकर्ता बनाएं

# jexec bitcoind

bitcoind:/@[10:36] # ee /usr/local/etc/bitcoin.conf

 rpcbind=192.168.0.1 rpcuser=test rpcpassword=test #allow only c-lightning rpcallowip=192.168.0.7/32 

bitcoind:/@[10:39] # service bitcoind restart

यदि आप tmux उपयोगिता को नोट करते हैं, तो कोशिकाओं के बीच मेरा अव्यवस्थित स्विचिंग इतना अराजक नहीं है, जो आपको एक सत्र के भीतर टर्मिनलों के कई उप-सत्र बनाने की अनुमति देता है। एनालॉग: screen

Dachshunds, हम अपने नोड के वास्तविक आईपी को चमकाना नहीं चाहते हैं, और हम TOP के माध्यम से सभी वित्तीय लेनदेन का संचालन करना चाहते हैं। इसलिए, आपको एक और .onion की आवश्यकता है।

# jexec tor

tor:/@[9:59] # ee /usr/local/etc/tor/torrc

 HiddenServiceDir /var/db/tor/cln/ HiddenServicePort 9735 192.168.0.7:9735 

tor:/@[10:01] # mkdir /var/db/tor/cln

tor:/@[10:01] # chown -R _tor:_tor /var/db/tor/cln

tor:/@[10:01] # chmod 700 /var/db/tor/cln

tor:/@[10:03] # service tor restart

tor:/@[10:04] # cat /var/db/tor/cln/hostname

 en5wbkavnytti334jc5uzaudkansypfs6aguv6kech4hbzpcz2ove3yd.onion 

अब c-lightning के लिए एक कॉन्फिगरेशन बनाएं

lightning:/home/lightning/lightning@[10:31] # su lightning

lightning@lightning:~ % mkdir .lightning

lightning@lightning:~ % ee .lightning/config

 alias=My-LN-Node bind-addr=192.168.0.7:9735 rgb=ff0000 announce-addr=en5wbkavnytti334jc5uzaudkansypfs6aguv6kech4hbzpcz2ove3yd.onion:9735 network=bitcoin log-level=info fee-base=0 fee-per-satoshi=1 proxy=192.168.0.2:9050 log-file=/home/lightning/.lightning/c-lightning.log min-capacity-sat=200000 # sparko plugin # https://github.com/fiatjaf/lightningd-gjson-rpc/tree/master/cmd/sparko sparko-host=192.168.0.7 sparko-port=9737 sparko-tls-path=sparko-tls #sparko-login=mywalletusername:mywalletpassword #sparko-keys=masterkey;secretread:+listchannels,+listnodes;secretwrite:+invoice,+listinvoices,+delinvoice,+decodepay,+waitpay,+waitinvoice sparko-keys=masterkey;secretread:+listchannels,+listnodes;ultrawrite:+invoice,+listinvoices,+delinvoice,+decodepay,+waitpay,+waitinvoice # for the example above the initialization logs (mixed with lightningd logs) should print something like 

lightning@lightning:~ % mkdir .lightning/plugins

lightning@lightning:~ % cd .lightning/plugins/

lightning@lightning:~/.lightning/plugins:% fetch https://github.com/fiatjaf/sparko/releases/download/v0.2.1/sparko_full_freebsd_amd64

lightning@lightning:~/.lightning/plugins % mkdir ~/.lightning/sparko-tls

lightning@lightning:~/.lightning/sparko-tls % cd ~/.lightning/sparko-tls

lightning@lightning:~/.lightning/sparko-tls % openssl genrsa -out key.pem 2048

lightning@lightning:~/.lightning/sparko-tls % openssl req -new -x509 -sha256 -key key.pem -out cert.pem -days 3650

lightning@lightning:~/.lightning/plugins % chmod +x sparko_full_freebsd_amd64

lightning@lightning:~/.lightning/plugins % mv sparko_full_freebsd_amd64 sparko

lightning@lightning:~/.lightning/plugins % cd ~

आपको बिटकॉइन-क्लाई के लिए एक कॉन्फ़िगरेशन फ़ाइल बनाने की भी आवश्यकता है, एक उपयोगिता जो बिटकॉइन के साथ संचार करती है

lightning@lightning:~ % mkdir .bitcoin

lightning@lightning:~ % ee .bitcoin/bitcoin.conf

 rpcconnect=192.168.0.1 rpcuser=test rpcpassword=test 

चेक

lightning@lightning:~ % bitcoin-cli echo "test"

 [ "test" ] 

lightningd

lightning@lightning:~ % lightningd --daemon

lightning-cli स्वयं को lightning-cli द्वारा नियंत्रित किया जा सकता है, उदाहरण के लिए:

lightning-cli newaddr को नए आने वाले भुगतान के लिए पता मिलता है

 { "address": "bc1q2n2ffq3lplhme8jufcxahfrnfhruwjgx3c78pv", "bech32": "bc1q2n2ffq3lplhme8jufcxahfrnfhruwjgx3c78pv" } 

lightning-cli withdraw bc1jufcxahfrnfhruwjgx3cq2n2ffq3lplhme878pv all पते पर सभी वॉलेट मनी (सभी ऑन-चेन पते) भेजें

इसके अलावा, lightning-cli listinvoices lightning-cli invoice , lightning-cli listinvoices , lightning-cli pay आदि के ऑफ-चेन संचालन के लिए आदेश।

खैर, आवेदन के साथ संचार के लिए हमारे पास अन्य एप हैं

curl -k https://192.168.0.7:9737/rpc -d '{"method": "pay", "params": ["lnbc..."]}' -H 'X-Access masterkey'

संक्षेप में देना

# jls

  JID IP Address Hostname Path 1 192.168.0.1 bitcoind.space.com /zroot/jails/jails/bitcoind 2 192.168.0.2 tor.space.com /zroot/jails/jails/tor 3 192.168.0.3 nginx-rev.space.com /zroot/jails/jails/nginx-rev 4 192.168.0.4 paygw.space.com /zroot/jails/jails/paygw 5 192.168.0.5 webapp.my.domain /zroot/jails/jails/webapp 7 192.168.0.200 electrum.space.com /zroot/jails/jails/electrum 8 192.168.0.6 polipo.space.com /zroot/jails/jails/polipo 9 192.168.0.7 lightning.space.com /zroot/jails/jails/cln 

, .

# zfs list

 NAME USED AVAIL REFER MOUNTPOINT zroot 279G 1.48T 88K /zroot zroot/ROOT 1.89G 1.48T 88K none zroot/ROOT/default 1.89G 17.6G 1.89G / zroot/home 88K 1.48T 88K /home zroot/jails 277G 1.48T 404M /zroot/jails zroot/jails/bitcoind 190G 1.48T 190G /zroot/jails/jails-data/bitcoind-data zroot/jails/cln 653M 1.48T 653M /zroot/jails/jails-data/cln-data zroot/jails/electrum 703M 1.48T 703M /zroot/jails/jails-data/electrum-data zroot/jails/nginx-rev 190M 1.48T 190M /zroot/jails/jails-data/nginx-rev-data zroot/jails/paygw 82.4G 1.48T 82.4G /zroot/jails/jails-data/paygw-data zroot/jails/polipo 57.6M 1.48T 57.6M /zroot/jails/jails-data/polipo-data zroot/jails/tor 81.5M 1.48T 81.5M /zroot/jails/jails-data/tor-data zroot/jails/webapp 360M 1.48T 360M /zroot/jails/jails-data/webapp-data 

, bitcoind 190 . ? ZFS . cbsd jclone old=bitcoind new=bitcoind-clone host_hostname=clonedbtc.space.com . , ( 190 )

ZFS, . ZFS , SSH. , .

, Zabbix .

—

, :

— UNIX- . — . . . . -, .

— . - , ECC , ZFS " " . . - .

— . . . ( ). , .

— , . , .

, , , .

?

cbsd . , bhyve .

# cat /etc/rc.conf

 ... kld_list="vmm if_tap if_bridge nmdm" ... 

# cat /boot/loader.conf

 ... vmm_load="YES" ... 

, - debian !

. — bc1qu7lhf45xw83ddll5mnzte6ahju8ktkeu6qhttc . , pet-project .